DBセキュリティをセルフチェック--第1回:DBセキュリティの現状 - (page 2)

大野祐一(ラック データベースセキュリティ研究所)

2007-11-06 15:21

「DBは攻撃されない」の実態

 先ほどの図1のように、通常DBサーバはFWの内側に設置されており、インターネットから直接DBサーバにアクセスすることはできない。しかし、SQLインジェクション攻撃によって直接DBが攻撃を受けたり、悪意を持つ内部関係者による、権限を悪用した情報の漏えいを招くこともある。

「DBには侵入できない」の実態

 管理者・運用担当者用端末からや、クライアント/サーバシステムを利用しているオフィスからDBに接続することは、端末制限されておらず非常に容易にアクセスできる。ただし、DBにログインするには何らかの認証をクリアする必要があるのだが、デフォルトパスワードのアカウントが放置されているような状況では、ログインすることは造作もない。その上、セキュリティパッチが適用されていないDBでは、ログイン後に管理者権限まで取得される可能性も高い。

「DB管理者は、自社の従業員と機密保持契約を交わした関係者なので安心」の実態

 機密保持契約の締結、ポリシ違反時の罰則規定などの抑止策は、一旦タガが外れた(腹を括った)人間には無効である。過去に発生した内部関係者による情報漏えい事件のほとんどは、こうした信頼できる担当者により引き起こされている。

 そして、内部関係者による情報漏えい事件は件数こそそれほど多くないが、一回あたりの漏えい件数は、紛失や過失に比べ桁が違うので侮れない。

参照:JNSA 2006年度 情報セキュリティインシデントに関する調査報告書(PDF)

「仮にDBが何かしらの攻撃を受けてもすぐに気付くはず」の実態

 組織内の誰かがウイルスに感染したらアンチウイルスソフトや、ネットワーク管理者などが即座に検知し、被害拡大防止策が取られる場合が多い。しかし、内部関係者によるDB内の情報の不正持ち出しや、SQLインジェクションなどの攻撃の場合は、ほとんど気付かれることはない。

 ネットワークの監視カメラをIDSとすれば、DBの監視カメラに相当する装置や製品を導入している組織は、現時点ではまだまだ少ないからである。


 以上のことは、みなさんのまわりのDBでも該当する部分が多いだろう。不安に思われたら是非、関係者にヒアリングベースでもよいので確認してほしい。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 経営

    ヒヤリハット管理--トラブル防止のデジタル化でもたらされるメリットとは?具体的なイメージを紹介

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]