マイナビは10月9日(水)、「脅威が侵入することを前提にした対策を講じるべし! ~情報セキュリティー投資の効果的な組み合わせが企業利益を守る~ セキュリティー・インテリジェンスセミナー」(東京・竹橋/参加費無料)を開催する。同セミナーに登壇する株式会社メトロ 川辺康史氏に、企業が所有するDBを様々な脅威から確実に守るためには何をすべきかについて話を伺ったので、本稿ではその内容をお伝えしよう。

川辺氏が登壇する「セキュリティー・インテリジェンスセミナー」(10月9日(水) 東京・竹橋)の参加申し込みはこちらから(参加費無料) もれなく参加者全員にAmazonギフト券1000円分贈呈。

株式会社メトロ 営業本部 ITインフラサービス営業部 リーダー  川辺康史氏

あらゆる種類のセキュリティー侵害の中でも、とりわけ企業にとって深刻な被害が生じてしまうのが、情報漏えい事件だろう。業務上の機密の塊とも言えるデータベース(DB)が狙われて情報が漏えいした場合には、信用失墜も含めて企業が被る損失は計り知れないものとなる。 2012年度のある調査報告書によると、情報漏えい事件で流出したデータレコード全体の約96%が、DBに格納されていた情報だったという。こうした現状を受け、企業が所有するDBを様々な脅威から確実に守るためには何をすべきかについて、株式会社メトロ 営業本部 ITインフラサービス営業部 リーダーの川辺康史氏に話を聞いた。

パフォーマンス優先で踏み込めないDBのログ取得

多くの企業がDBのログ取得やセキュリティー対策の重要性について認識しているものの、実際の取り組みは遅れがちだ。その理由について川辺氏は次のような見解を述べる。

「やはり、どの企業もDBのパフォーマンスをできる限り落としたくないと考えているからなのです。ログ取得のためにDB標準の監査機能を有効にするとパフォーマンスへの影響は約10%から30%となります。苦労を重ねてせっかく高速なシステムを構築したのに、セキュリティーのために性能を落としたくない。というわけですね」

しかし、もしDBのログを取得していなければ、DBに対して何をされてもわからない状態が続いてしまうのだ。確かに、ファイアウォールやIPS(不正侵入防御システム)などのネットワークセキュリティーデバイスのログで、どこからDBへ通信があったのか、どのような不正操作の試みがあったのかは把握することができる。しかし、そのログからは誰が、どのDBを、どう操作したのか、DBへの具体的な操作を把握するまでには至らない。この辺りが、従来からあるネットワークセキュリティーデバイスのみの対策では手が届きにくかったところである。これらの対策が十分に実施されていない場合、万が一情報漏えい事件を起こしてしまった場合の説明責任も果たせなくなるのだ。

「国内企業の大きな情報漏えい事件があった2011年以降、日本企業も何か被害が生じた際に積極的に情報を公開するようになりつつあります。その方が、結果として信用の失墜を小さくできますから。しかし、もしDBのログがなければ、どのような不正操作を受けたのかを説明することができないため、結局何も情報公開できないのと同じレベルの信用失墜につながってしまうことでしょう」と川辺氏は注意を促す。

内部犯行による情報漏えい対策は至急──特に特権ユーザーに注意!

DBに対する攻撃といえばSQLインジェクションが有名であり、もちろんその対策も必要だが、それと同時に内部からの不正アクセスにも注意を向けて対策を講じなければならない。実際、内部犯行による情報漏えい事件が多いのは、国内外の報道からも明らかだ。

「組織内部の端末からの不正アクセスや、管理者権限を持っている“特権ユーザー”によるものと疑われている情報漏えい事件も多いです。特権ユーザーであればログの内容まで改ざんできてしまうので、もはや事件の証跡を残すこともできません」と川辺氏は語る。

外部や内部からのアクセスのみならず、ネットワークを介さないDB管理者による直接操作ログの収集、更に収集したログが不正に改ざんされないことなど、DBのアクセス・ログはこうした範囲まで考慮されていないと監査で指摘をうけることもある。

では、DBのパフォーマンスをなるべく損なわずにログを取得しつつ、特権ユーザーによる不正アクセスも監視するにはどうすればいいのだろうか。このような困難な課題への最適解といえるのが、DBセキュリティーアプライアンス「IBM® InfoSphere® Guardium®(以下、Guardium)」だ。

Guardiumは、DBサーバにエージェントを入れて専用のアプライアンス側でDBアクセス・ログ収集をする。エージェントの動作は非常に軽く、DBサーバに対しわずか1%から3%という小さな負荷しかかけない。リアルタイムな監視を行い、怪しいアクセスがあった際にはアラートで知らせることやDBへの接続を強制切断することも可能である。また、専用アプライアンスに保管されたログは特権ユーザーでも改ざんすることができない。

既にGuardiumは、製造、金融、流通、公共など、国内の業界を横断して広く導入されている。それぞれの業界における導入事例については、10月9日に開催されるセミナー、「脅威が侵入することを前提にした対策を講じるべし! ~情報セキュリティー投資の効果的な組み合わせが企業利益を守る~ セキュリティー・インテリジェンスセミナー」での川辺氏のセッション「先進事例から学ぶ データベースセキュリティー高度化の進め方」で披露される予定だ。自社が属する、あるいは自社に近い業界の導入事例を共有することで、情報漏えいを防ぐためのDBのあり方について改めて検証していただきたい。


※Amazon.co.jpは、本キャンペーンのスポンサーではありません。
※Amazonギフト券細則についてはhttp://amazon.co.jp/giftcard/tcをご確認ください。
※Amazon、Javari.jp、Amazon.co.jp およびAmazon.co.jp のロゴはAmazon.com, Inc. またはその関連会社の商標です。
※mynavi.jpドメインのメールを受信できるようにして下さい。
※Amazonギフト券配布のご連絡にはお時間を頂く場合がございますので、あらかじめご了承ください。
※キャンペーンに関してのお問い合わせ:mj-event@mynavi.jp