データベース セキュリティ・コンソーシアム (DBSC)

    DataBase Security Consortium      

 

第6回

   

 

データベースリスクあるある

 
2013/02/06

DBSC運営委員 安澤 弘子 株式会社アクアシステムズ


ホントにあった怖い話。
・   データベースにスーパー特権ユーザーでログインをして操作する必要があり、担当者にパスワードを伺ったところ、お客様の環境でかつ構築した担当者ではないのでわからない、との回答。そこで、DBインストール時の初期デフォルトパスワードを試したところ、無事ログイン。           

(お客様のECサイトインフラを運用管理しているシステム会社)

・・・て、入れちゃダメです。


・   稼働中の本番データベースで利用可能なユーザーを限定するために現行のユーザーを調べていただいたところ、デフォルトユーザーがデフォルトのパスワードのままオープンされていて、当然、DBエンジニアの間では超有名なユーザーパスワードで簡単にログインできる状態になっていた。サンプル環境含めテンプレートをそのまま使ってデータベースを作成した様子。慌てて、すべて削除するためDBベンダーにサポートを依頼。

(保険関連会社情報システム部門)

・・・後から削除するのって大変なんですよね。


・   データベースユーザーの利用状況を調べていたところ、数か月もログインすらしていないユーザーが数百以上存在し、確認したところ、退職者のアカウントだった。

(通信関連会社システム部門)

・・・すぐ削除をお願いします。


これらは、データベース運用・セキュリティ関連ソフトを導入する際にお客様先データベース環境で実際に見た光景です。いずれの環境でもDBA(データベース管理者)の立場で構築、運用をされているデータベース専門の方がいての状況でした。
上級エンジニアでも、ましてやハッカーといった高度なスキルを持っているわけでもない私ですら驚くようなリスクがデータベースでは放置されていることに愕然としたものです。(最初の例など、私なんかでも簡単にハッキングできそうですね…)

「データベースセキュリティ」といってもあまりピンとこない方も多いと思いますが、現実は多くの情報漏えいといった事故 (事件?) が、データベースからデータを引き出したことから起こっています。
更にクラウドが本格的なエンタープライズでの利用が進む中、データベースサービス(DBaaS) という新しい利用形態が出てきました。DBaaSではネットワークやOSレベルまではクラウド提供事業者がセキュリティを確保してくれ、よりセキュアになっていますが、逆にデータベースをこれまでのようにおろそかに管理していくととんでもないことになる…のではないでしょうか。
エンタープライズクラウド時代の今だからこそ、「データベースセキュリティ」 いかがですか?



■DBSCについて
Top
設立趣旨
発起人
活動内容
役員一覧
組織
会員規約
会員一覧
English
■DBSCからの情報発信

第10回 ハッカーとの戦い セキュリティ温故知新 2013/04/05

第9回 情報セキュリティには幾らかけられるか 2013/03/15

掲載記事一覧 2013/04/05
■ワーキンググループについて
ワーキンググループ
成果物一覧
■各種案内
セミナー情報
掲載記事
■会員専用ページ
会員専用ページ
■入会案内
入会案内
■事務局連絡先

DBSC事務局
(データベース セキュリティ・コンソーシアム )

〒102-0093
東京都千代田区平河町2-16-1
平河町森タワー (株)ラック内
TEL : 03-6757-0126
FAX : 03-6757-0127

プライバシーポリシー

Copyright(C),2004-2013 DataBase Security Consortium