ここから本文です

なぜ、データベースセキュリティが必要か──企業の対策率「たった20%」の現状

6/30(金) 7:55配信

@IT

連載バックナンバー

●データベース=「金庫」である

 「宝くじで1等が当たった」としましょう。当選を実感したいあなたは、当選金を全て現金で引き出して、自宅へ持ち帰ることにします。取りあえず無事に自宅までは持ち帰れました。

データベースへの攻撃例(筆者が2013年に作成した資料)

 そのときにあなたは、「自宅でこの大金を守るため」にどんな対策をしますか?

 例えば、玄関の鍵を厳重なものにする、窓から侵入されないように鉄格子をはめる、防犯カメラを設置する、ホームセキュリティ会社と契約するなど、さまざまな対策が思い付きます。そして、この現金もどこかの部屋に「むき出しで置いておく」ことはないと思います。鍵の掛かる金庫で保管するのが自然です。

 このように、大切なものは幾重にも対策をして厳重に管理します。

 では、同じように重要な「データ」はどうでしょうか? 上記に当てはめると、データベースは「金庫」になります。皆さんが管理するサーバも、当然ファイアウォールを設置して、ネットワーク監視をして、ウイルス・マルウェア対策ソリューションを入れて、そして、データベースはデータセンターの奥のネットワークに設置していることでしょう。……しかし、この「データベース自体のセキュリティ対策が考慮されていない」ケースが多いのです。

 この状況は、部屋に「札束が置きっ放し」、もしくは「金庫には入れてあるけれど、鍵を掛けていない」ような状態です。もし空き巣に侵入されたら、いち早く持っていかれてしまうでしょう。

 筆者が「データベースは重要なデータを守る最後の砦」と提言しているのはこのためです。金庫に入れるほど大切なものならば、必ず鍵を掛けて厳重に管理するのと同じように、データはデータベースに格納し、さらにデータベースに適切なセキュリティ対策をすべきなのです。データベースに格納しさえすれば安全と考えてしまうかもしれませんが、残念ながらデータベースにデータを入れるだけでは十分に安全とはいえません。

 サイバーセキュリティの重要性が増している2017年現在、ネットワーク層でのセキュリティ対策だけでなく、データベースを含めた他の層でもセキュリティ対策を行う「多層防御」と呼ばれる対策が注目されています。まさに現実社会で「大切なものは幾重にも対策をして厳重に管理する」と直感的に行っていることをITシステムの世界に取り入れた考え方です。データベースには標準機能でもさまざまなセキュリティ機能が備わっています。これらの機能を有効に活用して、まず厳重にデータを管理していく心掛けが必要となっています。

●「データベースは攻撃されない」はもう通用しない

 なぜ、これまで「データベースは攻撃されない」と思われていたのでしょうか。データベースは多くの場合、データセンターの奥のネットワークに隔離されているので、データベースに直接アクセスされることはない=だから安全である、という考えがあったと推測されます。

 しかし昨今のサイバー攻撃の脅威は、恐らく皆さんが思っている以上に日々多様化・高度化しています。データベースに直接アクセスできないはずの環境へ、アプリケーションサーバや運用端末を経由してデータベースが実際に攻撃され、データが漏えいした事件は既に現実に起きています。また、外部からの攻撃ではなく「内部犯行」ならば、データベースの設置場所に関係なく、正規の権限でデータベースに接続して、しれっとデータを持ち出すこともできてしまいます。

 以下の図は、筆者が2013年に実施したデータベースセキュリティ関連セミナーで使ったものです。実際の攻撃に利用されるウイルスなどの詳細は古いものです。しかし、2017年6月現在も「データベースに対する攻撃手法自体は昔から変わっていない」のです。

 情報漏えい事件の多くは、クレジットカード決済代行会社や漏えいの被害に遭った顧客など、外部から指摘されて発覚したり、コンプライアンス要件で漏えい事件の公表が義務付けられたりしていることから事実を知ることが多いのですが、それ以外にも、営業秘密などで公表されなかった事案や、そもそも漏えいした事実にすら気が付いていないこともあり得ます。

 情報漏えい事件を起こしてしまった会社も、決してセキュリティ対策を行っていなかったわけではありません。ただし、外部ネットワークとの境界部分にファイアウォールを設置するといった「ネットワーク層の対策」=境界防御に依存し、内部ネットワークに侵入された「後」の、データベースを含めた他のレイヤーでの対策は十分に行われていなかったと推測されます。

