DBセキュリティをセルフチェック--第1回:DBセキュリティの現状 - (page 3)

大野祐一(ラック データベースセキュリティ研究所)

2007-11-06 15:21

高まるDBセキュリティ意識

 少々暗いスタートになったが、個人情報保護法対策やIT業界で流行り?の内部統制対策のせいか、技術者はおろか利用者側のIT関係者にも、DBセキュリティに対する意識は間違いなく高まってきている。

 その証拠に、以前は運用中のシステムに対する脆弱性調査や監査系などの相談がほとんどだったが、最近はこれから構築するシステムの提案依頼書(RFP)作成や、企画・要件定義フェーズにおけるコンサルティング、あるいはシステム開発に関わる技術者への集合教育、ガイドライン作成など、事前に対策しておくことで、手戻りコストを削減しようする動きが目立つ。

DBセキュリティの基準

 「安全なシステム」を構築、運用するためには、DBセキュリティが欠かせない。しかし、DBセキュリティは他の分野に比べ、何を、どこまでしておけば良いかの指針、情報が乏しいことも事実である。以下に日本語で読めるDBセキュリティに関する資料を紹介していく。

  • 「データベースセキュリティガイドライン第1.0版」
    2006年11月にデータベース・セキュリティ・コンソーシアム(DBSC)から公開された。同ガイドは、3層WebシステムにおけるDBサーバに対するセキュリティ対策を、防御系と検知・追跡系に分類し、例示を交えて指針としてまとめてある。
  • 「セキュアDBマトリクス」
    DBの情報を守るためには、DBサーバ以外にもネットワークレベルやアプリケーション、管理端末など多岐に渡った部分を見逃すことができない。本マトリクスは、私が所属するデータベースセキュリティ研究所において、DBに格納された情報資産やDB自体に対する様々な脅威を想定し、それらに対して抑止、予防、防御、検知、対応策を洗い出し、それらを対策箇所、種類別に分類し、対策の重要度別に色付けしてまとめてある。
図2 図2 想定する脅威

 次回以降は、このセキュアDBマトリクスを活用して、新規システム構築時の上流工程と、運用中システムの自己点検と、2つのシチュエーション別にDBセキュリティ対策を紹介する。乞うご期待。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]