内部関係者の犯行による大量の個人情報の漏洩事件が相次ぎ、企業のセキュリティ対策は、外部からの侵入防御にとどまらず、内部漏洩の防止策も不可欠になっている。データベースセキュリティは、急成長が見込める新商材として、注目が高まっている。
「今年に入って、ユーザー企業からの引き合いが急激に伸びている。受注のペースは前年比で3倍増の勢いだ」。アイピーロックスジャパンの小林秀雄マーケティング&ビジネスデベロップメント本部長は、こう語る。2003年7月から他社に先駆けデータベースアクセス監査ツール「IPLocks」を提供しているが、ようやく訪れたデータベースセキュリティ市場の立ち上がりに、手応えを感じている。
個人情報保護法の施行などで活気づくセキュリティ市場だが、ことデータベースセキュリティ市場は、まだ立ち上がったばかりだ。ミック経済研究所によれば、情報セキュリティソリューション市場に占めるデータベースセキュリティの占有率は、2005年時点で、1%程度に過ぎない。だが今後は順調な伸びを見込む。国内市場は、2005年の10億円から、2009年にはおよそ90億円に達する見通しだ。
データベースセキュリティ製品とは、データベースのデータを暗号化して保存したり、データベースそのものへの不正アクセスを監視したりする製品だ。ファイアウオールや、Webアプリケーションのアクセス認証など、企業内のデータを守るための対策は多岐にわたるが「外部からの侵入防御が中心で、データベースそのもののセキュリティは後回しにされていた」(ジャパン・インフォメーション・テクノロジーの石崎利和社長)。
だが、企業内のデータベースから直接大量のデータが漏洩したとされる事件が相次ぎ、企業にとって情報の本丸であるデータベースそのものを守る対策が注目されるようになった。いくら外部からの侵入を防御していても、データベースの管理者権限を持つユーザーがアクセスすれば、一括して重要データを盗み出すことが可能だし、データベースから情報が漏洩した事実すら当事者が認識できないという問題もあるからだ。
データベース製品そのものにも、データベースへのアクセス権限の設定や認証機能、監査ログの取得機能、格納したデータの暗号化といったセキュリティ機能は備わっている。だが、収集した情報を分析する機能や、アクセス履歴を長期にわたって保存するという機能は不十分。暗号化にしても、実際に利用するにはアプリケーションの開発負担が大きいなど、使いやすいものではない。データベースセキュリティに特化した製品が、こうした標準機能を補完する。
アクセス情報を監査・分析
現在市販されているデータベースセキュリティ製品は、データベース監査ツールとデータベース暗号化ツールの大きく2つに分類できる。そのうち監査ツールは、比較的製品数が多く、市場の動きも活発だ。IPLocksの発売後1年間は独占状態だったが、2004年後半から、各社が相次いで同様の製品を投入した。先行したIPLocksは、今年9月時点でユーザーが100社を突破している。
データベース監査ツールは、アクセスログの監査方式の違いによって、大きく3種類に分類される。IPLocksやアクアシステムズの「Performance Analyzer Audit Master」は、データベース製品の標準機能である監査ログを利用して、アクセスログの収集や分析を行う。一方、インサイトテクノロジーの「PISO」は、Oracleのシステムメモリー領域にアクセスして、データベースへのアクセス情報を取得する。ネットワーク上の通信データをキャプチャして記録・分析するパケットキャプチャ方式を採用するのは、ネットワークセキュリティテクノロジージャパンの「Chakra」やエアーの「SQL Guard」である。
