編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

データベース関連でありがちなセキュリティ上の落とし穴10選 - (page 3)

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子

2013-07-12 07:30

#8:SQLインジェクション

 ハッカーがよく用いるSQLインジェクションという手法はいまだに、企業データベースの保護に厄介な問題をもたらしている。SQLインジェクション攻撃とは、SQLサーバに対する入力文字列に、汚染された変数や悪意のあるコードを仕掛けたうえで、それらをSQLサーバインスタンスに引き渡し、解析、実行させるというものだ。ひとたびこういった攻撃を受けると、データベース管理者はその後始末に忙殺されるはずだ。このような脅威に対する最善の防御策は、ウェブとのやり取りがあるデータベースをファイアウォールで保護するとともに、開発中からSQLインジェクションを防ぐための入力変数のチェックを行っておくことだろう。

#9:認証情報のいい加減な管理

 認証情報の管理システムは、認証情報の安全を担保するものであるが、調査チームは暗号鍵が企業のディスクドライブ中に格納されているケースにしばしば遭遇した。データベース管理者によっては、データベースに問題が発生した時のために認証情報はディスク上に残しておかなければならないという間違った情報を真に受けてしまっている場合がある。保護されていない場所に認証情報を保管することで、システムは簡単に攻撃者の手に落ちてしまう。

#10:データベースの不整合

 最後に、調査チームは上述の落とし穴すべてにつながる共通の問題として、整合性の欠如を挙げている。これはデータベース技術の問題というよりはシステム管理の問題である。システム管理者とデータベース開発者は、データベースの管理において一貫性のあるプラクティスを身に付けることで、脅威に対して常に注意を払っておくとともに、脆弱性についての対処が済んでいるのを確認しておく必要がある。これは簡単な仕事ではないものの、追跡や変更を容易にする文書化と自動化によって、企業ネットワーク上に保管されている情報のセキュリティを保証できるようになるはずだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]