#8:SQLインジェクション
ハッカーがよく用いるSQLインジェクションという手法はいまだに、企業データベースの保護に厄介な問題をもたらしている。SQLインジェクション攻撃とは、SQLサーバに対する入力文字列に、汚染された変数や悪意のあるコードを仕掛けたうえで、それらをSQLサーバインスタンスに引き渡し、解析、実行させるというものだ。ひとたびこういった攻撃を受けると、データベース管理者はその後始末に忙殺されるはずだ。このような脅威に対する最善の防御策は、ウェブとのやり取りがあるデータベースをファイアウォールで保護するとともに、開発中からSQLインジェクションを防ぐための入力変数のチェックを行っておくことだろう。
#9:認証情報のいい加減な管理
認証情報の管理システムは、認証情報の安全を担保するものであるが、調査チームは暗号鍵が企業のディスクドライブ中に格納されているケースにしばしば遭遇した。データベース管理者によっては、データベースに問題が発生した時のために認証情報はディスク上に残しておかなければならないという間違った情報を真に受けてしまっている場合がある。保護されていない場所に認証情報を保管することで、システムは簡単に攻撃者の手に落ちてしまう。
#10:データベースの不整合
最後に、調査チームは上述の落とし穴すべてにつながる共通の問題として、整合性の欠如を挙げている。これはデータベース技術の問題というよりはシステム管理の問題である。システム管理者とデータベース開発者は、データベースの管理において一貫性のあるプラクティスを身に付けることで、脅威に対して常に注意を払っておくとともに、脆弱性についての対処が済んでいるのを確認しておく必要がある。これは簡単な仕事ではないものの、追跡や変更を容易にする文書化と自動化によって、企業ネットワーク上に保管されている情報のセキュリティを保証できるようになるはずだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。