サイバー攻撃から情報資産を確実に守るべく、先進企業が導入する“データベース中心の多層防御”──「Oracle Security Summit 2013」レポート

企業の機密情報や知的財産を狙ったサイバー攻撃が後を絶たない中、従来の入口対策に加えて出口対策に力を入れる動きも見られるが、「果たして、これらの対策だけで重要な情報を守ることができるのか?」と不安を感じる企業は少なくない。そこで最近は、攻撃者が狙う情報が格納されたデータベースを中心に多層的な防御体制をとる企業が欧米を中心に増えている。日本オラクルがデータベースの防御に主眼を置いた新セキュリティ製品「Oracle Database Vault and Firewall」のお披露目イベントとして2013年3月6日に開催したセミナー「Oracle Security Summit 2013」では、そうした最新の企業情報セキュリティの動向がリスク・コンサルタントや米国オラクルのセキュリティ製品担当ディレクターによって紹介された。(川添貴生)

ますます巧妙化するサイバー攻撃

デロイト トーマツ リスクサービス執行役員パートナーの野見山雅史氏
 昨今、特定の組織や個人を狙ってウイルス対策ソフトでは検出できないマルウェアを利用して機密情報を窃取する「標的型攻撃」の被害が広まっているほか、ゼロデイ攻撃の脅威も増し続けるなど、企業における情報セキュリティ対策の重要性はますます高まっている。こうした近年のサイバー攻撃の状況と企業がなすべき対策について、「監査とリスクの視点から考える情報セキュリティ管理のポイント」と題して講演を行ったのが、デロイト トーマツ リスクサービス 執行役員パートナーの野見山雅史氏だ。

 野見山氏はまず、情報セキュリティにおける脅威の変遷を振り返りつつ、外部からの攻撃について「全般的に手口が洗練されてきている」と指摘した。例えば、メールによる標的型攻撃について言えば、マルウェアを送り込む際の手口が巧妙化しており、「何の疑いもなくマルウェアが含まれた添付ファイルを開いてしまうケースが多い」(野見山氏)と実情を明かす。

 こうした攻撃への対応策として現在普及しつつあるのが「出口対策」と呼ばれるものだ。従来の外部からの侵入を防ぐ「入口対策」だけでなく、侵入されてしまった場合に備えてネットワークの出口についても対策を施し、情報が外部に流出するのを防ごうというわけである。

 だが、本当に出口対策だけで十分なのだろうか? これについて、野見山氏は次のように見解を述べる。

 「標的型攻撃の被害を受けたある企業では、入口対策としてインバウンド監視や検疫ネットワーク、外部記憶媒体をPCが認識しないようにするといった対策を講じていた。加えて、URLフィルタリングやアウトバンド監視による出口対策も実施。外部の不正サーバとの通信を遮断して、ファイル・アップロードなどの怪しい通信を検知するといったことまで行っていたが、監査の結果、我々はそれでも不十分だという結論に至った。確かに入口と出口の対策は強化されていたが、内部のセキュリティ対策は脆弱なままだったのだ」(野見山氏)

入口/出口対策に加えてデータベースそのものの保護も必要

 野見山氏が、内部のセキュリティ対策で不十分だったこととして、「クライアントPC上で利用するアプリケーションの脆弱性管理が不十分である」ことに加えて挙げたのが、「職責に基づいた権限分離」と「データベースの保護」である。

 まず職責に基づいた権限分離だが、これは1つの特権IDを複数の管理者、あるいはデータベースに接続するアプリケーション間で使い回すのではなく、役割ごとにID/パスワードを分離し、必要な者だけに最小限の権限のみを付与することを指す。例に挙げられた企業では、1つの特権IDをさまざまな関係者/アプリケーション間で使い回しており、内部不正が起きたときでも追跡できない状態になっていた。

 また、データベースそのものの保護について、野見山氏はその重要性を次のように説明した。

 「入口と出口を塞げば十分と考える向きもあるが、それは間違い。そもそも、入口/出口対策で完全に防御できるのかと言えば、迂回される可能性もある。よって、多層防御として、万が一入られてしまった場合でも内部で守る体制を整えておかなければ十分だとは言えない。

