日本はデータ層を守る意識が低い--オラクル、データ保護支援サービスを提供

大河原克行

2016-02-10 15:58

 日本オラクルは2月10日、企業のサイバーセキュリティ対策におけるデータ保護を支援するサービス「Oracle Databaseセキュリティ・リスク・アセスメント」の提供を開始すると発表した。

 既存システムのデータベース設定に関する情報を収集、分析するとともに、オラクルが持つデータセキュリティ対策の標準的なベストプラクティスと比較して逸脱している項目を特定。業務アプリケーションやデータベースの運用管理者への聞き取り調査を通じて、すでに対策されている運用、設定、利用技術で潜在的なデータ漏洩のリスクにさらされている領域を特定する。これらの分析を通じて、業務プロセスや既存のシステム設定を変更。新たな技術の導入などのセキュリティ改善計画の立案を支援する。

 同アセスメントは、データベースを中心としながらも、ストレージやネットワーク、業務アプリケーションといった周辺システムも対象とし、企業が保有する顧客データや業務プロセス、セキュリティポリシーなどを掘り下げて分析して、セキュリティに関するリスクを回避するために、企業が実行可能な手法を提示するという。

 企業がさらされるセキュリティ面のリスクを最小化することを目的に、リスク要因の特定と推奨される戦略策定にフォーカスし、実務的なレビューを提供できるとしている。

 執行役副社長でクラウド・テクノロジー事業統括の三澤智光氏は、「従来のネットワーク層だけで守るセキュリティではなく、物理層、ネットワーク層、データ層までを含めた多層防御が必要であると言われるが、日本ではデータ層を守るという意識が低い。日本の企業には、悪いことをする従業員はいないという前提があり、米国でデータ層を対象にしたセキュリティソリューションの販売実績に比べて、100分の1以下の実績に留まっている」と説明した。

 続けて三澤氏は「だが、日本がグローバル化する中でグローバルレベルでセキュリティ対策を進める必要がある。日本オラクルには、データ層の保護の重要性を広めていく義務がある」と解説した。

 三澤氏は「PC端末からの情報漏洩では、社会的なインパクトを持つような情報が漏洩することは少ない。むしろ、特権を持った担当者の内部不正による情報漏洩の方が影響は大きい。今後、データ破壊やデータ改竄といった被害も想定され、企業活動に深刻な事態を及ぼす可能性もある」と現状を見通した。

日本オラクル 執行役副社長 クラウド・テクノロジー事業統括 三澤智光氏
日本オラクル 執行役副社長 クラウド・テクノロジー事業統括 三澤智光氏

 「日本オラクルが多層防御を推奨しているのは、これにより、サイバー攻撃が複数の防御層を突破する必要があり、新たな脅威に対しても、効果的に検知、保護できるというメリットがあるためだ。また、内部攻撃にも対応でき、重要なデータをしっかり守ることができる。アプリ管理ユーザーがデータのアクセスを不可としたり、アプリケーションのユーザー名、権限を使用したデータセキュリティ対策を取ったりできる。利用者を特定した監査証跡の取得が可能である。すべてのデータベースにアクセスできる特権ユーザーに対する防御を提供できる唯一のデータベースがOracle Database 12cになる。これはクラウドでも同様の環境が実現できる」(三澤氏)

 日本オラクルは、一般ユーザーの権限を分割したりアクセスを制御したりするための「Real Application Security」、脆弱性から保護するための「SPARC M7 Silicon Secured Memory」、監査、監視する「Audit Vault and Database Firewall」、データベース管理者の権限を分割したりアクセスを制御したりする「Database Vault」、データを暗号化する「Advanced Security」などのセキュリティ関連製品を提供していることを強調した。

 「Real Application Securityでは、一般ユーザーの権限分割、アクセス制御が可能になり、アプリケーション管理ユーザーに対するリスク回避を提案できる。SPARC M7は、ハードウェアレベルで脆弱性からの保護対策が取れる唯一のCPUである。Silicon Secured Memoryでプログラムで利用可能なメモリ領域を保護できる。なりすましによって、別のメモリ領域からデータを盗み取るといったことができないようになっている」(三澤氏)

 今後、重要顧客を中心とした多層防御の提案を加速させ、その後これらの事例を通じて広く展開していく考えだ。また、パートナーを通じた提案活動も進めていく。

データ漏洩がインシデントの7割

 個人情報保護法やマイナンバー制の施行に伴い、企業では個人情報や特定個人情報に対する安全管理措置の実施が急務となっている。その一方でサイバー攻撃は巧妙化の一途をたどり、情報セキュリティの重要性が増している。

 一方、米国では2014年から現在までに1億2000万件の社会保障番号が漏洩し、日本では2015年上期には高度なサイバー攻撃が前年同期比581%と増加。なりすましにより、ウェブサーバやアプリケーションサーバからの情報漏洩が57%を占めているという。外部からの攻撃だけではなく、内部からのデータ漏洩が全インシデントに占める割合が69%に達しているという調査結果も出ている。

 2015年12月27日には、経済産業省から「サイバーセキュリティ経営ガイドライン」が公開。その中で多層防御と重要データへの高度な暗号化、アクセス制御、監査について記載。経営側に対する、サイバーセキュリティ対策の強化が求められている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]