データベース セキュリティ・コンソーシアム (DBSC)

    DataBase Security Consortium      

 

第8回

   

 

「そのデータ必要ですか?」へのアンチテーゼ

 
2013/03/01

DBSC運営委員  岸本 拓也  株式会社インサイトテクノロジー


弊社製品であるデータベースアクセス監視ツール「PISO」をお客様に導入する際に時々される話です。



私   : 「特定の”表”をアクセス監視しますので、
             PISOに指定する必要があります。
             導入にあたって監視対象の”表”を教えて下さい。
             顧客の個人情報や営業情報など貴社の守りたい情報は
             どれでしょうか?」
お客様  : 「うーん、よくわからないなー。全部監視できないの?」
私   : 「全部指定はできますけれど、一日のアクセスログが10GB
             とかになってしまうかもしれません。
             そんなに必要ですか? 貴社内でリスクの洗い出しは
             されていないんでしょうか?」
お客様  : 「そもそもどんな情報があるのかも把握できていないんだよね。
             うーん、どうしようか?」
私   : 「それでは、例えばアプリケーションサーバー以外からの
             アクセスを監視するとかにしてはいかがでしょうか? 
             それなら、そんなにログも出力されないと思われますし。」
お客様  : 「じゃあ、そういう方向で検討して下さい。」



読者の皆様、上記は弊社とお客様との間で度々繰り返されるやり取りです。

リスクの洗い出しは、データベースセキュリティだけにかかわらず、組織のコンティンジェンシープランを作成する上で必ず必要になるプロセスです。それにも関わらず、データベースに対するリスクを把握されていないケースが多いようです。そのような社会に対応するため、我々DBSCではデータベースセキュリティガイドライン 第2.0版にてデータベースに対するリスクを洗い出し、その対策方法について網羅してきました。

でも、最近思うのです。そもそも、セキュリティリスクを把握されていない組織だからこそ手厚い対策が必要なのではないかと。例えば上記の小話だと、アプリケーションサーバーのアクセスログを取らないということはSQLインジェクションが発生してもアクセス記録には残らないということです。現状では、セキュリティに対し意識の低い組織であればあるほどSQLインジェクションの脅威を抱えたままアプリケーションを稼働させており、そのような組織であればあるほどアクセスログ全てを取る必要があると考えます。全部取ったらいいじゃないですか。だってどこにリスクがあるのかわからないのですから。しかしながら現在、要素技術がまだ追いついていないため、膨大なアクセスログを業務に負荷を与えることがなく取得・保全するには、圧縮保管やログ精査など、様々な技術的工夫や作業が必要となります。我々DBSCに所属するベンダーは考える必要があるのではないでしょうか。どうしたら、全てのアクセスログを取得し、保全できるのかを。


■DBSCについて
Top
設立趣旨
発起人
活動内容
役員一覧
組織
会員規約
会員一覧
English
■DBSCからの情報発信

第10回 ハッカーとの戦い セキュリティ温故知新 2013/04/05

第9回 情報セキュリティには幾らかけられるか 2013/03/15

掲載記事一覧 2013/04/05
■ワーキンググループについて
ワーキンググループ
成果物一覧
■各種案内
セミナー情報
掲載記事
■会員専用ページ
会員専用ページ
■入会案内
入会案内
■事務局連絡先

DBSC事務局
(データベース セキュリティ・コンソーシアム )

〒102-0093
東京都千代田区平河町2-16-1
平河町森タワー (株)ラック内
TEL : 03-6757-0126
FAX : 03-6757-0127

プライバシーポリシー

Copyright(C),2004-2013 DataBase Security Consortium