改正個人情報保護法施行に向け、データベースセキュリティの見直しを

サイバー攻撃で狙われる企業の資産「データ」

デジタルトランスフォーメーション（DX）が推進される中、今後、サイバー攻撃者が最も標的とするのは企業のビジネス資産であるデータです。

Impervaの研究チームであるImperva's Security Labsが、過去10年間に発生した大規模なデータ侵害事件100件以上を調査した分析レポート「Lessons Learned From Analyzing 100 Data Breaches」によると、盗まれたデータの75％近くがPII（個人識別情報）であることがわかりました。また、15％以上が認証情報を盗まれ、10％以上がクレジットカード情報を盗まれています。日本では来年4月に改正個人情報保護法が施行され、個人情報漏洩に伴う罰則が大幅に強化される予定です。

• どんなデータが盗まれたのか？資料：「Lessons Learned From Analyzing 100 Data Breaches」

さらに、クラウドに保存されたデータを狙った攻撃も増加しています。Imperva Research Labによると、業務やワークロードをクラウドに移行する企業が増えるにつれ、オープンなパブリッククラウドサービスにおけるデータへの不正アクセスは、大幅に増加。2021年春までの過去12カ月間で557％増加しています。

なぜこれほどまで個人情報が狙われるのでしょうか。それは、データを保存するデータベースの使用形態がDXに伴い、大きな変革期を迎えていることが一因であると考えられます。

データベースが抱えているセキュリティの問題点

当社の調査によると、企業の96％はDBaaSを使用しており、ほぼ半数は自社データの75％以上をDBaaS環境に保存しています。使用するデータベースは、Amazon Web Services、Google Cloud、Microsoft Azure、MongoDB、Snowflakeと多岐にわたっています。このようなDBaaSの急速かつ加速度的な成長により、企業は使用するすべてのデータベースの追跡、さらには、コンプライアンス関連の機密情報がどのデータベースに格納されているのかを把握することに苦労しています。実際、ITマネジメント調査機関「Ponemon Institute」によると、グローバルの平均でデータ漏洩に気づくまで206日を要するという調査結果もあります。

また、データベースのセキュリティの問題点は、人為的なものだけでなく、技術的な問題からも起こります。というのも、クラウド環境の多くは責任共有モデルを採用しており、インフラ周辺の技術は保護しても、企業データの保護はユーザー側の責任としています。

例えば、AWS DBaaSの初期設定ではデータの保護はできず、高いセキュリティ機能はDBaaSソリューションで使用されるインフラストラクチャーに限定されている場合もあります。そもそも、オンプレミスとクラウドのデータベース環境には大きな違いがあります。このため、企業は従来型データベースのセキュリティツールをクラウド環境に導入しようとしても、DBaaSにエージェントをインストールすることが技術的に不可能な場合や、クラウドデータベースの全トラフィックをプロキシサービスで誘導することは現実的に不可能な場合もあります。

これにより、企業は個々のツールをパッチワークのように使うようになり、その結果、ヒューマンエラーの可能性が高まり、情報漏洩やコンプライアンス違反のリスクを不必要に増大するようになったのです。

• 外部ネットワークと内部ネットワークの脅威の違い。アプリケーションやAPI、マイクロサービスに直接攻撃をしかけるものなどがあり、ネットワーク対策だけでは不十分

データベースを狙う新たな攻撃手法

企業によっては、ネットワークレベルでセキュリティを強化しているため、データベースの特別な対策はいらないと考えるかもしれません。しかし、そこで考えてほしいのが、サイバー攻撃全体の傾向です。IT環境が複雑化する中、サイバー犯罪者側も新しい攻撃を生み出しています。

よく耳にするDDoS攻撃だけでなく、SQLインジェクションやXSSなど、攻撃が多様化しており、中にはSQLインジェクション攻撃のように既存のセキュリティ対策をかいくぐり、データベースに直接的に攻撃をしかけるものも存在します。DX時代にサイバー攻撃から身を守るには、データベースそのものへの侵害を防ぐ手を考える必要があるのです。また、API とマイクロサービスの開発・展開が拡大することで、恒常的にデータがネットワークとつながり、データ漏洩の危険性が高まっているといえるでしょう。

• 2020年にImpervaが観測した攻撃の内訳は、XSS関連が15.68％、インジェクション関連が44.75％と、インジェクション脆弱性を狙った攻撃が犯罪者の間で人気だった　資料：「The State of Vulnerabilities in 2020」

