データベースセキュリティの基本機能
ファイアウォール
ファイアウォールとは、ネットワークとシステムのゲートウェイ(玄関口)に設置して、不正なアクセスを防止する機能です。しかし、ここで紹介するファイアウォールはネットワークではなく、データベースのゲートウェイ専用に用意されるものです。
二重に設ける必要はないと思われるかもしれませんが、多くの情報漏えい事件は内部犯行に起因しています。内部からの不正なアクセスを防ぐには、専用のファイアウォールが必要となるのです。それほど、データベースは重要なシステムということができます。
ファイアウォールで精査するのは、アクセス文の内容です。データベースへのアクセスはSQLという言語で記述されています。この文中に含まれる悪意あるSQL文(SQLインジェクション)を発見し、侵入をブロックします。
暗号化
データベース内のデータを暗号化し、たとえ持ち出されても内容がわからないようにします。暗号化は、データベースセキュリティの代表的な機能の1つです。外部犯行はもちろん、内部犯行の防御にも威力を発揮します。
暗号化は、主に以下のものに対して行います。
- ・データベースに格納されているデータ
- ・バックアップしたデータ
- ・転送中のデータ
暗号化するデータは膨大な量にのぼるため、専用のアプライアンスもあります。
現在では、一般的な暗号化のほか、「トークン化」という手段も用いられています。機密情報をトークンと呼ばれる代理データに置き換え、計算処理によって機密情報を復元できないようにします。
不正アクセス検知
データベースへのアクセス権限を管理し、不正なアクセスを防御します。
不正なアクセスとしては以下のものが考えられます。これらは確認でき次第、アカウントロックし、システム責任者や管理者、運用者にメールで通知します。
- ・ログイン失敗の回数を越えるアクセス
- ・申請されていない時間帯のアクセス
- ・申請された内容と、異なる作業結果となっているアクセス
- ・許可されていない接続元からのアクセス
監査対応
社内監査や外部の専門家が行う監査に対応する機能です。監査が義務づけられている企業では、指定の書類の提出が求められるため、この書類作成を支援します。
監査は以下の目的で実施されますが、セキュリティ専門エンジニアや事業者がこれらをサービスとして提供することもあります。
- ・権限管理が実装されているか
- ・不審なアクティビティがないか
- ・不正行為をしていないか
- ・コンプライアンス要件への対応(監査レポート提出など)
監査は問題の発見のみならず、身の潔白の証明ともなります。
アクセスログ管理
データベースへの全アクセスを記録し蓄積します。データベースセキュリティでは必須となっている機能です。蓄積されたログは改ざんされることのないよう、強固なセキュリティ環境で管理保全します。
収集するログには以下のものがあります。
- ・ログイン時
- ・一般情報へのアクセス(参照/更新)
- ・管理情報へのアクセス(参照/更新)
- ・データベースアカウント、テーブル、ビューなどの作成、変更
ログ監視を行っていることは社内に周知することで、犯行の抑止力にもなります。
権限管理
データベース利用者の権限作成、変更、廃止まで、アクセス権限のライフサイクルを管理します。
利用者には以下の種類があります。
- ・一般利用者
- ・システム管理者
- ・システム運用者
- ・データベース管理者
- ・データベース運用者
休眠中のアカウントの発見や、不要となったアカウントの削除は重要視されています。これらをExcelなどの手作業で管理するのは困難です。そのため、データベースセキュリティとして権限管理機能が用意されています。
万全のセキュリティへ、まずは現状の見直しを
いかがでしょうか。非常に多くのセキュリティ機能が提供されることがお分かりいただけたと思います。データベースセキュリティには二重三重の対策が必要なのです。膨大な機密情報を格納しているデータベースのセキュリティは、その利便性を損なうことなく、かつ、万全のセキュリティ体制が求められます。現状のセキュリティ対策を改めて見直し、再検討してみませんか?
