データベースのセキュリティ管理ソフト「IPLocks」を開発する米アイピーロックスの坂本明男社長兼CEO(写真)は、「日本では、データベースのセキュリティといえば、監査ログを取得するだけでよいと勘違いしている企業が多い」と警鐘を鳴らす。日本で70社以上のユーザーが同社製品を導入した経験に基づく発言である。
「データベースのセキュリティは、最近、注目されてきた分野だが、監査ログは情報漏えい事故が発生した後の証拠としての機能しかない。情報漏えいが起きない堅ろうなデータベースにしたり、通常とは異なる不正が行われていないかを監視していて初めて意味がある」と坂本社長。同氏によると、IPLocksを導入した日本企業の多くは、監査ログ機能にばかり目を向けて、ぜい弱性のチェックの機能をほとんど使用していないという。ぜい弱性チェック機能を使った企業でも、100点満点中30~40点程度の安全状況だったという。
IPLocksが収集するデータベースのぜい弱性情報は、月100個以上に上るという。それなのにぜい弱性のチェックが注目されないのは、「ファイアウォールやIDSによる外部から侵入の防御と、アプリケーション・サーバーでの認証機能で十分とユーザー企業は考えている」と坂本社長はみる。さらに、データベース・サーバーをデフォルト設定のままで使用していたり、管理者用のアカウントは、すべてのデータベース・サーバーで共通のユーザー名とパスワードを設定する企業もあるという。「個人情報だけでなく、財務情報、給与情報など重要な情報が蓄積されているデータベースのセキュリティも、総合的な視点で考えて欲しい」と呼びかける。
(岡本 藍=日経コンピュータ)
