| エンタープライズ:ニュース | 2002/08/22 22:19:00 更新 |
データベースのセキュリティに警鐘を鳴らすオラクル
日本オラクルが8月22日に開催した「Oracle9i Startup Seminar」では、これまであまり触れられることのなかったデータベースのセキュリティが取り上げられた。
「セキュリティというと、セキュリティ担当者の考えるべきことと思われがちだ。しかしセキュリティは、データベース担当や開発者にとっても決して他人事ではない」――日本オラクル製品本部システム製品部のシニアマネジャー、北野晴人氏は、8月22日に開催された「Oracle9i Startup Seminar」のセッションでこのように語り、データベースそのものセキュリティに注意を促した。
一般に「セキュリティ対策」と言うと、何が思い浮かぶだろうか? ウイルス対策ソフトウェアやファイアウォールの導入が大半ではないだろうか。あるいは最近ならば、セキュリティポリシーの策定を挙げる人もいるかもしれない。しかし、データベースに言及する人は少ないだろう。
だが考えてみれば、データベースは、何よりも守るべき情報資産やデータを格納する“金庫”である。その金庫をどのように守るかがもっと考慮されてしかるべきだというのがこのセッションの主なテーマだ。
「データ流出が起きた場合、ブランドイメージの失墜や信用の喪失、最悪の場合は損害賠償の可能性もあり、企業にも計り知れない被害が及ぶ。肝心のデータが入っている“もの”、つまりデータベースを守ることを考えなくてはならない」(北野氏)
北野氏は、マイクロソフトのSQL Serverを狙ったワーム「CBLAD」などを例に挙げながら、データベースに対するセキュリティ上の脅威が実際に発生していると指摘。その現状を踏まえたうえで、適切なユーザー認証やアクセス制御、暗号化などの手段を組み合わせ、データベースセキュリティを実現していく必要があると述べた。
ただ、意外なことに、具体的な手段となると「非常に当たり前の事柄が多い」(北野氏)。だが、それを実行できていないのが現実であると言う。
ともあれ最初の原則は、データベースアプリケーションのうちインストールするのは必要なものだけにすることだ。余分な機能は最初からインストールしないか、あるいはオフにしておく――これはOSやWebサーバなど他のアプリケーションでも同じことだ。
2つめは、アカウントならびにパスワードの管理をしっかり行うこと。デフォルトのアカウントやパスワードを使い続けるのは論外として、あらゆるユーザーのアカウントが、適切なパスワードポリシーに則ったパスワードとともに用いられるよう管理していく必要がある。ここでは、休眠アカウントなどが発生することのないよう、適切なメンテナンス作業が不可欠だ。
3つめは、各ユーザーに与える権限は必要最小限のものにとどめることだ。各ユーザーには必要な権限のみを許可し、不要な権限やロールは削除していく。
これらの作業を適切に、ミスなく行うのはなかなか面倒だ。そこで、例えば認証情報の集約にはディレクトリサーバを導入し、認証の強化には、Oracle9iのオプションである「Oracle Advanced Security」とサードパーティ製のパッケージを利用するといった具合に、適宜他の対策を組み合わせていくことで、より容易にセキュリティを高めることができる。
Oracle9iが備えるセキュリティ機能
そして、Oracle9i自体にも、セキュリティを意識した幾つかの機能が搭載されている。その1つが、仮想プライベートデータベース(Virtual Private Database)機能だ。ビューを利用してもアクセス制御は可能だが、仮想プライベートデータベースならば、より少ない手間で、適切な権限をもったユーザーだけが必要な情報にアクセスできるよう制御できるという。
また、特定のデータに対して「いつ、誰がアクセスしたのか」を監査し、ログの形で記録する監査機能も強化された。「ファイングレイン(きめ細かい)監査」機能がそれで、監査の条件を細かく設定し、オブジェクト単位ではなく、データの値を基準として監査が行えるようになった。この結果をプロシージャとして定義し、“管理者にメールを送付する”といったアクションを起こすことも可能という。
Oracle9i内に格納されたデータについては、ツールキットを用いて暗号化が可能だ。これも、データ全体ではなく、重要な情報、例えばクレジットカード番号などが格納される列単位で暗号化できる。前出のOracle Advanced Securityを利用して、通信経路を暗号化すれば、エンドツーエンドでのセキュリティを実現できるという。
なお残念ながら、今回はOracle9i Application Serverのセキュリティに関する説明はなかったが、今後の情報の充実に期待したい。
ただいずれにせよ大事なことは、データベースのセキュリティであろうと、それ以外のシステムのセキュリティであろうと変わらない。「まずは何が脅威であり、何を守るのかを分析することが大事だ」(北野氏)。そのステップがあってはじめて、具体的な対策に着手できるのだから。
関連リンク
日本オラクルOracle9iのセキュリティ機能に関する情報[高橋睦美,ITmedia]
