データベース関連でありがちな、そして深刻な事態を招くセキュリティ上の落とし穴がいくつかある。中でも特に注意しておくべきものについて解説する。
デジタルな世界を舞台に繰り広げられる戦闘行為や、世界レベルのサイバー攻撃が増加するにともない、企業ネットワークを防衛することの重要性がさらに高まっている。
データベースは重要な情報の宝庫である場合も多いため、サイバー犯罪の主なターゲットとなっている。保管されている情報が財務関係のものであるか、知的所有権や企業秘密についてのものであるかにかかわらず、世界中のハッカーたちは業務サーバに侵入したり、データベース内の情報を略取することで利益を得ているのである。
Dark Readingが発行した新たなレポートによると、サイバー犯罪者が悪用できるセキュリティ上の隙というものが数多くあるという。しかし、データへの不正なアクセスを許してしまうような環境を作るのは、企業の従業員、すなわちデータベース開発者や管理者などであることが多い。
Dark Readingの調査チームはこのレポートで、データベースが関連するシステムでよく見受けられる落とし穴を10個挙げている。こういった落とし穴は、データベース構築段階からアプリケーションの統合段階、あるいはアプリケーションのアップデートやパッチ適用の際に作り込まれるものである。以下ではこれらの落とし穴について解説する。
#1:デプロイメント時の設定ミス
データベースに関する落とし穴で最も多いのは、デプロイメントの際における注意不足によるものである。どのようなデータベースであっても機能テストが実施され、設計通りに動作することが確認されているものの、望ましくない動作が存在しないというところまではチェックが行き届いていない。
#2:パッチが適用されていないデータベース
2003年に猛威をふるった「SQL Slammer」ワームは世に放たれてから10分も経たないうちに、脆弱性を抱えたコンピュータの90%以上に感染し、あっという間に数多くのデータベースを停止に追い込んだ。このワームが悪用していたのは、「Microsoft SQL Server」というデータベースソフトウェアに潜んでいたバグであるが、そのバグ自体は前年に発見されていた。しかし、修正パッチをインストールしたシステム管理者が少なかったため、多くのコンピュータが脆弱なままになってしまっていたのだった。
バッファオーバーフロー脆弱性を利用したこのワームが猛威をふるった結果、セキュリティパッチや修正アップデートをインストールすることの重要性が改めて示された。しかし多くの企業は、時間不足やリソース不足といった理由でパッチの適用を定期的に行っておらず、データベースを脆弱なままにしているのが現状だ。
#3:データの漏えい
データベースは業務における「後方支援部門」と捉えられるため、インターネットの脅威とは縁がない(そしてデータの暗号化も不要だ)と考える人もいるかもしれないが、その考えは誤っている。データベースにはネットワークインターフェースも用意されているため、ハッカーたちはこの種のトラフィックを捕捉し、悪用できるのである。こういった落とし穴を避けるために、管理者はSSLやTLSといった暗号化通信プラットフォームを利用するべきだ。
