巧妙化するサイバー攻撃。データベースの重要な情報資産をいかに守るか? 4つのポイント

企業のIT担当者が常に気を配っている課題の1つと言えば「セキュリティ」だ。年々、巧妙化するサイバー攻撃に対し、どのような備えをすべきかで、各社の担当者は日々、頭を悩ませていることだろう。なかでも重要な情報資産が格納されたデータベースをいかにして守るかは、自社の安定した事業活動を支えるうえでも極めて重要な課題である。最新のセキュリティ動向も踏まえ、有効な対策を紹介しよう(編集部)。

■攻撃者が狙うのは機密データが格納されたデータベース

 特定の企業や団体を狙った新たな攻撃手法として最近、被害が目立っているのが「Advanced Persistent Threat(APT)攻撃」である。標的型攻撃と呼ばれることもあるこの攻撃手法は、不特定多数をターゲットにした攻撃とは異なり、攻撃対象を絞り込み、じっくりと時間をかけてゼロデイやソーシャル・エンジアリングなど複数の手法によって攻撃を仕掛ける点が特徴だ。国内でも、安全保障にかかわる企業や官公庁などに対してAPT攻撃が仕掛けられたことが発覚し、大きな話題となったことは記憶に新しい。

img_exadata_120227_01.jpg
Oracle OpenWorld Tokyo 2012で講演した米国オラクルコーポレーション データベース・セキュリティ担当バイスプレジデントのビピン・サマル氏
 2012年4月に東京 六本木で開催されたOracle OpenWorld Tokyo 2012では、こうした最新のセキュリティ事情をテーマにしたセッション「SQLインジェクション、標的型攻撃から機密情報を守るデータベース・セキュリティ」が米国オラクルコーポレーションでデータベース・セキュリティ担当バイスプレジデントを務めるビピン・サマル氏によって実施された。同セッションの内容を基に、企業のセキュリティ担当者が今日留意すべきポイント、有効な対策を紹介しよう。
APT攻撃によって狙われるのは、企業の顧客情報や財務情報、あるいは製品開発のための設計書といった機密データである。最近では、外部の第三者による不正アクセスにより、それらの機密データが盗み出される事態がしばしば発生している。これを防ぐにはどうすればよいのか? チェスにたとえて考えれば、機密データはキングであり、プレイヤーである管理者は、このキングをどう保護するのかを考えていくことになる。

dbsecurity_000239_02.jpg

 今日の企業のIT環境では、この保護すべき機密データの多くはデータベースに格納されているのが普通だろう。それにもかかわらず、データベースに対するセキュリティ対策は決して十分とは言えないケースが多く、ネットワーク・セキュリティやエンドポイント・セキュリティ、あるいはメール・セキュリティなどにばかり予算が割かれていることが多いようだ。

dbsecurity_000239_03.jpg

 しかし、機密データへの不正アクセスを目論む犯罪者の視点に立って考えてみると、それらの対策だけでは十分ではないことがわかる。前述したように、機密データの多くはデータベースに格納されており、犯罪者にとって攻撃すべき対象はデータベースである。クライアント環境として使われているノートPCを攻撃したところで、彼らが得るものは少ない。本丸、すなわち守るべきキングは、あくまでもデータベースなのだ。

■データベースの適切な管理と監査の重要性

 それでは、具体的にどうやってデータベースを保護すべきなのだろうか? それに関するポイントとしては、次の4点が挙げられる。

●権限の不正利用の抑止
●認証/権限情報の盗難への対策
●SQLインジェクションへの対応
●データベース・システムの保護

dbsecurity_000239_04.jpg

 これらを考慮しつつ、多様な攻撃手法に対応するために、多層的な対策を講じていくことが肝要なのだ。その観点の下、オラクルは企業の情報資産を保護するための手立てを提供している。

 その1つが統合管理ツール「Oracle Enterprise Manager」である。オラクル製品に特化したこの統合管理ツールを使えば、自社システム内のどこに脆弱なデータベースやアプリケーションが存在し、それに対してどういった防御策をとるべきかを検討することができる。セキュリティ対策の基本中の基本であるパッチ適用をサポートする豊富な機能が用意されているのも心強いポイントだ。「統合管理ツールがセキュリティとどう関係するのか?」と疑問に思う方もおられるかもしれないが、企業システム全体のセキュリティを網羅的かつ効率的に管理するうえで、今や不可欠のツールなのである。

dbsecurity_000239_05.jpg

 また、データベースの状態を的確に把握し、例えば管理者権限を使って異常なアクセスが行われていないかどうかといったことを監査するのも重要になる。それに不可欠なのがデータベースから出力される各種のログ・データだが、大量のログ・データを適切に解析/管理するのは容易ではない。そのため、出力されるログを収集するだけで、適切に監査していないケースも少なくないようだ。そうした企業に最適なのが、セキュリティ監査ツール「Oracle Audit Vault」である。Oracle Audit Vaultは、Oracle Databaseをはじめとする各種データベースからログを収集/保全するための仕組みを提供するほか、不正な操作を検出して警告する機能も備える。各種のレポートを生成する機能も用意されており、監査用の書類作成業務などの負担を軽減できることもポイントである。また、監査ログを収集し、警告を行うという用途でOracle Database Firewallを利用する企業も増えている。

dbsecurity_000239_06.jpg

■SQLインジェクションや管理者権限の不正利用への対応

 データベースに対する代表的な攻撃方法として、不正なSQL文を使ってデータを引き出す「SQLインジェクション」が挙げられる。こうした攻撃に対応するため、先ごろオラクルが国内での提供を開始したのが「Oracle Database Firewall」である。これはネットワーク上でデータベースに対する操作をリアルタイムに監視するツールであり、データベースとの通信をすべてモニタリングすることが可能なほか、事前に設定したポリシーに従って不正なアクセスをブロックするといった制御も行える。多くの情報漏えい事件において、攻撃手法としてSQLインジェクションが使われている現状を踏まえると、データベースの保護に特化したOracle Database Firewallの利用価値は極めて高い。

dbsecurity_000239_07.jpg

 データベースの管理者権限を的確に管理することも重要な課題だ。内部犯行による情報漏えいで使われる恐れがあるだけでなく、ソーシャル・エンジニアリングなどによってアカウント/パスワードが漏えいした場合には、それが重大な事態に発展する可能性もある。そうした事態を防ぐために開発されたのがデータベース監査ツール「Oracle Database Vault」だ。Oracle Database Vaultを使えば、管理者権限に対しても、閲覧可能なデータを細かく制御するといったことが可能になる。特定のIPアドレスからのアクセスだけを許可するといった設定にも対応しているので、万一アカウント/パスワードが漏えいした場合の不正利用を阻止できることも重要なポイントだ。

dbsecurity_000239_08.jpg

 このほかにも、アプリケーションに対して透過的なデータの暗号化を実現する「Oracle Advanced Security」や、非本番環境で使われるデータを不可逆で匿名化する「Oracle Data Masking」など、オラクルは今日の企業が必要とするさまざまなセキュリティ・ソリューションを提供している。こうした最新のソリューションをうまく活用し、増大する脅威に的確に対応しながら情報資産を効率的に守ることが、企業の事業継続の根幹となるのである。

Comments:

Post a Comment:
Comments are closed for this entry.
About

Twitter
Facebook

Search

Recent Posts
Archives
« 4月 2014
  
1
2
3
4
5
6
7
9
10
11
12
13
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today