データベースのセキュリティに関する業界団体「データベース・セキュリティ・コンソーシアム(DBSC)」は2014年9月10日、データベース管理者1000人に対して実施したアンケート調査の結果を公開した。回答者のおよそ1割は、企業のデータベースに保存されている情報をこっそり売却するかもしれないと答えた。
ここでのデータベース管理者とは、DBMS(データベース管理システム)を操作して、データベースの作成や保守・運用、更新削除などを行う管理者のこと。内部関係者による情報漏洩事件が相次いでいることを受けてDBSCでは、データベース管理者を対象に、データベースに対するセキュリティ対策の実施状況や、セキュリティ意識についてアンケート調査を実施。今回、その結果を公表した。調査対象は全国のデータベース管理者1000人。Webを通じてアンケートに回答してもらった。調査期間は2013年3月23日~3月24日。
セキュリティ対策の実施状況については、24.4%が「IDを使い回している(個別IDの付与が徹底されていない)」と回答(図1)。不正アクセスが発覚しても、どの管理者が不正を行ったのか分からない状況になっているという。また、データベース管理者以外にもデータベース管理者権限を与えているとの回答が3割を占めた。
図1●データベースに対するセキュリティ対策の実施状況(発表資料から引用。以下同じ)
[画像のクリックで拡大表示]
データベースの暗号化を実施しているとの回答は47.2%と半数以下。実施していない理由としては「必要だと思えないから」が38%と最も多かった(図2)。
セキュリティ対策として不可欠な「操作履歴のログ取得」の実施も64%にとどまる。こちらについても、実施していない理由としては、「必要だと思えないから」がほぼ半数で最多だった(図3)。
図2●データベースを暗号化しない理由
[画像のクリックで拡大表示]
図3●データベースの操作履歴のログを取得しない理由
[画像のクリックで拡大表示]
