日本オラクルやラックなど25社からなる団体「データベース・セキュリティ・コンソーシアム」は11月8日、データベースのセキュリティ対策のためのガイドラインをWebサイトで公開した。セキュリティ・ポリシーの策定や対策作業の際に、実施すべき具体的な内容を提示する。
公開した「データベースセキュリティガイドライン」では、大きく二つのフェーズに分けて、推奨する対策内容を示す。ポリシー策定や教育を実施する「基本方針の策定」と、データベースに対策を施す「DBセキュリティ対策」である。
「基本方針の策定」では、重要情報の定義、リスク分析、アカウント管理やログ記録のポリシー策定などについての実施内容を、「必須」と「推奨」の2種類に分けて示す。「必須」は基本的にすべてのユーザーが実施すべき内容、「推奨」は可能であれば実施する内容である。ログの記録であれば、「ログに出力する内容を整理する」は必須、「DBに関する全てのアクセスをログ取得する」は推奨である。
「DBセキュリティ対策」では、初期設定時の対策や、アカウント管理や暗号化に関する実施内容に触れる。やはり、「必須」と「推奨」に分かれている。例えばDB管理者アカウントの管理であれば、「DB管理者アカウントは、担当者別に割当てる」は必須、「DB担当者アカウントを使用する端末は特定する」が推奨である。
データベース・セキュリティ・コンソーシアムは、データベースに関するセキュリティ技術を推進する任意団体として、2005年2月に設立された。参加企業はほかに、アシスト、NEC、新日鉄ソリューションズ、野村総合研究所、日立システム アンド サービス、富士通、マイクロソフトなど。
