データベースセキュリティに求められる「3つの軸」とコストの最小化：今さら？　今こそ！　データベースセキュリティ（4）（3/3 ページ）

「社内規定に必要な対策が記載されていないから、やらなくていい」ではない

　「データベース」に対するセキュリティ標準は、まだ定義していない企業が多いのが現状です。

　参考までに、筆者の所属する日本オラクルでは、データベースシステムに脆弱な設定はないか、過度の権限の付与を行っていないか、などの項目を診断する「Oracle Databaseセキュリティ・リスク・アセスメント」と呼ばれるサービスを提供しています。診断は、「重要なデータが格納されている2つ以上のデータベース」を対象に行うのですが、多くの企業は残念ながら、セキュリティ関係の初期化パラメーターの設定値や監査ログ取得基準がデータベースごとにバラバラで、セキュリティ対策が統一されていません。

　機密レベルの概念があるならば、情報管理規定などの文書も存在するはず。しかし、データベースのセキュリティ対策の基準が統一されていないということは、情報管理規定に電子データの管理に関する記述がない、あるいはあいまいな記載しかない可能性が高いと推定できます。そのために、担当者や外部開発会社に依存したセキュリティ対策が個別になされていたり、ほとんど対策されていなかったりする状況になってしまうのでしょう。

　しかし、社内の情報管理規定に書かれていないから、データベースのセキュリティ対策をやらなくてよいのではありません。コンプライアンス要件があるデータを格納しているデータベースでは要件に合う的確なセキュリティ対策を、コンプライアンス要件のないデータを格納しているデータベースだとしても、最低限の基本的なセキュリティ対策を行うように、コストバランスを取った対策を会社として基準を定めて実施していくことが肝要です。

　次回は、今回解説したデータベースセキュリティの構成要素の中から、「暗号化」にフォーカスして解説します。