データベース・セキュリティ・コンソーシアムはセキュリティガイドラインの第2版を公開。情報資産の重要性の基いた対策方法やシステム管理基準などの各種基準との関係を紹介している。
データベース・セキュリティ・コンソーシアム(DBSC)は2月17日、「データベースセキュリティガイドライン」の第2版を発表した。情報資産の重要性を分類し、システム管理基準などの各種基準との関係を基にした対策方法などを追加した。
データベースセキュリティガイドラインは、企業の基幹となるデータベースに対するセキュリティ対策強化に向けた指針や考え方を取りまとめたもの。第1版は2006年11月に公開されている。
第2版では第1版に対するユーザーからの意見のほか、新会社法や金融商品取引法といった各種法規制の変化など考慮した内容を取り入れた。また、DBSCのセキュリティの実装ワーキンググループで検討した成果も反映したという。
新たな項目では、個人情報および会社情報の情報資産に対する重要性を「高」「中」「低」の3段階で分類し、各レベルの項目における対策の必要性を「必須」または「推奨」として示した。
重要度 | 個人情報 | 会社情報 |
---|---|---|
高 | 自社以外から取得した個人情報 | 関係者以外に開示できない情報 |
中 | 自社内で取得した個人情報 | 社外に開示できない情報 |
低 | 個人情報を含まないもの | 公開した情報 |
各種セキュリティ基準との対応関係では、フレームワークとして金融情報システムセンター(FISC)とシステム管理基準追補版、政府機関統一基準、ISO27001、実装としてPCI DSS(ペイメントカードデータセキュリティ基準)とガイドラインの内容を照会できるようにした。
このほか、データベースアカウントの定義の明確化やログ保全における暗号化の推奨、不正アクセスの防止策の導入、インシデント発生後の対応など、実装ワーキンググループから寄せられた9項目について改訂、追記を行った。
改訂を担当した富士通大分ソフトウェアラボラトリの三河尻浩泰セキュリティセンター長は、「管理担当者が業務を円滑に行えるよう、情報資産の重み付けや各種フレームワークとの関係を明確にした」と説明した。
今後は、第2版に対するユーザーからの意見や社会情勢の変化などを考慮し、1年後以降に第3版などの作成、公開を計画しているという。
Copyright © ITmedia, Inc. All Rights Reserved.