ニュース
» 2007年07月13日 07時00分 公開

「インサイダーの脅威」と戦うためには

企業はこれまで以上に、データベース管理者を「セキュリティの守り手」として、そして「セキュリティリスク」として扱うバランスを見出さなければならない。

[Brian Prince,eWEEK]
eWEEK

 セキュリティベンダーには、いわゆる「インサイダーの脅威」に対抗する必要性を示す例が230万件以上ある――例えばその1つが、Fidelity National Information Servicesのデータベース管理者が消費者データを盗み、売却したとされている件だ。

 企業はこれまで以上に、データベース管理者を「セキュリティの守り手」として、そして「セキュリティリスク」として扱うバランスを見出さなければならない。

 「まず、データベース管理者の役割は、信頼される役割だ。自社のデータベース管理者を信頼できなければ、解雇して別の管理者を雇うことだ。特に、機密を要する企業データベースを扱う場合は」とForresterResearchのアナリスト、ノエル・ユハンナ氏は言う。

 データベース管理者には企業セキュリティを守るという重要な役割があると、Ogren Groupの主席アナリスト、エリック・オグレン氏は語る。同氏の意見では、データベース管理者はセキュリティ面で、不当な疑いをかけられやすい。

 「データベース管理者はある種ソリューションであるべきだとわたしは感じている。壁ができており、それは健全ではないように思う」(同氏)

 偶然にもFidelityの事件が報じられた2日後、GAO(米政府監査院)は2000年1月から2005年6月までに起きた24件の大規模なデータ漏えいを調査した報告書を公開した。それによると、既存のアカウントに対して詐欺が行われたのは3件のみで、流出した情報が新しいアカウントの開設に利用されたのは1件のみだった。またなりすましに利用されたデータの出所を特定するのは難しいことが多いという。

 それでも米GuardiumのCTO(最高技術責任者)ロン・ベン−ナタン氏は、ビジネスは冷戦時代の格言「信じよ。だが確認せよ」の下で運営するべきだと語る。

 「われわれは皆、信頼できる人を雇いたいと思っているが、セキュリティと規制の両方において、ITポリシー違反を見つけようと行動しなければならない。信頼は戦略ではなく、希望はポリシーではない。チェック&バランスを日々のネットワークとデータベースの運用に組み込むことで、データ侵害などの不正な活動の兆候を早期に見つけ、未然に防ぐ」(同氏)

 一部のベンダーは、製品を売り込む際に、データベース管理者とセキュリティ専門家の間の断絶に気づいたと話す。データベースセキュリティ企業Sentrigoの製品管理副社長ダン・サレル氏は、多くのセキュリティ担当者は従来、境界部分を守ることにフォーカスしてきたが、データベース管理者は常にデータベースのパフォーマンスにフォーカスしてきたと指摘する。

 「彼らが出会わなければならない時が来た」(同氏)

 ユハンナ氏は、データベース管理者は職務上データベースにアクセスできなければならず、従ってデータに触れる必要があると指摘する。だが業界は、データベース管理者に対してさえ、データをデータベースに縛り付ける方向へと進んでいると同氏は説明する。

 「Oracle、IBM、Microsoftなどの(データベース管理システム)ベンダーは、権限を持つユーザーを監視し、彼らにもっと制限されたデータアクセス権限を与えるソリューションを拡大し続けている。最終的な目的は、データベース管理者にデータではなくデータベースを管理させることだ。われわれはそこにたどり着きつつあるが、この目標の達成にはあと2〜3年かかるだろう。今のところは、データベース管理者の活動を監視する必要がある。ベビーシッターを監視するカメラを置くようなものだ」(同氏)

 だがそのカメラは、誰かがけがでもしない限り、ベビーシッターの行動を衆目にさらすことはない。ほとんどのデータ流出事件の報告を義務付ける流出通知法には、それと同じような影響があるとGAOの報告書は主張している。報告が過剰であれば、人々はそのような通知を無視するようになるだろうと報告書には記されている。さらに、そのような法律は企業に大きなコスト負担を課す、とも。

 「もちろん、そうした通知の真の目的は消費者を怖がらせることではなく、消費者を確実に保護し、最終的には組織に流出防止策に投資させる――その方がデータ流出後の後始末よりもずっと安価だ――ことにある」とベン−ナタン氏は言う。「もう1つの問題は、企業がデータへのアクセス方法を知らないために、どのユーザーが危険にさらされているのか分からないことが多く、可能性のある人全員に通知を出さなくてはならないということだ」

 「だが企業は、データが不正に利用された可能性を根拠に通知を出すべきではない。流出の可能性があれば、それだけで十分顧客に過度の懸念と金銭的な負担を与え、顧客を失うことにつながる」(同氏)

 カリフォルニア州がデータ流出通知法の施行を始める前は、企業は流出を隠していたとImpervaの製品マーケティングディレクター、マーク・クレイナク氏は言う。この沈黙の壁が、消費者を無防備にし、自衛の方法もない状態にしていたと同氏は指摘する。

 「オープンであることは良い。企業が沈黙を守るよりも問題に対処せざるを得なくなるからだ。それはいずれ、個人データのセキュリティレベル向上の動機になるだろう」(同氏)

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -