最近、大きなニュースとなっている防衛産業へのサイバー攻撃や、衆議院のサーバが不正アクセスされてパスワードが盗まれた事件などは、「標的型メール攻撃」によるものと言われています。

本ガイドラインは、不正アクセスにより個人情報漏えいが頻発していたことをきっかけに、境界防御を中心とした従来のセキュリティ対策から、進化した多層防御の仕組みへの見直しを提言したものですが、標的型メールによるサイバー攻撃への対策にも大いに有効と考え、再提言します。

是非とも、改めて本ガイドラインを御高覧くださいましたら幸いに存じます。

DBSCでは「システムの根幹であるデータベースのセキュリティの重要性」をこれからも訴えて参ります。

引き続き、ご支援の程よろしくお願い申し上げます。

『緊急提言：オンラインサービスにおけるデータベースと機密情報の保護』(PDF版)

はじめに
1. オンラインサービスにおけるデータベースの保護と事業リスク
1.1. 定量化しやすい直接的損害の例
1.2. 定量化が難しい間接的損害の例
2. データベースを襲う脅威
2.1. 想定される攻撃シナリオ
2.2. 最近の動向を踏まえて認識すべきこと
3. データベースに対する管理策を見直すための技術的提言
3.1. 不正アクセス検知の導入
3.2. 脆弱性管理の見直し
3.3. OS にまで攻撃の手が及んだ場合の対応
3.4. ログの保全管理見直し
3.5. 機密データの最小化
3.6 各種コンプライアンス対応の管理策の見直し
4. よりよい情報保護の実現にむけて
4.1. 経営リスクとしての情報セキュリティと情報保護の責任の理解
4.2. 情報の格納場所「金庫」としてのデータベース

近年認識されているように、情報は人、物、金に加えて第4の経営資源に位置づけられ、企業が競争力を創出するためになくてはならないものである。この経営資源を管理・活用するための代表的なITインフラストラクチャはデータベースである。

しかし、価値の高い情報は売買されることにより経済的利益を生み出す側面も持っているため、それらの情報を含むデータを狙って不正行為を行う人間が後を絶 たない。さらに、企業には個人情報などの管理責任もあり、データを盗むことで組織にダメージを与えたいと考える人間も現れていると考えられる。つまり、 データベースは攻撃の標的にされる代表的存在でもある。

データベースとその内部に格納される情報が経営においてより中心的存在となる現在、データベースの管理策を再考する時期に来ているので はないだろうか。従来ファイア・ウォール、IDS/IPS、Web Application Firewall（WAF）等、いわゆる境界防御を中心として考えられてきたインターネット上のセキュリティ対策であるが、攻撃者がそれらを突破し、情報 を格納しているデータベースそのものを攻撃することがあるという事実が、今我々の眼前に突きつけられている。すでに「境界防御をしっかりしていたので、 データベースに対する直接攻撃は想定外だった」というのは、言い訳にできない時代に突入しているのである。

そこで本コンソーシアムでは、最近の事件、事故の動向を踏まえた上で、改めてデータベースに対する管理策はどうするべきかを見直すための提言を行うこととした。

本提言をきっかけとして、情報を格納するデータベースに関わるセキュリティ対策を見直し、インターネットを通じたビジネスと経済活動の健全な発展に役立てて頂ければ幸甚である。