データベース セキュリティ・コンソーシアム (DBSC)

    DataBase Security Consortium      
 

第7回
   

 

データベース・セキュリティ再考
 
2013/02/18

DBSC運営委員 小河 昭一 株式会社アシスト


2011年からSQLインジェクションの脆弱性を攻撃された大規模な情報漏えい事件が相次ぎ、2012年の後半には「遠隔操作ウィルス」によるサイバー犯罪が話題になっていたのも束の間、2013年は元旦から某省庁へのサイバー攻撃のニュースで幕を開けた感があります。報道によれば今回の某省庁のケースでは、省庁内部のPCが遠隔操作をされて海外のサーバと不正な通信を繰り返していたとの事ですが、遠隔操作をされたPCにデータベースへの接続情報があった場合には、不正SQLにより大量データが外部に送信されたり、データベースのデータファイルそのものが圧縮されて送信されたとしても不思議では無い状況であったと危惧しています。これが企業で起きていれば企業情報の流出であり、企業に直接/間接的に被害が発生するのはもちろんのこと、顧客へも被害が及ぶ可能性を考えねばなりません。今回の場合は、国の省庁で起こった事ですから、国益を損なうようなデータが海外へ流出したかもしれないという事を考えねばならない非常に重要な問題です。

ここ数年の情報漏えいに関する報道を見る限り、従来の境界防御を中心としたセキュリティ対策(Firewall、IDS/IPS、Web Application Firewall)だけでは大切なデータを守ることが非常に困難であると言わざるを得ません。従って、従来の境界防御を中心としたセキュリティ対策は十分に行った上で、それでも突破された場合の事も想定し、最終的なデータの格納場所であるデータベースに対してセキュリティ対策を行うことが重要です。以下はデータベースのセキュリティ対策として強く実施を推奨するものです。

1.データベースの整理
 データベースについて以下の観点で整理しているでしょうか。当たり前の事のようで、できていないことが多いようです。守るべき対象を明らかにすることで、セキュリティ対策に必要な投資を適正に行うことができます。
    ・幾つ存在するのか
    ・それは何処にあるのか
    ・どのような目的で存在するのか
    ・どのようなデータが格納されているのか
    ・DBMSの種類
    ・管理体制
    ・攻撃を受けた場合のインパクト
例えば、大規模なシステム・リプレースを行う際、誰も存在を認識していないデータベースと連携していたことが判明、そのうえ管理者が不在だとか、当時の状況を憶えている人がいないといったことはよくある話です。また、テスト用のデータベースの場合、当然セキュリティ対策は実施せず、テストデータについては本番データをマスキングせずに利用していたという話もよく聞きます。この場合、テスト用のデータベースから情報が流出しても本番用のデータベースから情報が流出したのと同等のインパクトがあります。 データベースを上記7つのポイントで整理し、できるものは統合することにより、データベースのソフトウェアコスト、ハードウェアコストの削減はもちろんのこと、セキュリティ対策に必要な投資を抑えることが可能です。

2. データベースへのアクセスの整理
 データベースに不正なアクセスがあったのかを自ら気付く為には、日頃データベースにはどのようなアクセスがあり、それは、いつ、だれが、どこから、どのデータを、どのようにアクセスするのか把握しておく必要があります。何が正規のアクセスなのか把握せずして、何が不正なアクセスなのかを完全に把握することはできません。

3. データベース・ファイアウォールの実装
 データベースのアクセスログは、データベースに不正なアクセスがあったのか、無かったのかを確認する唯一の手がかりです。この為、正規、不正規を問わず、いつ、だれが、どこから、どのデータを、どのようにアクセスしたのか漏らさずモニタリングすることが重要です。データベースに対して不正なSQLが実行された際に、それを速やかに検知して管理者へ通報を行う、場合によっては不正SQL実行をブロックして切断するといった対処を行うデータベース・ファイアウォールの実装を検討すべきです。これにより、被害の規模を小さくしたり、場合によっては被害を未然に防ぐことが可能です。

4. データの暗号化
 例えば「遠隔操作ウィルス」に感染したPCを足がかりに、データベースのデータファイルそのものが圧縮されて外部へ送信されてしまった場合、データが暗号化されていなければ中にどのようなデータが入っているのか容易に解析可能です。この為、守るべきデータには暗号化しておくことを強く推奨します。

5. その他
 セキュリティ・ホールとなるデフォルト設定の見直し(通信ポート設定、不要なアカウントの削除、パスワード設定)や、データベースにアクセスするユーザとその権限の設定の見直し、また、例えば管理者アカウントで機密データをアクセスさせないといった権限を分割することで万が一の場合のリスクを低減させることが可能です。その他にも、データベースに対して常に最新のセキュリティ・パッチを適用する等の対策の実施を強く推奨します。

最後に
 「うちの玄関には最新式の鍵を2つもつけています」、「うちのマンションの入口はオートロックで警備員も常駐しています」といったように入口や出口に対し強固なセキュリティ対策を施しても、泥棒がそこから侵入するとは限りません。その為、貴重品は金庫に入れて鍵をかけ保管するといった対処が必要です。まして家庭内のPCにインターネットを通じてウィルスを送り込まれ、知らない間に被害にあったり、犯罪に巻き込まれる時代です。企業の情報セキュリティについても入口、出口のセキュリティ対策だけでなく、大切なデータの保管庫であるデータベースに対するセキュリティを今こそ見直すべきではないでしょうか。



■DBSCについて
Top
設立趣旨
発起人
活動内容
役員一覧
組織
会員規約
会員一覧
English
■DBSCからの情報発信

第10回 ハッカーとの戦い セキュリティ温故知新 2013/04/05

第9回 情報セキュリティには幾らかけられるか 2013/03/15

掲載記事一覧 2013/04/05
■ワーキンググループについて
ワーキンググループ
成果物一覧
■各種案内
セミナー情報
掲載記事
■会員専用ページ
会員専用ページ
■入会案内
入会案内
■事務局連絡先

DBSC事務局
(データベース セキュリティ・コンソーシアム )

〒102-0093
東京都千代田区平河町2-16-1
平河町森タワー (株)ラック内
TEL : 03-6757-0126
FAX : 03-6757-0127
プライバシーポリシー

Copyright(C),2004-2013 DataBase Security Consortium