  さらに、高度な脅威に対しては、被害の可能性を下げる予防的対策だけでは不十分な場合があるため、被害を最小化する発見的対策の強化も必要となる。後者の対策の代表例はモニタリングやログの取得であり、その実効性を担保するためには、関連するログを組み合わせた分析やポリシーの整備などを行っていく必要がある」

 そのうえで、野見山氏は「入口/出口対策はあくまでも手段の1つに過ぎない。最も重要な情報を確実に保護するという観点を常に忘れてはならない。今後は、発見的対策がポイントになる」と強調した。

オラクルが提唱するデータベースの多層防御とは

 データベースを保護することの重要性は、オラクルも従来から強く訴えてきた。しかし一方で、現在も多くの企業が重要な機密情報をデータベースから盗み出されているのも事実だ。このような状況になった理由として、米国オラクルのディレクターであり、データベース・セキュリティ製品のプロダクト・マネジャーを務めるロクサナ・ブラデスク氏は、「組織として十分にデータベースをコントロールできていない」ことを挙げる。

米国オラクル ディレクター データベース・セキュリティ製品プロダクト・マネジャーのロクサナ・ブラデスク氏
 「今日の企業がセキュリティで重視しているのはネットワークやメール・システムなどにおける防御で、残念ながらデータベースのことはあまり考慮されていない。

 また、データベースへの攻撃は正当なデータベース・アクセスとして行われるので、通常は回避するのが難しい。そのため、職責に基づいた権限分離やデータベースに対するアクセスのモニタリング、適切に利用されているかどうかをチェックする監査などのコントロールが極めて重要になる」(ロクサナ氏)

 こうしたデータベースの保護/コントロールにおいてオラクルが提案しているのが、「予防的、検知的、管理的というかたちでの多層防御」(ロクサナ氏)である。

 まず予防に関しては、データの暗号化やマスキング、特権管理などの対策が挙げられる。例えば暗号化に関して、オラクルは「Transparent Data Encryption(TDE)」と呼ばれるテクノロジーを提供。これはアプリケーションを改修することなく“透過的に”暗号化したデータにアクセスするための仕組みであり、ハードウェアとの連携によりオーバーヘッドもほとんど生じないといった特徴を持つ。

 また、検知的なコントロールを実現するソリューションとして紹介されたのが、2013年2月に国内で出荷された「Oracle Audit Vault and Database Firewall」だ。これは従来別々の製品として提供されてきたOracle Audit VaultとOracle Database Firewallを統合した製品である。

 Oracle Audit Vault and Database Firewallでは、まずDatabase Firewallの機能により、特権IDを持つ管理者が重要なデータに不正アクセスすることを防御する。IPアドレスやアプリケーション、認証方式、時間帯などに応じて利用可能なコマンドを制限するといったことも行える。

 また、Database Firewallは、SQLインジェクションなどの攻撃からデータベースを保護するファイアウォールとしても機能する。データベースに対して送信されるSQL文を収集/解析し、危険なSQL文をブロックする機能や、収集したSQL文をログとして記録するモニタリングの仕組みなどを備える。

 「単なるパターン・マッチングでSQL文の内容を評価するのではなく、SQL文法を正確に理解したルール・エンジンが逐一内容を解析するため、パターン・マッチングでは発見が難しい攻撃も見過ごすことなく検知できる点が大きな強みだ」(ロクサナ氏)

 こうした特徴を備えるDatabase Firewallと、データベース監査ツールであるAudit Vaultを統合したAudit Vault and Database Firewallの主な特徴として、次の4点が挙げられる。

  • コスト・パフォーマンスの高い新たなライセンス体系を導入:データベースのモニタリング(Database Vault)とブロッキング(Database Firewall)の機能の両方を、シンプルかつ導入しやすい価格で提供する(管理対象となるサーバの1CPU当たり65万2,200円)

