高まるDBセキュリティ意識
少々暗いスタートになったが、個人情報保護法対策やIT業界で流行り?の内部統制対策のせいか、技術者はおろか利用者側のIT関係者にも、DBセキュリティに対する意識は間違いなく高まってきている。
その証拠に、以前は運用中のシステムに対する脆弱性調査や監査系などの相談がほとんどだったが、最近はこれから構築するシステムの提案依頼書(RFP)作成や、企画・要件定義フェーズにおけるコンサルティング、あるいはシステム開発に関わる技術者への集合教育、ガイドライン作成など、事前に対策しておくことで、手戻りコストを削減しようする動きが目立つ。
DBセキュリティの基準
「安全なシステム」を構築、運用するためには、DBセキュリティが欠かせない。しかし、DBセキュリティは他の分野に比べ、何を、どこまでしておけば良いかの指針、情報が乏しいことも事実である。以下に日本語で読めるDBセキュリティに関する資料を紹介していく。
- 「データベースセキュリティガイドライン第1.0版」
2006年11月にデータベース・セキュリティ・コンソーシアム(DBSC)から公開された。同ガイドは、3層WebシステムにおけるDBサーバに対するセキュリティ対策を、防御系と検知・追跡系に分類し、例示を交えて指針としてまとめてある。 - 「セキュアDBマトリクス」
DBの情報を守るためには、DBサーバ以外にもネットワークレベルやアプリケーション、管理端末など多岐に渡った部分を見逃すことができない。本マトリクスは、私が所属するデータベースセキュリティ研究所において、DBに格納された情報資産やDB自体に対する様々な脅威を想定し、それらに対して抑止、予防、防御、検知、対応策を洗い出し、それらを対策箇所、種類別に分類し、対策の重要度別に色付けしてまとめてある。
図2 想定する脅威
次回以降は、このセキュアDBマトリクスを活用して、新規システム構築時の上流工程と、運用中システムの自己点検と、2つのシチュエーション別にDBセキュリティ対策を紹介する。乞うご期待。
