ティーディー・セキュリティは,運用中のデータベース管理システムに含まれるセキュリティ上の脆弱性を診断するコンサルティング・サービス「データベース・セキュリティの診断サービス」を,2006年7月11日に開始した。英Next Generation Security Softwareが開発した診断ツール「NGS Squirrel」を利用する。料金は150万円から。
NGS Squirrelは,Oracleで511項目,SQL Serverで1万8000項目の監査項目について脆弱性を診断し,対策を提示するツールである。当てるべきセキュリティ・パッチのリストを提示してくれるほか,データベース・ベンダーからパッチが出ていない脆弱性であっても,問題を回避するための修正スクリプトを自動生成する。標準アカウントを残していたり設定ファイルに不備があるなど,データベース・サーバーに対するアクセス権限上の問題も提示する。SQLインジェクションやDoS攻撃に弱い設定になっているかどうかなども分かるという。
データベース・セキュリティの診断サービスでは,NGS Squirrelによるシステム診断に加えて,ヒアリングによって得られた本来あるべきアクセス権限設定と実際のシステム上のアクセス権限とが合っているかどうかも調べる。IDごとに,個々のテーブルに対して実行できるSQLコマンドの範囲が正しいかどうかを調べることで,運用する上でのセキュリティの問題を浮き彫りにする。
コンサルティング・サービスのアウトプットとして,報告書「セキュリティ検査報告書」を作成し,報告書をベースに対策案を提示する。検査対象となるデータベース管理システムは,Oracle8以降またはSQL Server 7以降。