 Webアプリケーションの脆弱(ぜいじゃく)性を突いた攻撃や標的型攻撃によるマルウェアの感染で、1度内部ネットワークまで攻撃者に入られてしまうとどうなるでしょう。攻撃者は内部に潜んで、自由に、じっくり時間をかけて対策し、目的の攻撃ができることになります。

 もちろん境界防御は重要です。しかし、どれだけネットワーク層やアプリケーション層のセキュリティ対策が強固だとしても、いったん侵入され、無防備なデータベースサーバに直接アクセスされてしまっては終わりです。情報漏えいを防ぐことはできません。

●「データベースセキュリティ」対策率は「まだ20%」の現状

 「データベースのセキュリティ対策」の現状で、ぜひ知ってほしい数値があります。

 筆者の所属する日本オラクルでは、「Oracle Databaseセキュリティ・リスク・アセスメント」と呼ばれるサービスを提供しています。これは、データベースシステムに脆弱な設定はないか、過度の権限の付与を行っていないか、などの項目を「データベースを守る」観点で診断していくものです。

 実はこのサービスを利用した企業のうち、2017年5月末時点の調査において日本で「データベースのセキュリティ対策を考慮していたシステム」だった割合は「20%程度」でした。企業のデータベースセキュリティ対策はまだ浸透していないのが現状といえます。

 このサービスは現行システムの本番環境に対して実施するもので、アセスメント対象のデータベースシステムは「Oracle Database 11g R1(以下、11g R1)」と「同11g R2」が多くを占めています。11g R1のリリースは2007年8月、11g R2のリリースは2009年9月、次のメジャーバージョンであるOracle Database 12c R1(以下、12c R1)のリリースは2013年6月なので、2017年6月時点で、11g R2を利用している比較的新しいシステムでも12c R1のリリース以前となる「4年以上前」、11g R1を利用している古いものでは11g R1がリリースされた「10年前に設計されたシステム」ということになります。

 2007年当時は、まだ「まずはネットワーク層でのセキュリティ対策を導入する」といったフェーズだったことから、データベースでのセキュリティ対策はほとんど考慮されていないことは仕方がないことかもしれません。また、他社のデータベースシステムを含めるといくらか数値は変わるでしょう。しかし2017年現在も、多くの未対策データベースが本番システムとして稼働している現実は変わらないはずです。

 その一方で、データベースのセキュリティリスクアセスメントを受ける企業は日に日に増加しています。実対策はまだかもしれません。しかし、データベースのセキュリティ対策が必要と理解し、今、そのさまざまなシステムで対策計画が進みつつあるのもまた事実なのです。

●コンプライアンス要件へ明確が記載されるようになった「データベースセキュリティ対策」

 多発する近年の情報漏えい事件を受けて、「各種法律・法令」や「それに伴うガイドラインなどのコンプライアンス要件」に、データやデータベースに対するセキュリティ対策や、ネットワークレイヤー以外のレイヤーでもセキュリティ対策を実施する多層防御の考え方が記載され始めています。

 例えばベネッセの大規模な情報漏えい事件があった2014年には、監督官庁である経済産業省が『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』を改訂し、データベースへのアクセス制御、管理者権限の分割などが追記されました。

 また、日本年金機構の情報漏えい事件があった翌年の2016年には、内閣サイバーセキュリティセンター(NISC)による『政府機関等の情報セキュリティ対策のための統一基準群』へ、データベースに対するセキュリティ対策(管理者権限分割、アクセス制御、監査・検知、暗号化)という項目が具体的に追記されました。

 このように、新しい高度な攻撃から重要なデータを保護する対策はもちろん、これらの新しい法律やガイドラインに対応する(つまり、対策が必須となる)ことも視野に入れ、今後、データベースのセキュリティ対策を考慮し、実践していくことが強く望まれるようになります。

 次回は、この各種法令やガイドラインに「データベースセキュリティ」が具体的にどう記載されているのかを解説します。

●筆者紹介

福田知彦(ふくだ ともひこ)

日本オラクルでセキュリティ関連のプロダクトやソリューションを長年担当。出荷前製品検証からプリセールス、コンサルティングと、さまざまな部署を転々とするも担当はだいたいいつもデータベースセキュリティかIDマネジメント。出荷前から構築、運用、トラブル対応まで製品の一生を見守るエンジニア

最終更新:6/30(金) 7:55
@IT