セキュリティ・ベンダーのラックは10月20日,データベースに必要なセキュリティ対策をまとめたドキュメント「セキュアデータベースマトリックス」を公開した。データベースを安全に保つために一般的に必要とされる技術的または人的な対策を網羅的に示している点が特徴だ。これまでデータベース・セキュリティに関しては,暗号化や監査ログの取得といった特定の技術や方法論についての解説は数多くあったが,必要な対策を網羅的に示した資料は多くなかった。ドキュメントの作成を主導した研究開発本部データベースセキュリティ研究所所長の大野祐一氏は,「対策状況を確認するモノサシとして使ってほしい」と語る。
ドキュメントは,ソフト,ハード,ファシリティ(施設・設備),人といったデータベースの維持に必要な構成要素を縦軸に,構築フェーズと運用フェーズで考慮すべきポイントを横軸に取る。このマトリクスの中で,計192項目もの対策を整理して示している。例えば,データベースのユーザー定義オブジェクト(テーブルやアカウントなど)における構成・配置・設定で見ると,「目的別にデータベース・アカウントを作成」「不要なデータベース・アカウントを削除またはロック」「重要なデータおよびオブジェクトの適切に配置(分散)」---などの対策が並ぶ。
ドキュメントは,次のように活用できる。企業内であれば,自社で対策済みの項目をマーキングすることで,対策の現状を把握したり,対策の足りない分野をチェックしたりすることが可能だ。限られた予算や時間を,どの対策に配分するか検討する材料としても使える。
