データベースへの不正アクセス防止の鍵は「特権ユーザー管理」。そのスマートな対応策は?

情報漏洩対策では、実際に機密情報を格納しているデータベースのセキュリティ対策が不可欠となる。その中で鍵となるのは「特権ユーザー管理」だ。2012年10月に都内で開催された「Oracle Days Tokyo 2012」における日本オラクルの福田知彦氏(製品戦略統括本部 戦略製品ソリューション本部 シニアエンジニア)の講演「不正アクセスから情報を守る。特権ユーザー管理から始めるセキュリティ対策」より、今日も企業のセキュリティ担当者を悩ませている不正アクセス対策における特権ユーザー管理のポイントを紹介しよう。(川添貴生)

特権ユーザー・アカウントの共有が引き起こす数々の問題

日本オラクル 製品戦略統括本部 戦略製品ソリューション本部 シニアエンジニアの福田知彦氏
 サーバを狙った各種の攻撃、あるいは内部関係者による不正アクセスなどによって発生する、企業が保持する情報の漏洩が企業を悩ませ続けている。米国ベライゾンの調査報告書によれば、漏洩する情報の大半はデータベースに格納されていたものであり、しかもその原因の多くはID/パスワードの流出だという。つまり、情報漏洩対策では、「アカウント管理」が極めて重要なポイントになるわけである。

 福田氏は、このアカウント管理の中でも、特に重要なのが特権ユーザー・アカウントだと指摘する。

 「例えば、UNIX系のOSであれば『root』、Oracle Databaseであれば『SYS』や『SYSTEM』といった特権ユーザー・アカウントは、非常に大きな権限を持っているので、適切に管理しなければならない。ただし、これらのアカウントは1つしかないことから複数のユーザーによって共有されることが多く、それが適切な管理を難しくしている。アカウント情報が流出した場合、複数の人間がIDとパスワードを知っているため、その流出元を特定できないといった事態も起こりうるのだ」(福田氏)

 この問題を解決し、特権ユーザーを適切に管理するうえで行うべきことは、「共有IDの排除」と「適切な権限の管理」、そして「ログの記録」だと福田氏は説明する。

 「rootやSYS/SYSTEMといった特権ユーザーのアカウントを共有して使い回さず、それぞれのユーザーに個別のアカウントを発行する。さらに、職務分掌で作業に必要な権限だけを割り当てる──こういったかたちでID管理を適切に行うことが大切となる。

 また、それぞれのアカウントでの作業記録をログとして記録することに加えて、誰がいつ、そのユーザーに管理権限を与えたのかなど、ユーザー管理の履歴も記録しておかなければならない」(福田氏)

アカウント作成や権限付与を自動化する「Oracle Identity Manager」

 このような特権ユーザーのアカウントを適切に管理するためのソリューションの1つとしてオラクルが提供しているのが「Oracle Identity Manager」だ。これはIDのライフサイクル管理を実現するための製品であり、人事管理システムなどから取得した人事情報に基づいてアカウント管理を行うというもの。具体的には、部門や肩書きに基づいてルールを作成しておくことで、アカウントの生成や権限の付与といったプロセスを自動化することが可能になる。

 このOracle Identity Managerを利用して管理者ごとにアカウントを作成し、さらに権限を適切に割り当てることにより、特権ユーザーにまつわるリスクを軽減できるというわけだ。

 Oracle Identity Managerを利用するメリットの1つとして、福田氏は退職者のIDを確実に無効化できることを挙げる。

 「システム監査などでよく指摘されるのが、『退職した従業員のアカウントが放置されている』こと。Oracle Identity Managerは、取得した人事情報から退職者を検出すると、当該ユーザーのアカウントを自動的に削除する仕組みを備えているため、退職者のアカウントがいつまでも残るといったミスを防ぐことができる」(福田氏)

 さらに、Oracle Identity Managerにはセルフサービス型のポータル画面が用意されており、パスワードを忘れた際にはこのポータル画面からパスワードをリセットできるほか、ユーザー自身がアカウント作成を依頼するための仕組みも用意されている。ワークフロー機能も備えており、多段階の承認を行ったり、情報システム部門の誰かが承認したらアカウントを発行したりするなど、さまざまな承認フローを設定できる。この機能を活用すれば、システム担当者のアカウント管理負担の軽減にもつながるだろう。

特権ユーザーのアカウントを厳密に管理する「Oracle Privileged Account Manager」

 もっとも、ユーザーごとに適切な権限を付与したアカウントを発行したとしても、rootやSYS/SYSTEMといった特権ユーザー・アカウントが完全に不要になるわけではない。また、作成した一般ユーザー・アカウントを複数のユーザーで共有しなければならないケースもあるだろう。こうしたアカウントを安全に利用するためのソリューションとして福田氏が紹介したのが「Oracle Privileged Account Manager」だ。

