データベース・セキュリティ・コンソーシアム (DBSC)
DataBase Security Consortium 
第2回 |
2012/10/15 |
|
DBSC運営委員 大野 祐一 株式会社ラック 情報はデータとして、ほとんどがデータベース(DB)に格納されており、その他はExcelやcsvなどのファイル形式であることが多い。上記の手口でデータにアクセスを試みられたとき、まずファイアウォール(FW)やアプリケーションなどの周辺でブロックされるはずだが、一度内部ネットワーク(NW)に侵入されると、ごく一部のシステムを除いては、それ以降のNWレベル、DBMSのアカウントやデータレベルのアクセス制御はないに等しく、結果的に攻撃者によるデータアクセスを防ぐことも検知することもできていないのが実情だ。 私たちDBSCでは、参加企業のメンバーにより多くの議論を行い、その成果をセミナーでの講演や、DBセキュリティ対策やログの管理などの指針となるガイドラインとして公開してきた。 それらの中で、主なDBセキュリティ対策として、DBサーバのOS、DBMS製品自体の脆弱性対策(バージョンアップ、パッチ適用および安全な設定など)やデータレベルのアクセス制御や暗号化、アクセスログの取得とモニタリングなどを繰り返し訴えてきた。 しかし、ユーザ側のIT関係者の多くは、依然としてDBセキュリティ対策イコール大幅な性能劣化を招く対策であり、さらに実装するためには設計が非常に困難であるというマイナスの印象や認識を持っているのではないだろうか。 確かに何もしないよりは性能も低下するだろうし、設計・実装の手間は掛かるだろう。しかし、ハードウェアは、ほぼムーアの法則のペースで高速なものが販売されているし、分散化による高速化など技術環境も変わっている。また、それらを活用してシステムを構築するSIerやサービス提供側の技術者の方も対応する準備はできているが、お客様から要望されないから提案しない。(ユーザ側からすると、提案しないから要件に入れないと思うのだろうが。。。) いずれにしても、DBレベルで予防策、検知策が取られていない状況では、質量をもたない情報が不正に閲覧されていても、防ぐことはもちろん気づくこともできない。さらに言えば被害範囲、侵入経路、および手段の特定も恐らくはできない。 前述したとおり、DBセキュリティ対策をするための環境は整った。これまで躊躇し、内心不安に思っていたユーザ側のシステム関係者は遠慮なく提供側に要求しませんか!また、提供側、特にシステム運用を担っている技術者の方々もお客様が気づいていないかもしれない重大なリスクへの解決策を堂々と提案してほしい。 |
| ■DBSCについて | ||||||||||||||||||
|
||||||||||||||||||
| ■DBSCからの情報発信 | ||||||||||||||||||
|
||||||||||||||||||
| ■ワーキンググループについて | ||||||||||||||||||
|
||||||||||||||||||
| ■各種案内 | ||||||||||||||||||
| ||||||||||||||||||
| ■会員専用ページ | ||||||||||||||||||
|
||||||||||||||||||
| ■入会案内 | ||||||||||||||||||
|
||||||||||||||||||
| ■事務局連絡先 | ||||||||||||||||||
DBSC事務局 |
||||||||||||||||||
|
Copyright(C),2004-2013 DataBase Security Consortium