日本版SOX法時代のOracleセキュリティ

前編

データで分析するDBセキュリティの立ち遅れ原因

アシスト
岸和田 隆
2006/6/15

 また、既存データベースの「ユーザー認証」「権限管理」「アクセス制御」の見直しは、アプリケーションに影響を与えます。スキーマ定義の変更、必要に応じた権限の付与、行や列へのアクセス制御などを実装する場合、アプリケーション・ユーザーが利用する権限の範囲やアクセスできる範囲が変更されるため、正常にアプリケーションが動作するかどうかをテストする必要が生じます。

 「監査ログ取得」や「通信、格納データの暗号化」では、ログ取得および暗号化によるパフォーマンスの低下を考慮する必要がありますし、格納データの暗号化ではアプリケーションのソース変更を伴う場合もあります。図6の「データベース・セキュリティの懸念点」のアンケートからも、実装から性能面、運用までの幅広い範囲の懸念点があるようです。

   図6 データベース・セキュリティの懸念点

 さらに、表2の「Oracleのバージョンとセキュリティ機能の一覧」に示したように、データベースのバージョンによって実装できるセキュリティ機能が異なっていることも懸念点として考えられます。複数のバージョンが混在したシステムの場合、セキュリティの実装レベルを統一するためには、最下位バージョンの機能に合わせることになるためです。

セキュリティ
項目
Oracleセキュリティ
機能
Oracle 10g Oracle9i Oracle8i
EE SE EE SE EE SE
認証情報の
一元管理
Oracle Identity Management OAS OAS OAS OAS OAS OAS
グローバル認証 OP OP OP
外部認証 OP OP OP
プロキシ認証
DB認証、OS認証
通信データの暗号化 通信データの暗号化 OP OP OP
パスワード暗号化
アクセス制御 仮想プライベートDB
格納データの暗号化 暗号化ツールキット
透過的データの暗号化 OP※
監査の実施 標準監査
DBA監査
ファイングレイン監査
イベントトリガ
ログマイナー
表2 Oracleのバージョンとセキュリティ機能の一覧
OAS:Oracle Application Serverで提供、OP:オプション機能、※:10g R2以降

 このように、データベースのセキュリティ対策はアプリケーションやシステムに影響を与える可能性が大きいため、実装までに時間を要しているのではないかと思われます。

今後は「内部統制」という観点でデータベース・セキュリティは
再度注目される

 このように、既存データベース・システムへのセキュリティ対策の歩みは早いとはいえませんが、個人情報保護法、情報漏えいという切り口に加え、2006年に入ってからは内部統制という観点からデータベースのセキュリティ対策が再注目されています。

 金融商品取引法案(日本版SOX法)の「財務報告に係る内部統制の評価及び監査の基準案」では「ITへの対応」が明記されています。「ITへの対応」はIT統制とされ、一般に「業務処理統制」と「全般統制」に分かれます。「業務処理統制」はソフトウェアで自動化された業務プロセスの正確性と網羅性を統制し、「全般統制」は自動化された業務プロセスの土台を提供し、企業活動の基盤としてのITを統制すると考えることができます。

 情報漏えい対策では、情報漏えいが発生するリスクを軽減するため、不幸にも情報漏えいが発生した場合の原因調査および説明責任を果たすための物理的・技術的対策としてセキュリティ対策が検討、実装されていました。

 これに対して内部統制では、企業内部のプロセスが法令や定められた手順を守って遂行され、その活動状況が組織や関係者に適切に伝えられていることが、継続的に評価されていなければなりません。企業活動の基盤としてのITを統制し、さらにソフトウェアによって自動化された業務プロセスで処理されてデータベースに格納されたデータの信頼性、正確性を継続的に証明できるような仕組み(セキュリティ対策)が必要になってくるでしょう。つまり、データベースのセキュリティ対策はこれまで以上に重要度を増していくのです。

 次回は多くの方が懸念点として挙げているOracleデータベースについて、セキュリティ機能の実装ポイントを性能面の検証結果とともに説明していきます。お楽しみに。

3/3  

 Index
特集:日本版SOX法時代のOracleセキュリティ(前編)
 データで分析するDBセキュリティの立ち遅れ原因
  Page 1
・個人情報保護法施行に伴い、データベース・セキュリティへの関心が高まる
  Page 2
・データベース・セキュリティに対するニーズは依然として高いが、実装率が低いのはなぜか?
Page 3
・今後は「内部統制」という観点でデータベース・セキュリティは再度注目される


日本版SOX法時代のOracleセキュリティ


Database Expert フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Database Expert 記事ランキング

本日月間