第3回 データベースアプリケーションのセキュリティ
 

星野 真理
株式会社システム・テクノロジー・アイ
2005/4/5



 個人情報保護法(個人情報の保護に関する法律)がついに完全施行されました。セキュリティ対策の総点検、および補強作業は、着実に進みつつある、もしくは終了段階にある時期かと思います。もし、セキュリティ対策の進ちょくが芳しくないとすれば、それを遂行する体制に問題があるかもしれません。セキュリティ対策は、情報システム部やインフラ担当者だけで行えるほど単純なものではなく、各部署のエキスパートの知識と技術を統合してこそ実現することができるのです。

 しかし、縦のつながりが強い企業において、組織を横断したチームが最初から存在しているケースは少ないのではないでしょうか。それ故、各部署のエキスパートによるチームを特別編成する必要があります。組織横断型のセキュリティ対策委員会です。インフラの構成、社内のデータの流れ、人材の管理、社外への対応方法など、すべての面を知る人材が顔をそろえれば、セキュリティ強化実施の強いけん引力が手に入るはずです。

 さて、データベースセキュリティの総点検を始めていきましょう。今回は、データベースアプリケーションのセキュリティについて検討します。

 今回の設定

 では、以下のようなシステム構築を例にして、セキュリティを意識した確認ポイントを考えてみましょう。

●社外に公開するシステム:インターネットシステム

 A社は、インターネットを使用した教育システムを提供する会社です。契約を交わした法人の社員や一般顧客は、登録したユーザー名とパスワードを入力することにより、場所を問わず学習をすることが可能です。各個人の学習履歴はデータベースに格納され、顧客は学習の進ちょくや試験結果などが確認できます。

 また、オンライン講座の申し込み、および教育媒体の購入もインターネットサイトで行うことが可能です。購入方法としてクレジットカードが利用できます。クレジットカード利用者は、初回購入時にカード番号を登録することにより、次回からはより簡単に購入作業が行えます。

●社内システム

 業務担当者は、受発注作業のための注文確認や入金確認作業がWebシステムを通じて実行できます。サポート担当者は、メールによる質問サービスを行います。また、電話による対応の場合は相手の情報を検索し、学習履歴情報などをWebブラウザに表示できます。

 マーケット担当者は、顧客のニーズ動向を柔軟な切り口で分析し任意の出力を可能にするために、EUC(エンドユーザーコンピューティング)アプリケーションを実行します。

 アプリケーション構築の着目点

 データベースセキュリティにおいて、最も重要なものは認証です。悪意のあるユーザーがいたとしても、データベースに接続できなければ何もできないのです。では、認証の仕組みから検討していきましょう。

  • ユーザー名とパスワードはどこで管理するのか
  • クレジットカード番号は安全に管理されるのか
  • DBユーザーとアプリケーションの関係はどうなるのか
  • 社内アプリケーションではどのようなデータが表示できるのか
  • EUCアプリケーションはデータ漏えいの原因にならないか

 セキュリティを考慮した場合、アプリケーション構築の着目点は以下の3つではないでしょうか。

  • アプリケーション使用の認証の仕組み
  • DBユーザーの分類とその権限設定
  • 表示データの必須性

 上記、3つをブレークダウンして考えてみます。

1.アプリケーション使用における認証の仕組み

どこで認証が必要になるのか
認証情報の取得先はどこになるか
認証ユーザーは何に対応付けるのか
認証情報の管理は誰ができるのか

2.DBユーザーの分類とその権限設定

DBユーザーは何に対応させて作成する必要があるのか
権限セットであるロールは何を切り口に分類するか
権限は何に対して与えるのか
権限はいつセットされるのか

3.表示データの必須性

どの列を画面に表示し、何を隠すのか
どの行を表示できるのか

 次章から上記の確認項目についての見解を述べていきます。

1/4


Index
データベースアプリケーションのセキュリティ
Page1
今回の設定
アプリケーション構築の着目点
  Page2
アプリケーション使用における認証の仕組み
DBユーザーの分類とその権限設定
  Page3
インターネットアプリケーションで使うDBユーザー
イントラネットシステムで使うDBユーザー
  Page4
EUCアプリケーションで使うDBユーザー



関連記事
データベースセキュリティの基礎のキソ
Database Expertフォーラム

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間