リスクが存在する「データベース」本体の保護を、ラックが米社製品を発売

ラックは米Application Securityと業務提携を結び、同社のデータベースセキュリティ検査／アクセス監視ツールの販売を開始した。

[ITmedia]

　ラックは9月30日、米Application Securityと業務提携を結び、同社のデータベースセキュリティ検査／アクセス監視ツールの販売を開始した。当初は英語版を販売するが、年内に日本語化を完了し、リリースしていく計画だ。

　米Application Securityでは、データベースのセキュリティにフォーカスした製品として、脆弱性検査ツール「AppDetective」のほか、データベースに特化した不正侵入検知（IDS）としてリアルタイムに不審なアクセスを監視し、警告する「AppRader」、データを暗号化する「DbEncrypt」という3種類のソフトウェアを開発、提供している。ラックではこのうちAppDetectiveから提供を開始し、順次他の製品も投入していく予定だ。

　市場にはほかにもいくつか、データベースのセキュリティに特化した製品が存在するが、Application Security製品の特徴は、迅速かつリアルタイムに脆弱性や不正アクセスを検出できること。

　特にAppRaderは、「後からログを分析してはじめて不正アクセスに気づくのではなく、リアルタイムに侵入を知らせることができる。また、サーバに対する負荷が低いことも特徴」（Application Securityの社長兼CEO、ジャック・ヘンブロー氏）という。Oracle DBなどデータベース自身が備える監査機能とも、うまく補完し合えるとした。

　また、AppDetectiveを採用した米国のある金融機関では、「それまで四半期ごとに、全体の5％しか検査できなかった7000超のデータベースを、人手を増やすことなく毎月チェックできるようになった。この結果、全データベースのうち、まったくセキュリティ対策が施されていないものが17件発見されたほか、不適切なパスワードが用いられているケースも検出された」（ヘンブロー氏）。

　たびたび指摘されているとおり、ファイアウォールをはじめとするネットワークレベルの防御では防ぎきれない、アプリケーションやデータベースを直接狙った攻撃の危険性は高い。

　ヘンブロー氏は、調査会社Gartnerの「攻撃の75％はアプリケーション層を狙ったものである」という分析や、セキュリティ専門家ブルース・シュナイアー氏の「リスクはコミュニケーション経路よりも、むしろエンドポイントのデータベースに存在する」といったコメントを引き合いに出し、大量の個人情報や重要なデータが保管されているデータベース保護の重要性を指摘した。

　また、米国でも相次いでいる個人情報漏えい事件への対策という観点だけでなく、企業コンプライアンスという側面からも、データベース監査は重要だという。SOX法（米企業改革法）への対応の一環としてデータベースシステムの監査は必須であり、「国内でも日本版SOX法の制定に向けた動きがあり、2006年から2007年にかけて、米国と同様、データベースセキュリティ監査の必要性が高まるだろう」と、ラックでは予測する。

　ラックではこれまで、データベースのセキュリティに関連して日本オラクルと協業を結んだのを皮切りに、データベースセキュリティ診断サービスなどを提供してきた。今回の代理店契約締結を踏まえ、最大10社をめどに販売パートナーを募り、Application Security製品を販売していく。第一弾として、AppDetectiveの英語版を35万円で10月1日より発売し、順次他の製品については投入。2006年に2億円、2007年には3億円の売り上げを目指す。