データベースセキュリティ対策のガイドライン公開、「分母」を明らかに

データベース・セキュリティ・コンソーシアム（DBSC）が、セキュリティ強化の指針や考え方をまとめた「データベースセキュリティガイドライン」を公開した。

[ITmedia]

　データベース・セキュリティ・コンソーシアム（DBSC）は11月7日、セミナーを開催し、データベースのセキュリティ強化に向けた指針や考え方をまとめた「データベースセキュリティガイドライン」を公開した。

　DBSCは、データベースのセキュリティ強化を目的として2005年2月に設立された業界団体だ。「監査ログ・フォレンジック」や「セキュリティガイドライン実装」といった複数のワーキンググループを設け、データの保護や管理に関する標準的技術、手法の確立に取り組んできた。

　今回公表されたデータベースセキュリティガイドラインは、「そもそもデータベースは企業の基幹となる部分なのに、どのようにセキュリティ対策を施すべきかについて包括的、俯瞰的にまとめたガイドラインがなかった」（富士通大分ソフトウェアラボラトリセキュリティセンターの三河尻浩泰氏）という問題意識に立ってまとめられた。この部分は、DBSC参加企業がシステムインテグレータとして顧客に提案を行う際にも悩みの種となっていたという。

　ガイドラインは、ある程度データベースに関する知識を持った管理者、設計者向けに書かれている。まず、全体のセキュリティ対策におけるデータベースセキュリティの位置付けや基本方針（ポリシー）を明示した上で、不正行為の「防御」「検知」「追跡」という3つの分類に基づいて対策を列挙した。ただし、特定の製品に依存することを避けるため、具体的な実装までは記述していない。

　特徴の1つは「現場の観点から、経験則に基づいて作成されている」（三河尻氏）こと。

　例えば、セキュリティ上の脆弱性をなくすという観点からは「最新のバージョンを導入する」「常に最新のパッチを適用する」ことが望ましいが、現場の立場からすると、既存システムや過去のデータとの整合性上、常にこの項目を遵守することは難しい。そこでこれらの項目は「必須」ではなく「推奨」という扱いにした。また、通信やデータの暗号化についても、システムへの負荷やコストを加味して推奨項目とした。逆に、「インストール時にデフォルトで導入される機能のうち、使用しない機能は削除、無効化する」といった項目は必須扱いだ。

　三河尻氏はこのガイドラインによって、「やるべきことを『分母』、できていることを『分子』にたとえた場合、この分母の部分を明確にすることができた」と述べ、具体的なアクションにつなげるものとして活用してほしいとした。同ガイドラインはDBSCのWebサイトで公開されており、これを用いたサービス提供についていっさい制限はないという。