“コンプライアンス”にはデータガバナンスが優先課題
ニューヨーク発――企業はデータベースガバナンスにおけるIT監査プロセスを強化する必要があると、規制コンプライアンスを専門とするアナリストらが主張している。
11月9日、ITセキュリティおよび規制コンプライアンス問題を議論するため現地に集ったアナリストやコンサルタント、ソフトウェアベンダーの関係者は、企業のデータベースをより緻密に管理していく必要性が増していると口をそろえた。
IBMとソフトウェアメーカーGuardiumが共催したコンプライアンス戦略イベントに参加した専門家らは、エンタープライズインフラストラクチャの中でも最も古く、かつ最も複雑な要素であるデータベースを正しく運用し、SOX法(Sarbanes-Oxley Act)などの規制ガイドラインを確実に遵守する下地を作らねばならないと語った。
データガバナンスは、データベースに保管されている情報品質の向上として広義に解釈できる。また、データの信頼性を高めたり、コンテンツへのアクセスを改善したりする仕事に専従するIT専門家チームを組織することも、データガバナンスの定義にしばしば含まれる。
こうした取り組みを進めるのに利用される技術としては、従業員がファイルを閲覧している際や、データベースにログインしている間の行動を追跡調査するソフトウェアツールなどが挙げられるだろう。
これらの技術は、データベース情報の悪用を未然に把握する手段を確立して企業の防御力を強化するばかりでなく、企業の活動が捜査対象になったとき、コンプライアンス監査役に提出する詳細な記録を用意しておくのにも役立つと、コネチカット州スタンフォードに拠点を置くGartnerのアナリスト、ポール・プロクター氏は述べている。
また、データベース管理者など一部の従業員が有しているアクセス権利レベルを柔軟に管理できるようになる点も、セキュリティおよびコンプライアンス双方の取り組みにおいて重要だという。
プロクター氏は、データガバナンス体制を整備することで、すでに取りかかっていたコンプライアンスプロジェクトに付随するさまざまなメリットを認識する企業は多いと話した。
「企業のITおよびセキュリティチームに注文を付ける監査役は、社内の人間であれ外部の人間であれ、たいていは敬遠したい存在だが、コンプライアンス状況を把握するためのしっかりとした制度を固めておくには、彼らとの協力関係を深めておくことが大切である」(プロクター氏)
「まずはデータベース領域でガバナンスを実施し、これを徐々にコンプライアンス戦略の最優先事項としていけば、成功しやすいとわれわれは考えている。本気でリスク管理をしたいなら、セキュリティ部門スタッフと監査役は力を合わせて適切な対策を考案しなければならない」(プロクター氏)
イベントに出席したパネリストらは、多くの企業が、PCおよびメッセージングシステムや、動作の軽いその他のITインフラストラクチャ機能にコンプライアンス自動化技術を実装することに主眼を置いてきたが、監査に関するあらゆる取り組みの基本となるのは、データベースに適切なポリシーを適用したり、データベースを管理したりすることだと強調した。
財務データや顧客情報といった、企業にとって最も価値のある情報は基本的にデータベースに保管されるものであり、監査役もそうしたシステムを保護するために企業が採用している手段を調査することに重きを置くようになったことが、その根拠だという。
データベースの暗号化は、コンプライアンスの実現手段としてはラップトップのデータロックほど一般的ではないが、攻撃の手始めに大規模なストレージシステムが狙われる可能性は十分にある。
データベースの暗号化が一般的な対策になれずにいるのは、保管されているデータすべてを暗号化するとなると、暗号化ソフトウェアがきわめて深刻なパフォーマンス問題を引き起こすからだ。
プロクター氏は、秘匿する必要のある最重要情報を慎重に選定することで、パフォーマンス問題を回避しつつ暗号化技術を活用できるようになると述べている。
いわゆる接続プーリングを使用するアプリケーションの詳細なユーザープロファイルの作成といった、コンプライアンスにおける課題は、例外的な行動に注目してアクセスを追跡調査する行動ベースツールを導入すればクリアできるだろう。
SAPの財務アプリケーションをはじめとするITシステムは、こうした方法を利用して、特定のデータベースにアクセスしているユーザーの詳細情報を判別しにくくする。
コンプライアンスの実現を目指したデータガバナンスの実施過程においては、企業が組織全体で情報を安全に共有する新たな方法を発見したり、保管している情報を新事業に生かして、規制準拠対策にかかったコストを取り返したりできるケースもあるという。
IBM Global Business Servicesの財務サービス部門で、データガバナンスに関する取り組みを率いるブレット・ガウ氏は、「ガバナンスを監査の目を逃れるための単なる一手段としてとらえるのではなく、データから新たな価値を引き出す機会としてとらえる必要がある。データをビジネス資産として活用し、さまざまな情報を取捨選択したり、セキュリティおよびコンプライアンスのレベルを保ちながら、インフラストラクチャを戦略的に使用する方法を検討したりすることができれば理想的だ」と述べた。
「企業が一個所に保管しているデータについて理解できていなければ、コンプライアンスを統括し、維持していくことは不可能であるとも言える」(ガウ氏)
データベースセキュリティおよび監視ソフトウェアを提供しているGuardiumの関係者は、金銭目当てにデータベースに侵入するハッカーが増えていると指摘した。
マサチューセッツ州ウォルサムに本拠を置くGuardiumの最高技術責任者(CTO)、ロン・ベンナタン氏は、2006年8月に開催された「Black Hat」カンファレンスで講演を行った際に、一握りのデータベースクラッキング集団がそうした攻撃の首謀者となっていると述べた。
データガバナンスは、機密性の高い情報に対する各社員の責任範囲およびアクセス権利を、企業がいかに設定しているかを調査するために監査役が必要とする記録を準備しておくのに役立つばかりでなく、会社が誤った財政報告書を作成してしまうことを防いだり、あるいは財政報告に関するスキャンダルが発生した場合に、幹部が責任者として告発される可能性を低くしたりする点でも力を発揮する。
「これまでは、データベースの安全性には絶対の自信を持っているという企業が大半を占めていたが、最近はそうした自信を揺るがす事件が頻発している。ここへ来て、コンプライアンスへの取り組みに人々の注目が集まるようになったが、特に求められているのがデータベースに関する情報管理とコンプライアンスなのである」(ベンナタン氏)
「(CTOが)財政報告書に署名をする際に、意図せず誤ったレポートを作成してしまわないよう、どのような対策を採っているのか問われるケースも増えている。繰り返し状況説明をすることを歓迎するCTOなど、そうはいないだろう。ガバナンスを確立しておくことが、そうした手間を軽減する手だてなのである」(ベンナタン氏)
「SOX法にはデータベースセキュリティに関する記述こそないが、企業にはデータベースの情報を適切に処理することが義務づけられている」(ベンナタン氏)
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。