Special
» 2015年11月24日 07時00分 公開

データベースセキュリティの勘所:「狙われているのはデータ」──企業の機密情報、個人情報を効果的に守るには? (4/6)

[PR/@IT]
PR

既存アプリケーションの改修なしでデータベースを暗号化

 こうした政府/国防レベルの厳しい要件を満たすために、オラクルは創業当初からセキュリティを強く意識して製品開発を行ってきた。実際に主要な国家機関で使われている他、米国以外の国防機関でも採用されている。政府/地方自治体からのリクエストで製品を開発し、後に民間企業向けのソリューションとして提供するケースも少なくないという。

 このように、データセキュリティを事業の中核に据えるオラクルは現在、さまざまなセキュリティソリューションを提供しているが、それらの中から大澤氏が取り上げたのが、「Oracle Advanced Security Transparent Data Encryption(以下、Transparent Data Encryption)」「Oracle Database Vault」「Oracle Advanced Security Data Redaction(以下、Data Redaction)」、そして「Oracle Audit Vault and Database Firewall」である。

 このうちTransparent Data Encryptionは、データベースレベルでの暗号化を実現する製品である。これを使うことで、機密情報が保管されたディスクやデータベースファイルが持ち出されてしまった場合でも、第三者が中身を盗み見ることを防止できる。Transparent Data Encryptionの大きな特徴として、大澤氏は「既存環境への影響が少ない」ことを挙げる。

 「Transparent Data Encryptionでデータベースを暗号化する場合、既存のアプリケーションを改修する必要はなく、導入時の負担を大幅に軽減できます。ハードウエア側の機能によって高速に暗号化/復号処理するため、導入によるオーバーヘッドが極めて少なく、その点でも既存環境に適用しやすい暗号化ソリューションだと言えます。『データベース暗号化を導入したいが、既存アプリケーションには手を入れたくない、オーバーヘッドが心配だ』といったケースにお勧めです」(大澤氏)

データベース管理者の厳格な権限分掌の実現

 先に紹介したように、昨今の情報漏えい事件では、管理者アカウント情報が盗まれ、それを使ってデータベース管理者になりすました攻撃者によって機密情報や個人情報を窃取されるケースが多い。

 Oracle Database Vaultは、管理者アカウントが乗っ取られた場合でも、情報漏えいのリスクを回避することができるソリューションだ。具体的には、データベースアクセスに関する職務分掌を徹底し、システムに対する権限と業務権限を明確に分離した詳細なデータベースアクセス制御を行うことで、たとえデータベース管理者であっても業務データには一切アクセスできなくすることができる。間もなく運用が本格化するマイナンバー法(個人情報の保護に関する法律及び行政手続きにおける特定の個人を識別するための番号の利用法に関する法律)に準じた個人情報の管理を実現するものとして、現在、多くの企業に注目されている。

レスポンス伏せ字化とログ管理がもたらす効果

 近年は従業員による業務権限を逸脱した情報閲覧を懸念する声も高まっており、ユーザーのデータベースアクセスをいかに厳格にコントロールするかで頭を悩ませている担当者も多いだろう。その対策の決定打となるのが、Data Redactionだ。同機能の仕組みを、大澤氏は次のように解説する。

 「Data Redactionを使うと、SQLによる問い合わせに対して結果を返す際、ユーザーのデータベースアクセス権限に応じて内容を伏せ字化した上でアプリケーションに送信することができます。そのため、例えば顧客情報の管理業務に携わるユーザーに対しては伏せ字化せずにデータを送り、顧客情報の中身を見る必要のないデータベース管理者に対しては伏せ字化して内容を秘匿するといった具合に、同じSQLでもユーザーの権限に応じてレスポンスの内容を変えることができるのです」

 Data Redactionでも、制御は全てデータベース側で行われるため、既存アプリケーションの改修は不要だ。つまり、Transparent Data Encryptionと同様、コストを抑えながらデータベースセキュリティを強化できるというメリットがある。

 大澤氏が最後に紹介したOracle Audit Vault and Database Firewallは、Oracle Databaseや他の主要なデータベース製品、OS、ディレクトリサービスのログを収集し、一括管理するためのデータベース監査ソリューションだ。各製品が出力するログやネットワーク上を流れるパケットを取得し、監査ログとして蓄積/管理する機能、ログの窃取や改ざんを防止する仕組み、さらには“データベースのファイアウオール”として不正なSQLを遮断する機能を備える。大澤氏は、同ソリューションについて、「データを中心にしてシステム全体のログを一元的に管理し、セキュリティ監査を強化するのに非常に有効」と説明した上で、以上の三つのツールも活用したデータ中心型セキュリティの重要性を強調した。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年12月23日

関連情報

驚異的なパフォーマンス、優れた運用効率、最高の可用性とセキュリティ、クラウド対応を実現するOracle Exadataとの統合、クラウド、可用性や運用管理など、次世代データベース基盤構築のために参考になる必見資料をまとめてご紹介いたします。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。