「企業の情報漏洩は、98%がデータベースサーバーから盗まれたもの。情報漏洩対策には、データベースを強化することが重要だ」---。日本オラクルの製品戦略事業統括本部 戦略製品&ビジネスアナリティック推進部 シニアプロダクトラインマネージャーの大澤清吾氏は、2013年10月11日に「ITpro EXPO 2013」で講演し、データベースのセキュリティ対策を解説した。
大澤氏は冒頭に、企業が2011年に情報漏洩させた個人情報はのべ628万人を超え、それに対する1件当たりの企業賠償額は1億2810万円と紹介。情報漏洩は、企業に与える損害が甚大であることを強調した。
次に調査会社などのデータを使って、冒頭の「情報漏洩の98%が、データベースサーバーからデータを抜き取られている」ことを挙げ、企業がデータベースに注目した情報漏洩対策が必要だとした。
外部から直接サーバーを攻撃するケースだけではない
ここ最近のデータベースへの攻撃は、必ずしも社外の第三者がネットワークを通じて直接データを盗み取るのではないという。データベースサーバーにアクセスできる正規のユーザーを攻撃し、そのユーザーの権限を使ってデータを盗み出していく。例えば、SNSサイトの「Linkedin」で、「database」「administrator」といった検索ワードで該当した人にメールを送り、近づいていくという手を使う。
そこで重要だと説明したのが、(1)防御、(2)発見・検出、(3)管理・運用という3方向からの対策である。
(1)の防御では、データの暗号化のほか、人への対策として「マスキング」と「特権管理」を挙げた。マスキングとは、ユーザーや部署ごとに表示できるデータの一部を「XXXX」といったダミー文字で隠したり、適当な文字列に置き換えたりすることだ。例えば、クレジットカード番号の一部をダミー文字に置き換えて、ユーザーはクレジット番号が入力されていることを確認できるが、そのデータ自身を悪用することをできなくする。こうすることで、社内のユーザーによるデータの印刷による漏洩などにも対策できる。また適当な文字列への置き換えは、新しい業務システムを開発するために、データベースに登録されたデータが必要になったときに使う。
(2)の発見・検出では、「モニタリング」と「SQLインジェクション対策」を挙げた。モニタリングでは、データベースへのアクセスを監視するデータベースファイアウォールやデータベース管理ソフト、サーバーOSなどのイベントログを統合的に管理して、ポリシーに応じたアラートの送信やレポートの作成を実行することで、不正侵入をいち早く検知できるという。
SQLインジェクション対策では、データベースからデータを抜き出そうとする不正なSQL構文を検知し、実行させないことが重要だとした。ただ、「WAF(Webアプリケーションファイアウォール)やIPS(不正侵入防御システム)といった機器を使った対策では、不正な構文の定義方法が面倒という、ユーザーの声が多い」という。そこで構文の定義を、「こういった構文」とあいまいに指定できるデータベース管理ソフトの利用を勧めた。
(3)の管理・運用では、人への対策として「最小権限設定」を挙げた。過去のログなどを利用して、ユーザーのアクセス権限を定期的に見直し、業務に必要な最低限の権限に絞り込むことで、情報漏洩のリスクを抑えられるという。
大澤氏は、これらの対策を複数組み合わせることがデータベースのセキュリティとして効果的であることを強調した。ここで挙げた対策は同社製のデータベース管理ソフトで「Oracle」で利用できるとして、講演を締めた。
