「企業の一番大切なもの」は守れているか？

米GuardiumのCTO、ロン・ベンナタン氏は、ネットワークセキュリティ同様、データそのもののセキュリティ対策にも投資が必要だと言う。

[高橋睦美，ITmedia]

　データベースセキュリティ／監査システムを開発している米GuardiumのCTO、ロン・ベンナタン氏が来日。ネットワークやWebアプリケーションにとどまらず、データベースそのものについてもセキュリティ対策が必要だと述べた。

　「データベースこそ最も重要な資産だ。センシティブな情報、個人情報、会計情報……これらすべてがデータベースに格納されている」（ベンナタン氏）。

　しかも、セキュリティ業界でたびたび指摘されているとおり、攻撃者の目的は「単なるゲームから、情報を盗み出し、それを金銭に換えることへと変化した」（ベンナタン氏）。そのターゲットとなる情報はデータベースに格納されている。この結果、データベースを狙う攻撃はより高度化した。

　その上、そもそもデータベースというものは、クエリが投げかけられれば答えを返す性質のものだ。データベース製品そのものの脆弱性や不適切な設定といった要因も考え合わせると、さまざまな形の侵入経路が考えられるという。したがって、「外部の脅威からシステムを保護するファイアウォールだけでなく、内部の脅威も含め、データそのものを保護することが重要になる」と同氏は述べた。

　「銀行では入り口に警備員を配置するだけでなく、監視カメラを設置し、さらに金庫に入れて資産を保護している。同じようにデータそのものを保護することが重要だ」（同氏）

米GuardiumのCTO、ロン・ベンナタン氏

　もっとも、既存のデータベース製品がまったくセキュリティ機能を備えていないというわけではなく、独自の監査機能やアクセス制御などを実装済みだ。しかし、「これらは実用的ではなく、ビジネス上のニーズを満たすものではない」とベンナタン氏は言う。

　「約10年前にファイアウォール専用製品が登場したとき、『ルータがあるのになぜわざわざファイアウォールが必要なんだ』と言われたものだが、データベースのセキュリティを巡って、今、同じ状況が起こっている。データベースそれ自身が備えるセキュリティ機能を補完し、多層的な防御の一環をなす、より強固なセキュリティが必要とされている」（同氏）

　ベンナタン氏によると、現在のデータベース製品が備えるセキュリティ機能の多くは、ユーザー名とパスワードに基づいたもの。複数のユーザーが同一アカウントを共有するといった具合に、その使い方を誤ってしまえば意味がなくなる。また、たびたび指摘されているように、正規のユーザーが悪事を働く可能性も否定できない。

　その解決策の1つとしてベンナタン氏が挙げるのは、アプリケーションの振る舞いの学習／解析に基づく不正アクセスの検出だ。「あらかじめアプリケーションの振る舞いを学習しておくことで、システムに変更がないのに普段と異なるリクエストを受け取った場合に、何かおかしいことが起こっていると判別できる」（同氏）

　また、管理者や開発者による悪意ある行動を検出するには、モニタリングを行い、統制システムを確立することが重要だ。何らかの変更があるとしても、それを把握し、コントロールする仕組みをサイクルに組み入れる必要があるという。

　「たとえば操作ミスも、ハッカーによる攻撃と同じくらいのインパクトを与える。適切なプロセスを導入し、何が起こっているかを把握することは、セキュリティの強化につながるだけでなく、事業継続やコンプライアンスにも有効だ」（同氏）

　Guardiumが提供しているデータベースセキュリティ製品群「SQL Guard」は、こうした作業を支援するものだという。

　具体的には、アクセス履歴や例外行為を把握し、レポートすることで監査を支援する「SQL AuditGuard」、データベースに対するアクセスコントロールを実施する「SQL PolicyGuard」、データベースそのものの脆弱性の有無や設定を検査する「SQL Healthguard」といった製品が用意されており、「SOX法など法規制への遵守とプライバシーの保護、セキュリティの強化という3つのピースを提供する」（同氏）。日本市場向けのローカライゼーションを進めるほか、ワークフローの自動化などの機能を強化し、伊藤忠テクノサイエンスおよびエアーを通じて販売していく。