日本オラクルは9月19日,同社のデータベース管理ソフト「Oracle Database 10g Enterprise Edition Release 2」のアクセス制御機能を強化するオプション・ソフト「Oracle Database Vault(以下「Database Vault」)」を10月17日に出荷すると発表した。Oracle Databaseへのあらゆる操作が可能な「DB管理者(DBA)」の権限を制約する機能などを提供する。「DBAによる不正を防ぐとともに,いざセキュリティ侵害が発生したときにはDBAが自分の無実を証明するのに役立つ」(システム製品統括本部長 三澤智光氏)という。価格は,1プロセッサ当たり250万円または1指名ユーザー当たり5万円(いずれも税抜き)。
従来からOracle Databaseは,ユーザー名やロールに基づいて,テーブルの追加・変更,データの読み書きといった権限を割り当てて,アクセスを制限することはできた。だが,データベースを設計・管理するDBAに限っては,あらゆる操作を許可されているので,「悪意のあるDBA担当者がデータを盗み出す,改ざんする,破壊するというリスクがあった」(三澤氏)。
そこでDatabase Vaultは,二つの機能を提供する。(1)DBAとは別のセキュリティ管理者によりDBAを含む全ユーザーの権限を制限できるようにする「強制アクセス制御機能(MAC)」と,(2)セキュリティ管理者,DBA,DB利用者など,異なる立場の担当者による「相互監視機能」である。
この二つの機能を組み合わせることで,次のような運用が可能になる。(1)の機能を使い,DBAにはデータベースにテーブルを追加したりバックアップを取ったりする管理業務を許可するが,データの参照は禁止する。また,データのオーナー部門の担当者には,業務時間帯に限り,データの参照のみ許可する。これらの設定は,DBAとは別に任命したセキュリティ管理者が実施する。セキュリティ管理者による不正を抑止するため,(2)の機能を使い,セキュリティ管理者が設定を変更した場合にはDBAやデータのオーナー部門の責任者にメールなどで自動通知する。
