DBセキュリティをセルフチェック--第1回:DBセキュリティの現状 - (page 2)

大野祐一(ラック データベースセキュリティ研究所) 2007年11月06日 15時21分

  • このエントリーをはてなブックマークに追加
  • 印刷

「DBは攻撃されない」の実態

 先ほどの図1のように、通常DBサーバはFWの内側に設置されており、インターネットから直接DBサーバにアクセスすることはできない。しかし、SQLインジェクション攻撃によって直接DBが攻撃を受けたり、悪意を持つ内部関係者による、権限を悪用した情報の漏えいを招くこともある。

「DBには侵入できない」の実態

 管理者・運用担当者用端末からや、クライアント/サーバシステムを利用しているオフィスからDBに接続することは、端末制限されておらず非常に容易にアクセスできる。ただし、DBにログインするには何らかの認証をクリアする必要があるのだが、デフォルトパスワードのアカウントが放置されているような状況では、ログインすることは造作もない。その上、セキュリティパッチが適用されていないDBでは、ログイン後に管理者権限まで取得される可能性も高い。

「DB管理者は、自社の従業員と機密保持契約を交わした関係者なので安心」の実態

 機密保持契約の締結、ポリシ違反時の罰則規定などの抑止策は、一旦タガが外れた(腹を括った)人間には無効である。過去に発生した内部関係者による情報漏えい事件のほとんどは、こうした信頼できる担当者により引き起こされている。

 そして、内部関係者による情報漏えい事件は件数こそそれほど多くないが、一回あたりの漏えい件数は、紛失や過失に比べ桁が違うので侮れない。

参照:JNSA 2006年度 情報セキュリティインシデントに関する調査報告書(PDF)

「仮にDBが何かしらの攻撃を受けてもすぐに気付くはず」の実態

 組織内の誰かがウイルスに感染したらアンチウイルスソフトや、ネットワーク管理者などが即座に検知し、被害拡大防止策が取られる場合が多い。しかし、内部関係者によるDB内の情報の不正持ち出しや、SQLインジェクションなどの攻撃の場合は、ほとんど気付かれることはない。

 ネットワークの監視カメラをIDSとすれば、DBの監視カメラに相当する装置や製品を導入している組織は、現時点ではまだまだ少ないからである。


 以上のことは、みなさんのまわりのDBでも該当する部分が多いだろう。不安に思われたら是非、関係者にヒアリングベースでもよいので確認してほしい。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]