データベース・セキュリティ・コンソーシアム (DBSC)

    DataBase Security Consortium      

 

第2回

   

 

DBセキュリティを本気で見直す時が来た!

 
2012/10/15

DBSC運営委員  大野 祐一  株式会社ラック


9月18日前後のホームページ改ざんや過剰に負荷をかけるサービス妨害攻撃の印象が強いが、その陰で不正アクセスや内部関係者による情報漏えい・流出事件は頻発している。その手口としては公開サーバのOS、ミドルウェアやWebアプリケーションの脆弱性を突くもの、組織標的型メールや悪性サイトへの誘導 → 組織内ネットワーク侵入 → 調査活動 → 情報窃取、その他、元々権限を付与されていた内部関係者による権限の悪用など様々だ。

情報はデータとして、ほとんどがデータベース(DB)に格納されており、その他はExcelやcsvなどのファイル形式であることが多い。上記の手口でデータにアクセスを試みられたとき、まずファイアウォール(FW)やアプリケーションなどの周辺でブロックされるはずだが、一度内部ネットワーク(NW)に侵入されると、ごく一部のシステムを除いては、それ以降のNWレベル、DBMSのアカウントやデータレベルのアクセス制御はないに等しく、結果的に攻撃者によるデータアクセスを防ぐことも検知することもできていないのが実情だ。

私たちDBSCでは、参加企業のメンバーにより多くの議論を行い、その成果をセミナーでの講演や、DBセキュリティ対策やログの管理などの指針となるガイドラインとして公開してきた。

それらの中で、主なDBセキュリティ対策として、DBサーバのOS、DBMS製品自体の脆弱性対策(バージョンアップ、パッチ適用および安全な設定など)やデータレベルのアクセス制御や暗号化、アクセスログの取得とモニタリングなどを繰り返し訴えてきた。

しかし、ユーザ側のIT関係者の多くは、依然としてDBセキュリティ対策イコール大幅な性能劣化を招く対策であり、さらに実装するためには設計が非常に困難であるというマイナスの印象や認識を持っているのではないだろうか。
確かに何もしないよりは性能も低下するだろうし、設計・実装の手間は掛かるだろう。しかし、ハードウェアは、ほぼムーアの法則のペースで高速なものが販売されているし、分散化による高速化など技術環境も変わっている。また、それらを活用してシステムを構築するSIerやサービス提供側の技術者の方も対応する準備はできているが、お客様から要望されないから提案しない。(ユーザ側からすると、提案しないから要件に入れないと思うのだろうが。。。)

いずれにしても、DBレベルで予防策、検知策が取られていない状況では、質量をもたない情報が不正に閲覧されていても、防ぐことはもちろん気づくこともできない。さらに言えば被害範囲、侵入経路、および手段の特定も恐らくはできない。

前述したとおり、DBセキュリティ対策をするための環境は整った。これまで躊躇し、内心不安に思っていたユーザ側のシステム関係者は遠慮なく提供側に要求しませんか!また、提供側、特にシステム運用を担っている技術者の方々もお客様が気づいていないかもしれない重大なリスクへの解決策を堂々と提案してほしい。


■DBSCについて
Top
設立趣旨
発起人
活動内容
役員一覧
組織
会員規約
会員一覧
English
■DBSCからの情報発信

第10回 ハッカーとの戦い セキュリティ温故知新 2013/04/05

第9回 情報セキュリティには幾らかけられるか 2013/03/15

掲載記事一覧 2013/04/05
■ワーキンググループについて
ワーキンググループ
成果物一覧
■各種案内
セミナー情報
掲載記事
■会員専用ページ
会員専用ページ
■入会案内
入会案内
■事務局連絡先

DBSC事務局
(データベース・セキュリティコンソーシアム)

〒102-0093
東京都千代田区平河町2-16-1
平河町森タワー (株)ラック内
TEL : 03-6757-0126
FAX : 03-6757-0127

プライバシーポリシー

Copyright(C),2004-2013 DataBase Security Consortium