企業のオンライン・サービスを効果的に守る。機密情報をより効果的に守るオラクルならではのセキュリティ・ソリューション

企業に対するサイバー攻撃の手法が年々、巧妙化する中、「局所的/対処療法的な対策の積み上げに追われ、果たして急所を押さえた対策をとれているのか不安が残る」といった声が聞かれる。残念ながら、完璧なセキュリティなど存在しない。だからこそ、企業は局所的な対策に走るのではなく、自社にとって最も重要な情報資産のある場所と、その周辺にフォーカスして守りを固めるべきなのだ。では具体的にどのようなアプローチをとればよいのか? サイバー攻撃の代表的なシナリオと、それを踏まえたオラクルのセキュリティ・ソリューションを見ていこう。

■3つの攻撃ポイントと4つの攻撃シナリオ

img_exadata_120227_01.jpg
Oracle OpenWorld Tokyo 2012で講演した日本オラクル 製品統括本部 テクノロジー製品推進本部の大澤清吾氏
 2012年4月に開催されたOracle OpenWorld Tokyo 2012では、企業のセキュリティ意識の高まりを受け、最新のセキュリティ事情をテーマにしたセッションが多数実施された。その中で、企業のオンライン・サービスにおけるセキュリティ対策にフォーカスして実施されたのが、日本オラクル 製品統括本部 テクノロジー製品推進本部の大澤清吾氏によるセッション「オンライン・サービスにおけるセキュリティ対策 - なりすまし、SQLインジェクション攻撃との戦い方」だ。同セッションの内容を基に、最新のサイバー攻撃の主要なシナリオと、それに対応した効果的なセキュリティ施策を実現するオラクルのソリューション群を紹介していこう。
まず近年におけるサイバー攻撃の傾向を確認しておきたい。企業がインターネット上で提供するサービスに対して仕掛けられる攻撃は、次の3つに大別される。

●機密性に対する攻撃:情報漏洩
●可用性に対する攻撃:データの破壊、システム停止、サービス妨害(DoS)
●完全性に対する攻撃:Webサイトの改ざん

 特にここ数年、被害が深刻化しているのが、機密性に対する攻撃による情報漏洩だ。なりすましによる不正アクセス、OSの乗っ取りによるマルウェア感染、データベースに対するSQLインジェクション攻撃などが主な手口で、なかでもSQLインジェクションによる被害がセキュリティ被害全体の半数以上を占めると言われる。

 また、サイバー攻撃の傾向としては、次の4つのシナリオが代表的なものとして挙げられる。

(1)盗み出したID/パスワードを使ったなりすまし
(2)アプリケーションの脆弱性を利用したSQLインジェクション攻撃
(3)アプリケーション・サーバの脆弱性を踏み台にしたOSやデータベースの攻撃
(4)境界防御を迂回した新たな攻撃

 これらの攻撃に対抗するには、システムの入り口を守るファイアウォールだけでは不十分であり、多層でのセキュリティ強化が重要となる。局所的な対策の積み上げではコストばかりがかさみ、柔軟性にも欠ける。攻撃者が狙っているのは価値のあるデータ、つまり企業の経営活動において最も重要なデータだ。そうであるならば、重要なデータとその周囲の守りを固めることにより、情報漏洩の危険性を大きく低減させればよい。以下、それぞれの攻撃シナリオに対して、オラクルがどのようなソリューションを用意しているのかを見ていこう。

■盗んだID/パスワードによる不正アクセスを防止――Oracle Adaptive Access Manager

 IDとパスワードを盗み出し、それを使って不正アクセスを行ういわゆる“なりすまし”は、パスワード盗聴ツール(キーロガー・ツール)への対策や、多要素認証(リスク・ベース認証)による認証の強化が有効な対策となる。これらの機能を提供するのが「Oracle Adaptive Access Manager」だ。

dbsecurity_000238_02.jpg

 オンライン・バンキングなど金融系のサービスでは、IDとパスワードによる認証に加えて、普段と異なるアクセスがあった場合に本人しか知りえない情報(母親の旧姓など)の入力を求めるリスク・ベース認証を採用しているケースが多いが、Oracle Adaptive Access Managerは今日急速に普及しているiPhone, iPadなどスマートフォン端末からのリスク・ベース認証にも対応する。このため、万一パスワードを盗まれた場合でも、端末の情報や行動パターンなどからリアルタイムでリスク分析することにより、なりすましの疑いがあるユーザーを検知できるので、被害を最小限に食い止められる可能性が高まる点が大きな特徴だ。

