NGSSoftwareのDB脆弱性検査ツールが日本上陸、修正までもカバー

ティーディー・セキュリテは英国のセキュリティ企業、NGSSoftwareと業務提携を結び、同社のデータベース脆弱性検査ソフト「NGS Squirrel」シリーズの販売を開始する。

[高橋睦美，ITmedia]

　ティーディー・セキュリティ（TDセキュリティ）は6月15日、英国のセキュリティ企業、Next Generation Security Software（NGSSoftware）と業務提携を結び、同社のデータベース脆弱性検査ソフト「NGS Squirrel」シリーズの販売を開始することを発表した。

　NGSSoftwareは、脆弱性の調査やコンサルティングなどを手がけるセキュリティ企業だ。特に、Oracle DatabaseやMicrosoft SQL Serverといったデータベース製品に存在する脆弱性の発見で名を知られており、これまでもたびたびベンダーに指摘を行ってきた（関連記事）。

　TDセキュリティは今回の提携にともない、NGSSoftwareのデータベース脆弱性検査ツール、NGS Squirrelの国内販売を開始する。

　NGS Squirrelは、OracleやMicrosoft SQL Server、IBM DB2、Sybaseといった主なデータベースごとに提供され、脆弱性の有無やパッチの適用状況、アカウント／パスワード設定や権限、ロールの設定状況、監査設定といったさまざまなセキュリティ項目を検査する。ユニークなところでは、Oracle DB接続に用いられるリスナーにDoS攻撃に対する脆弱性があるかどうかなどの確認が可能だ。検査項目はOracleの場合で459項目、Microsoft SQL Serverでは1万8000項目以上に上り、定期的にアップデートされる仕組みだ。

　検査結果はHTMLやリッチテキストなどの形式で出力される。現在は英語インタフェースのままだが、TDセキュリティではローカライズ作業を進めており、遠くない時期に日本語版を提供していきたいとしている。

NGS Squirrelの検査画面。検査は数分程度で終わり、左側のツリーから詳細な脆弱性の状況を把握できる

　NGS Squirrelの最大の特徴は、ただ脆弱性を発見し、列挙して終わるだけでなく、その修正方法までも提示することだ。発見された脆弱性に応じて「必要最低限適用すべきパッチ」を示すほか、主な脆弱性については修正用スクリプト（ロックダウンスクリプト）を自動作成し、適用する機能を提供する。スクリプトの内容を目で見て確認できるため、管理者が安心して適用できるほか、不具合が生じた場合に取り消せるようUndo機能も備えている。

　TDセキュリティでは「ネットワークやWebアプリケーションの脆弱性検査は広く行われるようになったが、肝心の情報が格納されているデータベースについては、いわば『鍵がささったまま』で放置されている状態。データベースについても他の部分と同様、対処していかなければならない」とNGS Squirrelリリースの背景を説明。そもそもデータベース管理者は人手が足りていない上、セキュリティのノウハウも少ないことから、ツールをうまく使いこなして対処する必要があるとした。

　NGS Squirrelの価格は、セキュリティコンサルタントなどが自社のサービスの一環として利用する場合のコンサルタントライセンスが30日間で25万円から、エンドユーザー向けライセンスは1年間で35万円から。TDセキュリティは同時に、データベース／Webアプリケーションの脆弱性検査サービスも提供するという。

　今回の発表に合わせて来日したNGSSoftwareの取締役、シェリフ・ハマド氏は、「OS側のセキュリティが堅牢になるにつれ、アプリケーションが狙われる傾向が明らかになってきた」とコメント。同じく取締役のロバート・ホートン氏も、「いまだに多くのデータベース製品が、ベンダーによるパッチ提供を待っている脆弱性を多数抱えている」と指摘し、今後もデータベースをめぐるセキュリティは重要になるだろうと述べている。