実際、Imperva Research Labsによると、2020年中、故意・過失を問わず、企業ネットワークから外部へデータが送信されたことによるデータ漏洩攻撃が前年と比べて93％増加しています。こうしたトレンドは、クラウド上のデータの脆弱性を浮き彫りにすると同時に、データ周辺のネットワーク、サーバ、アプリケーションだけでなく、データ自体のセキュリティを確保することの重要性を強調しているといえるでしょう。

すべてのアプリケーションに共通しているものとして、データリポジトリ層が挙げられます。いかなるアプリケーションやシステムでも、必ずどこかにデータを保存しており、大半はデータベースを使用しています。さらに、モダンなアーキテクチャ環境では、技術的にはDBMS(データベース管理システム)ではなくても、データベースに分類すべき要素を多数取り扱っているものも多く存在します。いかなるアプリケーションにもデータコンポーネントは存在しており、ほとんどの攻撃は、データ層に注目するだけで発見できるのです。

コンプライアンス遵守としてのデータベースセキュリティ

ここまで、データベースのセキュリティがどうして重要かをセキュリティの側面から話してきましたが、もう一つデータベースで語るうえで重要な課題があります。それはコンプライアンスの遵守です。

内部不正防止やコンプライアンス遵守のためにも、データベースのセキュリティの強化が近年求められています。一般的にはデータベースの監査において、「○○○であること」や「定期的に△△△を実施すること」等、大きな視点からあるべき姿を定めていることが多く、有資格者が専門家としての知識と経験を生かしつつ基準に沿った形で手続きを実施しています。

例えば、上場企業に必須となっているIT全般統制（ITGC）では、セキュリティの観点から、アクセスコントロールや特権管理、ログの保存と定期的なレビューが定められています。また、金融商品取引所に上場している会社が事業年度ごとに、「内部統制報告書」を有価証券報告書とあわせて内閣総理大臣に提出することを義務付けた内部統制報告制度J-SOXにも、ログについての定めがあります。そのほかクレジットカード業界においては、「PCI DSS」が策定されており、最低1年間のログおよびレビュー記録の保持などが要求されています。

しかしながら、データベースの監査が十分ではない事例も散見されます。その理由として人員不足や要員のスキルと経験不足、予算上の制約、古いシステムの仕様上の制約やシステムリソース不足等が考えられます。また、PCIDSS, SOX, GDPR等に記載されている要件が具体的ではなく、範囲やスコーピングが定まらないといった問題もあるようです。

例えば、JSOXでは基本的に財務諸表を組み立てるものを対象にすればよいですが、GDPRでは個人情報保護が目的なので個人情報が含まれればあらゆるものが対象となります。そのため、ディスカバリーだけでも大変な労力が必要です。さらに、データベースセキュリティオペレーションと監査双方の対応ができる人材がいないことも大きな要因と言えるでしょう。

• 「個人情報の保護に関する法律等の一部を改正する法律」の施行日について　資料：個人情報保護法委員会Webページ

• 　資料：個人情報保護法委員会Webページ

監査への対応は、2022年春に改正予定の個人情報保護法までに間に合えばいいと思っている方もいますが、それは勘違いです。というのも、実は法定刑（罰金）の引き上げは2020年12月スタートしています。法人に対しては個人情報保護法委員会からの命令への違反、また個人情報データベース等の不正提供等の罰金刑の最高額が引き上げられており、監査への対応は今すぐ行ったほうがよいと言えるでしょう。

見過ごされがちなデータベースのセキュリティを強化するには、アプリケーションとデータベースのセキュリティに対応したソリューションを導入する必要があります。そのうえで、データベースからログを収集し統一的なフォーマットで可視化することで、インシデントの検知を分析できる体制を築くとともに、コンプライアンスへの対応に向け長期間のログ保存とオペレーション体制の簡易化を図るとよいでしょう。最終的には、インシデントごとにマニュアルを作成することで、オペレーションを効率化・定型化することをお勧めします。

近年はアタックサーフェス（攻撃対象となる場所）が拡大しているので、すでに侵害や侵入されていることを前提に警戒したほうがいいでしょう。これまでデータベースサーバは『ファイヤーウォールの内側にあるから大丈夫』と考えられがちでした。しかし、DXでデータ活用の高まりとともにデータの行き来が増えています。あらためて、データベースのセキュリティが担保できているか、見直す必要があります。