「データベース管理者にすべての権限を与えるのは危険だ」。データベース内のデータを暗号化するツールを販売するジャパン・インフォメーション・テクノロジー(JIT)の石崎利和代表はこう主張する。「情報漏洩事件の多くは、正規のユーザー・アカウントを利用した内部犯行。ならば、データベース管理者がデータを自由に閲覧できる状況は変えるべきだ」と語気を強める。
いくらアクセス権限を厳重に設定しても、データベースの管理者はデータをいくらでものぞけてしまう。それを防ぐには、「データそのものを暗号化しておく必要がある」(石崎代表)。データを暗号化しておけば、万が一社外に持ち出されたとしても内容は読めない。
JITは、データベース内のデータを暗号化するソフト「eCipherGate」を販売する。アプリケーションとデータベースの間に設置し、データを保存する時に暗号化、読み出し時に復号化する機能をもつ。独自の暗号化アルゴリズムを採用している。同様なことは、暗号化APIを使ってアプリケーションを組めば実現可能だが、「導入の用意さ、暗号化の性能、機能の豊富さでは比較にならない」と、石崎代表は鼻息が荒い。
eCipherGateを利用すれば、例えば、顧客データは業務部門の担当者がアクセスした時だけ復号化するといったことができる。テーブル単位、カラム単位で暗号化できるため、関西支社には関西在住の顧客データだけを見せる、といった細かな管理も可能だ。「今後はデータベースを利用する権限を細分化し、必要な部門にだけ割り当てるべき」(石崎代表)という。
ただし、「権限を細分化する際は、業務プロセスやアプリケーションを見直す必要があるだろう」と、簡単な取り組みではないことを石崎代表は認める。例えば、これまではデータベース管理者に依頼していた、データの消し込みや修正などのメンテナンス作業は、操作権限を持つ業務部門が自らこなす必要がある。
