DBセキュリティをセルフチェック--第2回:活用!セキュアDBマトリクス 要件化編(1) - (page 3)

大野祐一(ラック データベースセキュリティ研究所) 2007年11月26日 18時47分

  • このエントリーをはてなブックマークに追加
  • 印刷

システム構築時のアプローチ

 それでは本題に入る。実際にセキュリティ対策を検討する際は、大きく2種類のシチュエーションが存在する。

図3 図3 セキュリティ対策 2つのシチュエーション

 1つ目は、システムを構築する前の段階、もう1つはすでに稼動・運用中のシステムに対する後付けのセキュリティ対策である。本連載では、最初に前者におけるセキュアDBマトリクスの活用方法、その後で後者における活用方法について解説する。

要件定義なき実装はなし

 要件定義とは、ひらたく言えば、提案依頼書(RFP)に記載されている要求や制約に対して、対象のシステムが実装すべき機能、運用ルールなどを定義するフェーズである。このとき、ユーザ企業から「セキュリティ」に関する要求がきちんと提示されていれば、システム構築を請け負うシステムインテグレータ(SIer)は喜んで実装するのだが、要件として提示されない場合、セキュリティ対策の設計もされず、当然実装もされない。

止まらなければ良いのか!?

 ここでもう一度改めて考えて欲しい。組織にとって重要な情報を格納するのはデータベースであり、その情報の安全を保つためには、データベース側で可用性、完全性に加え、機密性、責任追跡性を確保することが、もはや当たり前といってよいのではないだろうか。

図4 図4 パフォーマンス+安定稼動>>安全・安心

 データベースに関する要件は、性能目標や稼働率、障害復旧時間などの可用性に関する要件、データ処理(計算、編集、集計など)やデータの整合性などの完全性に関する要件は、比較的詳細に提示される。しかし、機密性(誰がどのデータにアクセスしてよいか/よくないか)や、責任追跡性(誰がいつどのデータにアクセスしたのか)に関しては十分といえないだろう。

 もちろんデータベースが、安定稼動して高パフォーマンスであることは基本中の基本であり、これらがおろそかになってはいけない。しかし、安全性が欠けている状態のままでは、いずれそこを突かれ、大惨事になる可能性があることを忘れないで欲しい。

図5 画竜点睛

 次回は、セキュアDBマトリクスの項目から、具体的な要件化、要件に対する対策の選択についてを説明する。乞うご期待。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]