これだけは押さえたい! データベースセキュリティ(3) 物理セキュリティとデータアクセスで安全性と可用性を両立

データベースのセキュリティについて解説する本連載。前回の記事で、多層防御の重要性やアクセス制御の考え方についてご理解いただけたことと思います。今回は、データセキュリティとはちょっと違った物理セキュリティについて説明します。

人間に精神的な負担を強いる「物理セキュリティ」

物理セキュリティと聞いて、みなさんはどんなことを思い浮かべますか?

皆さんの頭の中には、「物理なんでしょ? ということは、守衛さんやフェンスとか?」といったことが浮かんでいるのではないでしょうか。

はい、その通りです。物理セキュリティとは、これまでお話したデータベースセキュリティ(データセキュリティ)とは異なる考え方を持ったセキュリティ施行と考えてよいです。具体的には「守衛の警備員」や「フェンス」また「番犬」も物理セキュリティの部類に該当します。

実は、皆さんの回りに何気なく存在する物理セキュリティを人々は無意識のうちに認識していると言われています。例えば、警備員や入館ゲートが配備されているようなビルにふらっと立ち寄って、アポなしで強行突入するようなことはしないし、できないですよね?

すごく当たり前のことなのですが、これは人間が無意識のうちに「あそこ(ビル)に入ることは物理的に難しいし、痛い目に遭いそう……だからやめておこう」と意識するからです。つまり、物理セキュリティは人間に無意識のうちに精神的な負担を強いているものと言えます。

第1回で説明した父親のお金の件で例えるなら、父親の部屋に出入りすることに対する精神的な負担が少ないので、知らぬ顔をして部屋に入ることは可能だったと言えます。

では、父親の部屋に入れないようにする、または、無意識のうちに入らないような気持ちにさせるにはどういうやり方があるでしょうか? 簡単な方法としては、「部屋に入らないように!」「入ったら罰を与える」などの警告があると思います。

会社での例を挙げるなら、「従業員のWebサイト閲覧履歴をすべて記録しています」という社内アナウンスがあったとします。これは言い換えれば、「君たちの閲覧履歴は記録しているから怪しいサイトには行くなよ、監視しているからな!」と言っているようなもので、それも無意識のうちの精神的な負担を従業員に強いていると言えます。

セキュリティを高めすぎると運用保守の効率が低下するおそれも

物理セキュリティが人間に与える精神的な負担を理解していただいたところで、本題の企業で施行している物理セキュリティに切り替えて説明しましょう。

物理セキュリティにおける一番わかりやすい例として、入館・退館時使用するカードキーや指紋、静脈、虹彩認証などが挙げられます。これらは登録した人間が所有しているものやその人間の特徴をテクノロジーの力を駆使して、物理セキュリティを施行しています。

英語では人間の特徴(指紋、静脈や虹彩など)をあらわしているものを「Something You Are」、人間が所有しているものを「Something You Have」と表現します(物理セキュリティはちょっと離れるかもしれませんが、パスワードなどの人間の記憶に依存しているものは「Something You Know」と言います)。

「Something You Are」や「Something You Have」を駆使した物理セキュリティはかなり優れものです。なんせ認証・認可されていない人間を物理的に排除できるので、そもそも悪いことをさせない仕組みを物理的に施行できているからです。つまり、起こりうる可能性 = 「リスク」を根本的に排除しているのです。

そんな物理セキュリティが施行された場所や部屋には、何を配置したいでしょうか? 情報資産ならば、それらを蓄積するサーバやストレージなどの機器類およびそれらを取り巻く物理的な機器ですね。

それらを物理セキュリティエリアに配置しておけば、保守・運用を除けば日常的、必要以上に人が出たり入ったりすることを抑止できます。

日々の業務で使用するデータのやり取りは、隔離されたサービスネットワーク、スイッチやルーター、ファイアウォールなどで隔離されており、例えば機器の設定を実施する場合、直接データセンターに入館して作業するためなどのあらかじめ決められたルールで統制することで、機器の設定改ざんやスニファリングのリスクが低いと考えられます。

しかし、日々の運用・保守において、ガチガチのルールで統制することによってセキュリティは向上しますが、運用・保守に対する効率が低下し、その結果、システムのクオリティが低下する可能性があります。特に障害に伴い、システム停止時間が長期化すればするほど、企業の営利継続性に問題が生じます。

物理セキュリティとシステム層でのアクセス制御で問題を解決

ここで、あるお客さまの例を紹介しましょう。そのお客さまは運用・保守は自前のサーバルームの特定端末からしか接続できないというルールを設けていました。かつ、運用・保守ができるのは正社員のみであり、認証・認可された限定的なユーザーが限定的な場所から業務データおよびデータベース管理を実施していました。このやり方は確かに安全だと思います。

しかし、悩みもあり、トラブルなどの有事の事態の時に正社員が特定端末からアクセスする必要がある場合、正社員に対するかなりの負担がかかっていました。

障害以外にもメンテナンスやちょっとした保守作業においても、わざわざ専用部屋で専用端末から専門の人(正社員)によるアクセスが必須となり、「必要な時に必要な情報を参照できない」 = 「可用性低下」が生じます。これでは、コスト増は避けられず、企業本来の営利目的を停滞させ、俊敏性の低下、機会損失を与えていることが問題視されていました。

こうなってしまうと、企業そのものや従業員を守るためのセキュリティの目的が「セキュリティのためのセキュリティ対策の施行」に陥っている可能性があります。営利目的である企業にとって、セキュリティ対策を施行する時は戦略と戦術を考慮する必要があると筆者は考えます。

このお客さまの改善案としては、「起こりうる可能性 = リスク」をどの程度許容できるかを判断していただき、物理セキュリティとデータに対するセキュリティを分けて、運用・保守に負担が大きくかからない施策を実施しました。

このように物理セキュリティとシステム層でのアクセス制御を組み合わせて可用性を担保したセキュリティを確立するには、まず現状のシステム運用の把握が重要になります。それには、「誰が」「どこで」「どのデータに対して(データベースサーバの場合)」「何を」行うかを把握することから始めましょう。

上図の場合、システム運用を把握することで、どの運用作業/どの担当者が保守ルームで作業をすべきか、どの運用作業/どの担当者が保守ルーム外での作業を許されるかという判断を行うことが可能になります。また、その前提として、前回ご紹介した職務分掌が確立されていれば可用性を保持した状態でセキュリティレベルを大きく上げることができるでしょう。

いかがでしょうか? データベースセキュリティとは少し離れた話題を取り上げましたが、セキュリティを考える上で物理的なセキュリティも多層防御の考え方では非常に重要です。次回はみなさんの悩みの種?とも言える監査について事例を交えて説明します。