■モニタリングとブロッキングでSQLインジェクションを防ぐ――Oracle Database Firewall

 万が一、脆弱性を突かれてアプリケーション・サーバが乗っ取られてしまった場合でも、攻撃者によるデータベース・サーバへの不正アクセスを防止することは重要だ。アプリケーショ・サーバとデータベース・サーバの間にネットワーク・キャプチャ型のデータベース専用ファイアウォール「Oracle Database Firewall」を利用することで、既存の環境に一切影響を与えることなく、さまざまなデータベースをSQLインジェクション攻撃から守ることができる。Oracle Database Firewallの基本的な機能はモニタリングとブロッキングとシンプルだが、これが非常に強力なデータベースの“防御壁”として機能するのである。

dbsecurity_000238_03.jpg

 例えば、本来ならアプリケーションが発行するはずのないコマンド、例えば「SELECT * from [顧客情報の表名]」のように不正に情報を取得しようとしているコマンドがアプリケーション・サーバから送られて来ると、Oracle Database Firewallはそれを異常として検知し、SQL文そのものをブロックする。もちろん、検索結果は返さない。この機能は、内部からの不正アクセスにも、外部からの攻撃にも有効だ。アプリケーションが実行したSQL文をログとして記録/管理/レポーティングする機能も備えている。

 Oracle Database Firewallの最大の特徴は、正常なSQL文まで異常と判断したり、逆に異常なコマンドの通過を許したりすることのないよう、SQLの文法を認識/解析している点である。RDBであれば、Oracle Database以外のデータベース(IBM DB2、Microsoft SQL Server、MySQLなど)でも使うことができる。

dbsecurity_000238_04.jpg

 加えて、Oracle Database Firewallを経由しないデータベースへのアクセスも含め、すべてのアクセスをモニタリング/記録できる点も大きなポイントだ。攻撃者がネットワークを介さず直接データベース・サーバにアクセスしようとしても、あるいはOracle Database Firewallが置かれていないリモート・サイトのデータベース・サーバにアクセスしようとしても、それらのアクセス状況をすべて把握することができる。

dbsecurity_000238_05.jpg

■3つのポイントでデータを高速に暗号化――Oracle Advanced Security

 システムの入り口をいかに堅固に防御したとしても、データベース・サーバへの侵入を100%防げるとは断言できない。だが、万一侵入を許し、データやファイルを盗まれたとしても、そのデータが暗号化されていれば、その中身を守ることができる。「Oracle Advanced Security」は、ネットワーク、データベース、バックアップ・データの3つの要所を守る暗号化機能である(Oracle Database 11gのオプション機能)。

dbsecurity_000238_06.jpg

 Oracle Advanced Securityは、データを透過的に暗号化する「Transparent Data Encryption(TDE)」という機能を備えており、アプリケーションからの暗号化/復号化を容易に実行することができる。暗号化のレベルは、最大256ビット、または3DESとなる。Intelチップに搭載されているAES-NI(プロセッサにより暗号化/復号化を高速に行う命令セット)を利用することで、ハードウェア側で暗号化処理を行うため、暗号化しない場合と比べてパフォーマンスの劣化はほとんど生じない。

dbsecurity_000238_07.jpg

■データベース・アクセスにも職務分掌の考えを適用――Oracle Database Vault

 データベース管理者(DBA)は特権ユーザーとも呼ばれ、データベースの管理/運用に関するあらゆる権限を有している場合が多い。つまり、DBAは自身の業務に関係のないデータまで閲覧/操作することが原理的に可能であり、このことがセキュリティやコンプライアンスの観点から問題視されてきたが、今日でもこれに関して有効な対策をとっていない企業は少なくない。

 例えば、不正アクセスにより、DBAのアカウント情報が盗まれてしまったとしたらどうなるだろうか。特権ユーザーとしてデータベース・サーバにログインするのを許すことになり、それが機密情報の漏洩などにつながりかねない。それを防止するためにオラクルが提供しているのが「Oracle Database Vault」である。Oracle Database Vaultは、たとえDBAであっても業務に関係のない機密情報へはアクセスできないようにすることで、特権ユーザー・アカウントによる不正アクセスを防止する。

dbsecurity_000238_08.jpg

 オラクルは従来より、データ・アクセスに関しても職務分掌を取り入れることを提唱してきた。権限をDBAに集中させるのではなく、各自の業務内容に応じて適切な権限を付与することで、高度なアクセス制御を実現すべしというわけだ。例えば、「派遣社員が23時にデータベース・サーバにアクセスすることは、通常の業務ではありえない」のであれば、それに応じたアクセス制限を設定すればよい。こうしてユーザーの職務分掌に応じたリスク管理を行うのがOracle Database Vaultの特徴である。

dbsecurity_000238_09.jpg

 前述したように今日、ファイアウォールなど境界防御に依存したセキュリティ対策では、もはや不十分である。境界を突破してくる侵入者は必ず現れるという前提に立たなくてはならない。特に企業の重要な情報資産を格納したデータベースに関するセキュリティの基本は“予防と対策”だ。たとえネットワークを突破されたとしても、あるいはアプリケーション・サーバを乗っ取られたとしても、重要な情報を盗まれなければ、被害は最小限に抑えられる。ゼロリスクではなく、リスクを前提にして対策をとること―─これこそが、現代の企業が考えるべきスタンスなのである。

Comments:

Post a Comment:
Comments are closed for this entry.
About

Twitter
Facebook

Search

Recent Posts
Archives
« 4月 2014
  
1
2
3
4
5
6
7
9
10
11
12
13
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today