(Photo by:Norlando Pobre)
2016年から導入されたマイナンバー制度により、セキュリティへの注目が高まっている。しかし、現在、多くの専門家が、日本の企業のデータベースのセキュリティの甘さを指摘している。
IDCの調査によると、外部からの侵入を阻止するFirewallやIPS等の対策に比べ、内部での情報漏洩を防ぐデータベースのセキュリティ対策は遅れがちである。
その理由をIDCは、企業がセキュリティ対策を投資対効果で評価する事が多いためと分析している。データベースのセキュリティ対策は、数字での具体的な効果の測定がしにくいため、優先度が低くなりがちなのである。
データベースのセキュリティ対策には、様々な分類方法があるが、今回は、物理レベル高、中、低というカテゴリで分類を行う。実施する際は、物理レベル高の部分から優先的に実施するのが良いであろう。
データベースのセキュリティ対策【物理レベル高】
データベースを物理的にどこに設置するか、という問題である。
前述のように、これは最も優先的に対策がなされるべき部分である。なぜなら、物理レベル低のところに幾らお金を使っても(ファイアウォールやIDS等に多額の投資をしても)、物理レベル高が達成できていなければ意味がないのである(マシンルームに誰でも出入りできるような状態)。
但し、物理レベル高の対策は、設定や変更に費用や時間がかかるので、長期的な視点で対策を行っていく必要がある。
一般的に必要とされる対応としては、物理的にデータベースにアクセスできる場所への入出管理のルールを定め、ICカード、監視カメラ、施錠等のツールでルールの実効性を確認するのが良いだろう。
データベースのセキュリティ対策【物理レベル中】
データベースをNW上のどこに配置するか、という問題である。
ここで考慮すべき点は、
①不特定多数のアクセスからデータベースを守る事、
②特定のサーバーとの通信についてネットワークにおけるセキュリティ対策を行う事、
である。そのため、データベースは内部ネットワーク(LAN)の中に配置し、プライベートアドレスを設置するのが良い。
ECサイト等で、DMZ内にWebサーバーが置かれている場合がある。その場合データベースはLANの中に設置し、その上で、ファイアウォールがDMZのWebサーバーからLANのデータベースサーバーへの通信だけを通すセキュリティーポリシーを適用するのが良い。なぜなら、データベースがDMZに置かれていると、DMZに侵入された場合に、情報の保存先であるデータベースが危険にさらされるからである。
又、ネットワークの暗号化を行い、クライアントとデータベース間、あるいはデータベースリンク間の盗聴対策を行うことも大切なセキュリティ対策となる。
データベースのセキュリティ対策【物理レベル低】
物理レベル低の対策には、インストール時に行われるべき対策と運用上の対策がある。
(データベースインストール時の対策)
- インストール時に自動作成される不要なアカウントは削除する/不必要なアカウントは登録しない
- パスワードを初期設定から変更する。
- 初期パラメータを必要に応じて変更する:OSの認証を利用する事により、データベースへのアクセスが可能になる等のセキュリティ的に脆弱な設定が設定されている事があるため、確認の上で変更を行う。
(Photo by:GotCredit)
データベースの(運用上の対策)
- データの暗号化と秘匿化を行う:万が一、不正アクセスをされてしまった場合の最後の砦となる。
- 特権ユーザーの権限管理を行う:特権ユーザーの払い出し、及び使用後のパスワード変更について、厳格な運用ルールを決め、それに従った運用を行う。
- ユーザーへの権限付与について十分な検討をする:必要最低限の権限が設定されるようにする。
- 定期的な監査の実施:①ログを取得し不正なアクセスやデータ改ざんの兆候がなかったかの確認、②権限の内容の確認(SQL文の実行により、権限が想定されているデータのみアクセス可能である事の確認を行う)、③ユーザーに付与されている権限の棚卸(社内異動等で、ユーザーの担当する業務が変わったのに、依然のアクセス権が残っている場合がないか、等の確認)
以上、データベースのセキュリティについて、物理レベル高、中、低に分けて考察をしてきた。
近年では、サイバー攻撃による悪意の者のネットワーク侵入や、内部犯行による情報漏洩のインシデントが後を絶たない。その対応として、データベースのセキュリティ対策は、非常に重要になる。対応が遅れている企業は、是非、早急にアクションを取るべきである。
本ブログは、Git / Subversionのクラウド型ホスティングサービス「tracpath(トラックパス)」を提供している株式会社オープングルーヴが運営しています。
エンタープライズ向け Git / Subversion 導入や DevOps による開発の効率化を検討している法人様必見!
「tracpath(トラックパス)」は、企業内の情報システム部門や、ソフトウェア開発・アプリケーション開発チームに対して、開発の効率化を支援し、品質向上を実現します。
さらに、システム運用の効率化・自動化支援サービスも提供しています。
”つくる情熱を支えるサービス”を提供し、まるで専属のインフラエンジニアのように、あなたのチームを支えていきます。
No Comments