(1)網羅性
DBに格納されたデータやDBMSとしてのサービスそのものを保護する為の対策が、DBサーバは当然として、その他のシステムを構成するサーバや機器、さらに人間による運用まで網羅している。
図2 縦軸は対策の実施対象、横軸は種類別に分類された対策
(2)判断基準
図2のように「●」(本来は赤丸)、「○」、「・」の3段階で対策の重要度を表現している。この重要度は、対策しなかった場合の影響度、対策の難易度、運用中かこれから構築するのかの時期などからランク付けした。
リスクアセスメントに時間が割けない担当者の場合は、「●」の対策を実施することを考えればよいだろう。
(3)わかりやすさ
一目瞭然、とくに説明の必要はないだろう(冗談です)。
縦軸は、開発者によって作成されるテーブルやストアドプロシージャなどのDBオブジェクトから、DBサーバのOS層、ネットワーク、サーバ設置環境、DBに接続するアプリケーションなど、それぞれ対策を実施する場所ごとに分類されている。横軸は、対策の種類ごとに分類している。
各見出しの詳細な説明は、ラックのウェブサイトに記載されているのでそちらを参照していただきたい。
