Tweet

　個人情報の保護に関する法律（個人情報保護法）の全面施行から、2カ月が経過しようとしていますが、皆さんの周りではどのような変化があったでしょうか。例年では、4月1日といえば入社式などがあり、新入社員への祝辞と今後の活躍への期待が語られるはずですが、今年は少々違ったようです。

　多くの企業において、個人情報保護の重要性を促すコメントと、データ漏えい防止への強い注意事項が発表されました。また、セキュリティを強化した新システムの導入も多くの会社で本番稼働を迎えました。強化されたのはインフラ側だけではなく、会社規定も大幅に変更され、会社ビルへの入出チェックの強化、会社所有のノートPCの持ち出しの禁止など、仕事の効率を上げるとはいいがたいルール改定も多く見られます。

　多くの犠牲を払ってのセキュリティ強化です。今後は、データ漏えいの問題など発生しないことでしょう。と、願いたいところですが、どんな要さいでもアリの這い出るすき間があるように、強固なセキュリティシステムにも、弱点がないとはいえません。

　また、セキュリティの運用自体を人間が行う以上、人為的ミスや怠慢が、存在しないはずの弱点を生み出してしまう可能性もあるのです。セキュリティ強化は、日々の継続があってこそ、その効果を発揮できるのです。では、セキュリティ強化を継続していくために、DB管理者が行うべき作業を挙げてみましょう。

1. ユーザー管理
2. パスワードの変更確認
3. データ管理
4. データアクセスの監視
5. バックアップファイル管理

DBユーザー管理

　では、実際の作業にブレークダウンして考えていきましょう。システム構築が終了し、本番稼働が始まっても、ユーザーの管理は必要です。各部門からの改善要求やシステムの追加に際して、新規ユーザーの作成、既存ユーザーの変更・削除が必要となります。これらの作業を行う前に、以下を明確にし、ドキュメント（参考例：アクセスデータ申請書）に残す手順を作りましょう。

●DBユーザーの追加作成

• 新規ユーザーが必要となる理由
• 有効期間
• 必要な権限
• アクセスできるデータとデータへの処理

●DBユーザーの変更

• ユーザー変更が必要となる理由
• 有効期間
• 変更する権限
• 変更するデータへの権限

●DBユーザーの削除

• 該当ユーザーが不要となる理由
• 該当ユーザーが所有していたオブジェクトおよび権限
• 該当ユーザーの持つデータのバックアップの必要性

　さて、DBユーザーの削除については、少々注意が必要です。削除するユーザーが、データへのアクセス権限のみを所有するユーザーである場合は削除するだけで問題ありません。

　しかし、このユーザーが表やビュー、ストアードプログラムのオーナーであった場合は、ユーザーを削除する前にこれらの所有データを別のユーザーに移し、現システムに悪影響が発生しないことを確認するテストが必要です。できることならば、このようなデータ所有ユーザーの削除は極力避けるべきです。

　では、データ所有ユーザー以外のユーザーの削除は安易に実行していいかといえば、1つだけ例外があります。それは、データアクセス管理ユーザーです。ほかのユーザーに対して、データへのアクセスの許可を発行してきたユーザーが削除された場合、このユーザーから許可を受けたユーザーのアクセス権が取り消される場合があります。

　権限の従属削除が発生するかどうかは、データベースによって異なります。Oracleでは、図1、図2のような形になりますが、DB2では図2のような権限の従属削除は発生しません。

　権限の従属削除が発生するデータベースの場合は、権限管理をしていたユーザーの削除は避け、ユーザーがログインできない処置を取ることで対応すべきでしょう。Oracleの場合は、ユーザーをロックするコマンドが用意されており、ロックされたユーザーは決してログインできません。

図1 オブジェクト権限の付与

図2 オブジェクト権限の剥奪（Oracleの場合）

Index
DBをセキュアに保つための作業
	Page1 DBユーザー管理
	Page2 DBユーザーのパスワードの変更確認 データ管理
	Page3 データアクセスの監視
	Page4 バックアップ管理 セキュリティと生産性のバランス感覚 コラム：バックアップの意外な実態

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード