みなさんこんばんは、大阪出張に来ている北野です。
さて本日(もう昨日ですね)三井住友銀行様におけるセキュリティ機能の実装事例を発表させて頂きました。Oracle Database VaultやOracle Advanced Security、仮想プライベートデータベース(VPD)などを美しく実装した、非常に優れた事例です。
「三井住友銀行、投資銀行部門のEUC基盤における
セキュリティ対策を強化」に関するプレスリリース
詳しくは事例資料PDFの記事を是非ご参照ください。
この事例で特に良かった点は2つあります。
ひとつは「場当たり的な対策」ではなく、あらかじめ現状のセキュリティリスクを把握して整理し、何ができていないのかを明らかにしたうえでそれぞれの対策を設計・実装するという本来あるべきアプローチが正しくできたということです。これによって実装前と実装後でどのようにリスクが低減できたのかが明確にわかります。またこのアプローチを取った方が(一見遠回りのように感じる方もいるかもしれませんが)結果的に短い期間、合理的なコストで適切なセキュリティ対策が実現できました。
もうひとつはアクセスコントロールのモデルがまさに「最小権限の原則」であることです。通常内部のビジネス情報を見たり、更新したりする必要のないデータベース運用者についてはDBA(SYSDBAやSYSTEMなど)であっても特定の表・ビューはアクセスできないという環境をOracle Database Vaultを使って実現したうえで、情報を利用する内部ユーザに関しては更にVPDを利用して業務に関係ない(他人の担当顧客情報など)データにはアクセスできない、という構造にしています。
このアクセスコントロールモデルの実現によって管理者権限を悪用した運用管理者による漏洩事件などを防止し、かつビジネスユーザが業務以外のデータを悪用するなどの不正も同時に防止しているのです。
結果的にたくさんのオラクル製品・機能を使って頂いていますが、「最初から製品やテクノロジーありきではなく、セキュリティリスクを知ることから出発して対策を考える」というアプローチがいかに重要であるかを改めて感じます。
あっ、そうそう。来週は東京、大阪で「Oracle Database Summit」が開催されます。11gR2とExadata V2のラウンチイベントになりますが、セキュリティのセッションもありますのでお誘い合わせのうえご来場頂ければ幸いです。
