情報漏えいリスクはDB権限の在り方にも責任、日本オラクルが対策を説明

日本オラクルは、データベースから重要情報を盗み出されるなどの事件が多発しているとして、情報セキュリティ対策への取り組みを説明した。

[國谷武史，ITmedia]

北野氏

　日本オラクルは9月15日、データベース（DB）製品を中心とした情報セキュリティ対策に関する取り組みを記者向けに説明した。企業などでの内部不正が原因となる情報漏えい事件が多発していることを受けて、IDやアクセス管理、データ保護製品などの活用を呼び掛けた。

　冒頭、データベース製品戦略推進部の北野晴人ディレクターは「DBに格納された重要情報を企業関係者が不正に持ち出す事件が急増している。雇用環境の変化やセキュリティ対策の不備が影響しており、技術的な対策を有効に活用していただきたい」と話した。

　同氏によれば、非正規雇用や転職経験者の増加、厳しい経済情報に伴う個人負債を抱えた正規社員の増加が、企業の情報セキュリティリスクを高めているという。その結果、個人情報や知的財産などの重要情報の不正な持ち出しや転売などの事件が増加し、同氏はデータ保護の仕組みを強化することの重要性を指摘した。

　内部不正を原因とした情報漏えいは、バックアップ用メディアの盗難、管理者権限の悪用、IDの不正利用、不正プログラムの実行とデータ盗難といった行為によって引き起こされ、最終的にはクレジットカード会社や消費者などの最終顧客に被害が発生して、当該企業にも信用の失墜も含めた甚大な被害につながる。

内部不正による情報漏えいの主な要因

　北野氏は、「情報の不正な搾取や悪用を禁止する法体系も整備されつつあるが、法律の適用にはID管理や権限の付与が適切に実施されているか、また、対象となるデータが保護されているかといったことが条件になる」と説明。こうした課題に対処するには、セキュリティリスクの可視化や投資対効果に基づいた戦略的な対策の導入が重要になるとしている。

　このため、同社ではIDやアクセス権限、ファイルベースのデータ保護を中心としたセキュリティ対策製品をDBやアプリケーションサーバ、クライアントを対象に提供しているという。Fusion Middlewareビジネス推進本部の龍野智幸部長は、「従来のわれわれの製品は管理者権限が一極集中する仕組みで、今のセキュリティリスクを生じさせる一端になってしまった。ベンダーの責任として、このようなセキュリティリスクに対処するためのソリューションに注力している」と述べた。

日本オラクルのセキュリティ製品群

　一例として、龍野氏はデータベース管理者の権限を複数に分割させる「Oracle Database Vault」を説明。同製品はDBそのものものの管理やアカウントの管理、セキュリティポリシーの管理、アプリケーションデータの管理といった管理業務の内容に応じて管理者権限を分割し、各権限の管理を自動的に行う。権限のチェックはポリシーと、権限者の通常の行動パターンと照合する仕組みを採用し、例えば業務時間外に権限者が特定のデータや機能へアクセスするのをブロックする。

　このほかにも、ファイルデータにユーザー権限を関連付けさせたDRM（Digital Right Management）を付与し、利用を制限することで改ざんや外部への流出を防ぐ「Oracle Information Rights Management」、不正IDの自動検出や削除などが可能な「Oracle Identity Management」を取り上げ、同社のセキュリティ対策ソリューションを説明した。

　北野氏は、「セキュリティ専業企業が提供する製品やソリューションも多数あるが、特に組織内部のリスクに対してはDBベンダーであるわれわれが対処しなければならないと考えている。アセスメントも含めて顧客企業のセキュリティ強化を支援したい」と述べている。

過去のセキュリティニュース一覧はこちら