 共有アカウントの問題点は、複数のユーザーがパスワードを知っているため、そのアカウントを使ってアクセスしたのは誰かが判断できないことである。この問題を解消するために、Oracle Privileged Account Managerは共有アカウントの権限をシステム側で管理し、ユーザーから申請があった場合はその都度、新たにパスワードを生成して貸与するというかたちをとる。例えば、ユーザーがSYSTEMアカウントを使ってデータベースにアクセスしたい場合、そのユーザーはOracle Privileged Account Managerに対して利用申請を行い、パスワードの貸与(チェックアウト)を受ける。このパスワードを使ってログインし、作業が完了したらパスワードを返却(チェックイン)するという流れだ。

 Oracle Privileged Account Managerはパスワード貸与時と返却時のそれぞれでパスワードを変更するため、たとえ外部にパスワードが流出したとしても、返却した後では不正アクセスは行えない。このOracle Privileged Account Managerのメリットを、福田氏は次のように説明する。

 「Oracle Privileged Account Managerを利用することにより、共有アカウントについて実際に誰が利用しているのかをトラッキングすることが可能になるほか、パスワードが流出した際の被害を最小限に食い止められる。また、監査レポートの出力も可能なので、システム監査を受ける際にいちいち台帳の内容を見てレポートを作成するといった手間もかからない」(福田氏)

 なお、Oracle Privileged Account Managerは、最新版であるOracle Identity Management 11g R2の新機能の1つとして提供される。特に特権ユーザーのアカウント情報が流出すると大きな被害につながるだけに、データベース・セキュリティの一環としてぜひ活用したいソリューションだ。

特権ユーザーの権限を的確に制御する「Oracle Database Vault」

 同様に特権ユーザーにまつわるセキュリティ・リスクを低減するソリューションとして、福田氏は「Oracle Database Vault」も紹介した。こちらは管理権限を分割し、SYSやSYSTEMアカウントへの権限集中によるリスクを回避するというものだ。

 「例えば、データベース管理とユーザー・アカウント管理、セキュリティ・ポリシー管理、そしてアプリケーション・データ管理といったかたちで管理ユーザーを分け、データベース管理のユーザーはデータベースの起動と停止、運用監視のための機能しか利用できない、同様にユーザー・アカウント管理ではアカウント操作しかできないといった制限を設けられる。また、Oracle Database Vaultには『レルム』という仕組みがあり、たとえSYSTEMアカウントであっても人事情報や財務情報が格納されたテーブルへはアクセスできないようにするといったことが可能だ」(福田氏)

 職務分掌の考え方にのっとれば、データベースの管理者が職務の範囲外の情報を閲覧するのは大きな問題である。こうした課題を解決できるのがOracle Database Vaultのレルム機能というわけだ。また、複数のシステムで同じデータベースを使っている場合、例えば人事システムの管理者は人事情報に関するオブジェクトだけ、同様に財務システムの管理者は財務情報のオブジェクトだけにアクセス可能といった制限も設けられる。

 加えて福田氏は、特権ユーザーを含めすべてのデータベース操作のモニタリングやSQLインジェクション攻撃などを防ぐことができる「Oracle Database Firewall」にも言及した。Oracle Database Firewallの特徴は、「テキスト・ベースではなくSQLの文法を解析してデータベースへのアクセスを制御するため、誤検知が少ない」(福田氏)という点である。アプリケーションとデータベース間に配置することでブロッキングとモニタリングが行えるほか、モニタリングだけであればネットワーク・スイッチのポート・ミラーリング機能を使うことでネットワーク構成を実現できることもメリットである。

 データベースに限らず、セキュリティ対策を考えるうえで的確なアカウント管理は極めて重要なポイントだ。ただし、システムやデータベースの数が増えると、それらすべてを適切に管理するのは難しくなる。また、福田氏も指摘するように、特権ユーザーをそのまま放置すれば、それが大きなセキュリティ・インシデントにつながりかねない。福田氏が紹介したOracle Identity ManagerやOracle Privileged Account Manager、Oracle Database Vault、Oracle Database Firewallといった製品群は、それらの課題を解決しながら、最も効率的かつ強固にデータベース・セキュリティを実現するためにオラクルが開発した最新のセキュリティ・ソリューションだ。効果的なセキュリティ対策の導入を考えている企業は一度検討する価値があるだろう。

Comments:

Post a Comment:
Comments are closed for this entry.
About

Twitter
Facebook

Search

Recent Posts
Archives
« 4月 2014
  
1
2
3
4
5
6
7
9
10
11
12
13
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today