データベースセキュリティとマイナンバー制度
データベースはシステムの中核であり、多くのアプリケーションで利用されています。機密情報が格納されていることから、何重にも防御されているのが一般的です。
まず、サーバルームやデータセンターにおける物理的な侵入防止設備があります。次に、ネットワーク上に用意されたファイアウォール、WAF、IPS/IDSなどのセキュリティシステムがあります。サーバには認証システムやログ監視機能が盛り込まれています。そして最後にアプリケーションとデータベースがあります。
ここで対象としているデータベースセキュリティとは、最後のデータベースに特化したツールです。サーバレベル、ネットワークレベル、物理的な設備は含んでいません。
このデータベースセキュリティが注目を集めている背景に2016年1月から運用が開始されるマイナンバー制度(2015年10月施行)があります。「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」では、企業が講じるべき組織的・物理的・技術的措置を定めています。
- a アクセス制御
- b アクセス者の識別と認証
- c 外部からの不正アクセス等の防止(事業者)
- d 情報漏えい等の防止
が定められており、これらはすべて、データベースセキュリティの強化を求めています。
データベースセキュリティのタイプ
データベースセキュリティの選定に当たって、まずそのタイプを理解しましょう。
機能から分類すると、オールインワンタイプと特化型があります。
データベースセキュリティは多方面からの防御が求められ、ファイアウォール、暗号化、不正アクセス防止、監査対応、アクセスログ管理、権限管理などがあります。これらすべての機能を網羅しているタイプと、暗号化だけという特化型の2タイプがあります。特化型は高度な機能が用意され、オールインワンタイプは導入しやすく運用も容易です。
一方、対象とするデータベースでも分類でき、マルチベンダ対応と専用型に分かれます。マルチベンダ対応は一般的なデータベースであるMS Access、MS SQL Server、Oracle、DB2、MySQL、PostgreSQLなど多くに対応しています。専用型はOracleあるいはMS SQL Serverというように、単一のデータベースのみに対応しています。
これは使用している環境で選択しましょう。Oracleのみ使用している企業であれば専用型、マルチベンダを進めているあるいは予定している企業では複数に対応するツールを選択します。
選定ポイントとなる主な機能
データベースセキュリティに用意されている機能からツールを絞っていきましょう。
-
■ファイアウォール
-
ここで取り上げているファイアウォールは、ネットワークの外部と内部の境(ゲートウェイ)に設置する機器のことではなく、ネットワーク内部に設置する種類のものです。データベース専用のファイアウォールです。
多くの企業ではゲートウェイにファイアウォールを設置していますから、データベース専用のファイアウォールは不要と考えるかもしれません。しかし、多くの情報漏えい事件は内部犯行に起因しており、二重の設置が推奨されています。データベース専用のファイアウォールは内部からの不正侵入を防ぐことができるのです。
-
■暗号化
-
暗号化は、データベースセキュリティの代表的な機能の1つです。データベース内の情報はもちろん、バックアップした情報の暗号化、転送中の情報の暗号化に対応します。これも外部犯行はもちろん、内部犯行の防御に威力を発揮します。
また、最近注目されている対策に「トークン化」があります。機密情報をトークンと呼ばれる代理データに置き換え、計算処理によって機密情報を復元できないようにします。暗号化よりも安全なセキュリティ対策です。
-
■監査対応
-
社内監査や外部監査に対応する機能です。監査が義務づけられている企業では、指定の書類の提出が求められます。この書類を自動作成します。
-
■アクセスログ管理
-
暗号化と並んで、データベースセキュリティでは重視されている機能です。ログ監視は事件発生後のみならず、社内に告知することで犯行の予防にも役立ちます。
データベースセキュリティは二重三重の対策が必要です。現状を見直し、検討してみませんか?
