データベース管理者こそがセキュリティホール?オラクルデータベースの新潮流(1/2 ページ)

企業システムにおいて、ビジネスに欠かすことのできない情報を格納する役目を託されているデータベース。だが、データベースにさえデータを保管しておけば、セキュアな状態で保護されていると考えるのは、大間違い。データ保護機能を適用して初めて、データベースの安全性は高まるのだ。

» 2007年03月23日 08時00分 公開
[敦賀松太郎,ITmedia]

このコンテンツは、オンライン・ムック「オラクルデータベースの新潮流」のコンテンツです。関連する記事はこちらでご覧になれます。


“普通の”データベースが安全でない理由

 データベースは、企業システムを構築する上で欠かすことのできないデータの格納場所である。一般的に、データベースへの信頼感は高く、データベースに格納したデータは安全であるという認識が持たれている。

 しかし、実際のデータベースは、セキュリティ上の脆弱性が非常に多いということを知っておくべきだろう。データベースへのアクセスは通常、データベースに用意されている認証機能を利用し、アプリケーションやユーザーにアクセス権限を設定する仕組みになっている。データベースの内部に格納されているデータは暗号化されているわけでないため、正規に登録されているユーザーならば、業務に無関係のデータにもたやすくアクセスできてしまう。特に、SQLに関して多少なりとも知識を持っていれば、アプリケーションによってアクセス制限されていても、ツールを利用してデータを取得することが可能だ。

 また、通信中のデータにも注意を払う必要がある。完全に閉じたネットワーク環境で運用されているデータベースならともかく、外部に接続されたネットワークでデータベースが運用されている場合、通信経路からデータが盗聴される危険性はゼロではない。なぜなら、ネットワークを流れるデータベースのデータは、暗号化されていない状態になっているからだ。

 さらに、データベースのデータをバックアップする場合も、通常はデータが暗号化されることはなく、そのままの状態である。だから、バックアップをテープに録ったとしても、管理方法がずさんならば、データはいとも簡単に漏えいしてしまう。

Oracle ASOで通信経路とデータを暗号化

 こうしたデータベースにおけるセキュリティ上の脆弱性に対処するために、Oracle Databaseには各種データ保護機能が用意されている。ただし、Oracle Databaseも含めて注意する必要があるのは、せっかく用意されたデータ保護機能を明示的に利用しなければ、有効にならない点だ。

 Oracle Databaseのデータ保護機能として代表的なのが「Oracle Advanced Security Option(ASO)」である。Oracle ASOには、通信経路の暗号化、データベースそのものの暗号化、そして各種認証システムのサポートという3つの機能がある。

 通信経路の暗号化機能としては、RC4、DES、3DES、AESなどの代表的な標準アルゴリズムに対応。また、通信データの整合性を保護するため、MD5またはSHA-1のアルゴリズムを使用して暗号化ダイジェストを追加し、復号の際に取り出した内容が変更されていないことを確認する機能もある。データベースの暗号化を実現するのが「Transparent Data Encryption」という機能で、256bitの3DESまたはAESを利用し、列を指定して暗号化が行える。認証システムとしては、Kerberos、RADIUS、SSL、PKIなどの業界標準をサポートしている。これらを組み合わせることにより、データの安全性は大きく向上する。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