400万人の顧客情報が流出したとして、世間を騒がせる発表を先日KDDIが行った。その400万人の顧客データを格納していたのはデータベース(DB)であることから、DBセキュリティの市場は今後、注目を集める可能性の高い分野だといえる。
このDBセキュリティの市場に、トランスデジタルの子会社であるティーディー・セキュリティ(TDセキュリティ)が6月15日、英国のNext Generation Security software(NGSソフトウェア)と業務提携し、参入すると発表した。NGSソフトウェアは、セキュリティに関する脆弱性を調査する機関「NGSリサーチ」などを擁する企業で、前述のリサーチのほか、セキュリティに関するコンサルテーション、そして提携の核となる脆弱性検査ソフトの3つの事業を展開している。
今回の提携は、TDセキュリティがNGSリサーチのDBセキュリティソフト「NGS Squirrel(スクイレル)」シリーズの販売を行うとともに、同ソリューションを利用してDBの脆弱性検査と、ウェブアプリケーション検索をサービスとして提供するものとなる。
TDセキュリティは、現在のシステムの脆弱性検査はネットワークやサーバ、特定のアプリケーションまではカバーしているが、最も重要な情報が格納されたDBは抜け落ちている状態だと警告。また、OSなどと異なり、セキュリティパッチや警告がベンダーから発表されても適切にパッチが当てられていないほか、想定されやすいID/パスワードが使われていることや、脆弱性を検知しても対処できないという現状を指摘している。そして、ID/パスワードの問題もワームにスキャンされてすぐにアクセスできる状態にあるという。
NGSソフトウェアの取締役であるRobert Horon氏は「当社は英国政府や米国政府に対して信頼性のあるアドバイスを提供しており、英国の国家インフラストラクチャ安全調整局(NISCC:National Infrastructure Security Co-ordination Centre)、政府機関のUNIRAS(Unified Incident Reporting and Alert Scheme)など、セキュリティの重要機関のオフィシャルアドバイザーを務めている。また、Slammerワームなどを発見したほか、オラクルやマイクロソフトの強固なセキュリティの脆弱性を見つけたのも当社。さらに2003〜2004年のエンタープライズ分野のソフトでは、全世界の48%の脆弱性を発見している」と技術力の高さをアピール。
NGS Squirrelシリーズは、SQL Server、Oracle、DB2、Sybaseなどのラインアップが用意されている。Horon氏は「それぞれが対象にあわせて特別に開発されたソリューションであり、システム管理者やセキュリティスタッフが、迅速かつ簡単にDBの脆弱性とその修正が行える。さらにサービス拒否(DoS)攻撃やリモートサーバからの侵入なども防御できる」としている。
NGS Squirrelシリーズに備わる具体的な機能としては、まずLAN接続されているDBを自動検出することによって、システム管理者が認知していないDBの存在や、テスト用のDBに重要なデータが格納されているような事態を排除する。また、個々のDBに潜む脆弱性を検出すると、既知の問題であれば「ロックダウンスクリプト」と呼ばれる脆弱性を防ぐためのスクリプトを作成したり、必要なパッチを当てたりする仕組みとなっている。
なお、スクリプトの適用はUndo機能を備えることでトラブルが起きた場合の回避が可能なほか、最新ではなく必要最低限のパッチを適応できる機能により、“枯れた”技術を重視する企業にも対応できるとしている。このほか、パスワードの脆弱性を検出する機能や、検査したいセキュリティレベル/要する時間に合わせて検査する機能、さまざまな形式でレポートを出力する機能を備える。価格は、セキュリティコンサルタントが使用するコンサルタントライセンスで25万円(30日)から、企業が利用するエンドユーザー向けライセンスが1年間で35万円からとなっている。