DBセキュリティをセルフチェック--第1回:DBセキュリティの現状 - (page 3)

大野祐一(ラック データベースセキュリティ研究所)

2007-11-06 15:21

高まるDBセキュリティ意識

 少々暗いスタートになったが、個人情報保護法対策やIT業界で流行り?の内部統制対策のせいか、技術者はおろか利用者側のIT関係者にも、DBセキュリティに対する意識は間違いなく高まってきている。

 その証拠に、以前は運用中のシステムに対する脆弱性調査や監査系などの相談がほとんどだったが、最近はこれから構築するシステムの提案依頼書(RFP)作成や、企画・要件定義フェーズにおけるコンサルティング、あるいはシステム開発に関わる技術者への集合教育、ガイドライン作成など、事前に対策しておくことで、手戻りコストを削減しようする動きが目立つ。

DBセキュリティの基準

 「安全なシステム」を構築、運用するためには、DBセキュリティが欠かせない。しかし、DBセキュリティは他の分野に比べ、何を、どこまでしておけば良いかの指針、情報が乏しいことも事実である。以下に日本語で読めるDBセキュリティに関する資料を紹介していく。

  • 「データベースセキュリティガイドライン第1.0版」
    2006年11月にデータベース・セキュリティ・コンソーシアム(DBSC)から公開された。同ガイドは、3層WebシステムにおけるDBサーバに対するセキュリティ対策を、防御系と検知・追跡系に分類し、例示を交えて指針としてまとめてある。
  • 「セキュアDBマトリクス」
    DBの情報を守るためには、DBサーバ以外にもネットワークレベルやアプリケーション、管理端末など多岐に渡った部分を見逃すことができない。本マトリクスは、私が所属するデータベースセキュリティ研究所において、DBに格納された情報資産やDB自体に対する様々な脅威を想定し、それらに対して抑止、予防、防御、検知、対応策を洗い出し、それらを対策箇所、種類別に分類し、対策の重要度別に色付けしてまとめてある。
図2 図2 想定する脅威

 次回以降は、このセキュアDBマトリクスを活用して、新規システム構築時の上流工程と、運用中システムの自己点検と、2つのシチュエーション別にDBセキュリティ対策を紹介する。乞うご期待。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]