編集部からのお知らせ
(記事集)ニューノーマルで伸びる業界
「ニューノーマルとIT」新着記事一覧

DBセキュリティをセルフチェック--第1回:DBセキュリティの現状

大野祐一(ラック データベースセキュリティ研究所)

2007-11-06 15:21

データベースの重要性

 情報システムを構成する要素の中で最も重要なものは何か?と問われれば、たいていの技術者は「データベース」(以下、DB)と答えるはずである。なぜなら、DBには、組織にとっての重要な情報が格納されているからである。それらの情報が外部に流出したり、改ざんされたり、必要なときに情報を参照、更新できないという状況になった場合、規模にもよるが組織は少なからず損失を被るはずである。

無防備なDB

 それだけ重要なDBには、厳重なセキュリティ対策が施されていると思われがちだが、残念ながらそうとはいえない。特に個人情報保護法があまり意識されていない3、4年前にリリースされたシステムのほとんどのDBは、以下のような脆弱な設定や運用状態であることが多い。

  • デフォルトパスワードの特権アカウントが存在する
  • 製品と一緒に導入される不要なデフォルトアカウントが無効化されていない
  • DB管理者グループの間でDBアカウントが共有されている
  • リリース後に公開されたセキュリティパッチが適用されていない
  • DB管理者や運用担当者は責任者の承認なくDBに接続できる
  • DBにおいてアクセスログが収集されていない

DBは本当に安全か!?

 一方、組織内のシステム利用者の大半は、重要な情報はDBに入れてしまえば安全であり、何かあったとしても、ウイルス発生と同じようにすぐに気付く(検知できる)と思っているようである。

  1. DBは攻撃されない
  2. DBには侵入できない
  3. DB管理者は、自社の従業員と機密保持契約を交わした関係者なので安心
  4. 仮にDBが何かしらの攻撃を受けてもすぐに気付くはず
図1 図1 一般的なシステム構成

 次ページで、上記1〜4のそれぞれの項目について、実態をみてみよう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]