  • データベース以外のログの取得が可能:Oracle Databaseや他社製データベースに加えて、新たにOSやディレクトリ・サービスに関しても独自のログを取得することが可能になった


  • 監査と防御の統合を強化:SQLレベルでの文法解析による正確なブロッキングと効率的なモニタリングの両方を実現し、取得したログは一元的かつ効率的に管理できる


  • ソフトウェア・アプライアンスとして容易かつ短期間での構築が可能:導入は、企業の要件に応じたスペックの汎用インテル・サーバにソフトウェアをインストールするだけ。インストール作業は1日もあれば完了し、監査目的であれば1カ月程度で導入が完了した実績もある

 加えて、運用中に、設定したしきい値を超える事象が起きた場合には、そのことを即座にメールによるアラートとして管理者に通知する機能も備えている。

データベース・ファイアウォール製品など、オラクルのセキュリティ製品で多層防御の実践を始めた企業たち

 続いてロクサナ氏は、オラクルのセキュリティ製品の活用事例として、欧州および北米で移動体通信サービスを提供するTモバイル(T-Mobile)、北米をはじめ世界中でリゾート事業を手掛けるダイヤモンド・リゾート・インターナショナル(Diamond Resorts International)、一般消費者向けに金融関連サービスを提供するトランスユニオン・インタラクティブ(TransUnion Interactive)、資産管理や金融関連サービスを提供するスクエア・ツー・フィナンシャル(Square Two Financial)のケースを、各社の担当者へのインタビュー映像を基に紹介した。

 Tモバイルの場合、約3500万人の加入者の情報を保護するためにOracle Database FirewallとTransparent Data Encryption、そしてData Maskingを利用しており、同社のプリンシパル・アーキテクト 企業情報セキュリティ担当のアレックス・マックナイト氏は「アプリケーションから透過的に利用することができるため、既存のシステム環境を改修することなく導入できる」とオラクルのセキュリティ・ソリューションを高く評価した。また、他の3社もDatabase FirewallやAudit Vaultをはじめとするオラクルのセキュリティ・ソリューションを駆使して多層防御を実現していると説明した。

 これらの企業の事例を紹介したうえでロクサナ氏は、「各社が多層防御によってデータベースを保護している理由は、1つのソリューションだけでは十分ではなく、さまざまな攻撃からデータを保護するために、予防的、発見的、管理的なコントロールのすべてが必要だからだ。重要な情報資産に対するサイバー攻撃が続いている今日、日本の企業も1つのセキュリティ対策に頼るのは危険であり、多層的な防御を実現する方向で検討すべき段階に入っている」と述べて講演を締めくくった。

 このほか、Oracle Security Summit 2013では、これまで多くの国内企業に対するDatabase Firewallの導入を手掛けてきた日立ソリューションズにより、オラクルのセキュリティ製品で多段的かつ網羅的なセキュリティ対策を実現した事例に基づくDatabase Firewall導入のポイントや導入効果などが紹介された。

 この中では、ポリシー設計を始める前に正規のデータベース利用について正確に把握するのが重要であることや、実際のポリシー設計手順、不正アクセス遮断(ブロッキング)モードで本番運用を開始するまでの進め方などが説明された。

 また、従来製品で提供していた不正アクセスの遮断(ブロッキング)や正確な検知などの機能に加えて、新版のAudit Vault and Database Firewallではログ取得機能が強化され、OSやディレクトリ・サービスのログ取得まで可能になったことにより、統合監査ツールとしての活用の可能性も拓けてきたことなどが指摘された。

 ビッグデータ時代を迎え、企業が扱う情報の量がますます増加している現在、Oracle Exadataなどの高性能なシステム基盤上に重要なデータを集約/統合して運用効率を高める企業が増えている。それらに含まれる機密情報を効果的に守るためにも、予防的、発見的、管理的な多層防御の重要性は今後さらに高まるだろう。

Comments:

Post a Comment:
Comments are closed for this entry.
About

Twitter
Facebook

Search

Recent Posts
Archives
« 7月 2014
  
1
2
3
4
5
6
7
8
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
  
       
Today