連載
» 2016年06月01日 05時00分 公開

Database Watch(2016年5月版):攻撃者が狙うのはデータベース、それなのに「データベース保護の対策が見落とされがち」ではありませんか? (3/3)

[加山恵美,@IT]
前のページへ 1|2|3       

セキュリティ対策は“全体”を見通して考え、職務分掌する

 ウィリアムズ氏はこれらの対策の意味を説明しながら、データベースセキュリティを考える上でも

  • セキュリティ対策は“全体で考えること”
  • 職務分掌

 の2つが重要と言います。

 「各種セキュリティ対策製品はあくまでも“全体の1つ”として捉え、全体を見渡すことが重要であるということ。そして、データベース管理者にはデータベースを管理するのに必要な権限のみ、アプリケーション利用者ならばその人の業務範囲内のデータのみを開示するなどといったように、業務の権限や役割に応じてアクセスできるデータを正しく分けることが肝要です。

 データベース管理、アプリケーション管理、OS管理など、1人があれもこれもできてしまう体制は極めて危険です。きちんと権限を分散する必要があります。しかし、それは簡単ではないのも理解しています。企業文化を変えるほどの困難を伴うこともあるでしょう。

 それでも、セキュリティのためには、やる必要があります」(ウィリアムズ氏)

データベースに対するアクティビティーの監視と防御

 前述した「5つの対策」と共に、データへのアクセスが許可されたユーザーだとしても、ゴールドプラチナに区分される機密データは、特に厳重に監視する必要があります。内部不正も含めた不正アクセスの検出のため、例えばオラクルでは、データベースに対するアクティビティーの監視と防御を行う「Oracle Audit Vault and Database Firewall」を用意しています。

「Oracle Audit Vault and Database Firewall」で対策できること 「Oracle Audit Vault and Database Firewall」で対策できること(出典:オラクル)

 ファイアウォール「Oracle Database Firewall」は、「データベースに投げられたSQL」を解析して、その通信を許可するか否かを判断します。例えば、SQLインジェクション攻撃のような不正なSQLをブロックできます。Oracle Databaseの他に、Microsoft SQL Server、SAP ASE(Adaptive Server Enterprise)、IBM DB2、MySQLなどのデータベースソフトウェアにも対応しています。

 監査サーバである「Oracle Audit Vault」では、データの参照、追加、変更といったデータベースへのアクティビティーを監視してイベントやログを収集し、早期の不正発見と対策につながるレポートを作成したり、アラートを出したりすることができます。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。