企業システムへのSQLインジェクション攻撃が止まらない! データベースの防御と監査を強化する「Oracle Audit Vault and Database Firewall」

SQLインジェクション攻撃による情報漏洩やWebサイトの改竄は後を絶たず、さらに最近では機密情報を狙った標的型攻撃も増加している。こうした攻撃への対策として、オラクルはデータベースを中心に据えた保護が重要だと訴え続けてきた。そのコンセプトを具現化したセキュリティ・ソリューションの1つが「Oracle Audit Vault and Database Firewall」だ。同製品を利用した対策により、具体的にデータベースをどう守れるのか?日本オラクル製品事業統括 製品戦略統括本部 テクノロジー製品推進本部 シニア・プロダクトラインマネージャの大澤清吾氏に聞いた。(川添貴生)

SQLインジェクション攻撃で10万人超の個人情報が流出

 Webアプリケーションからデータベースへの問い合わせに不正なSQLコマンドを"注入(Injection)"してデータベースを操作するSQLインジェクション攻撃による被害が多発している。つい先日も、ある国内企業のWebサイトがSQLインジェクション攻撃にさらされ、クレジットカード情報を含む10万件以上もの顧客情報が盗み出されるという非常事態が発生している。

 どのような理由であれ、顧客や取引先の個人情報が外部に流出する事態になれば、攻撃を受けた企業は極めて大きなダメージを被ることになる。顧客への損害賠償や顧客への対応のためのコールセンターの設置コスト、あるいは状況を正確に把握するための調査コストなど、情報漏洩を起こした企業は多額のコストをかけて対応しなければならない。企業イメージが毀損すれば、その後の売り上げにも大きな影響が及ぶだろう。企業規模や被害状況によっては、情報漏洩が原因で倒産に至る事態すら起こりうるのだ。

 もちろん、機密情報の搾取に使われる攻撃手法はSQLインジェクション攻撃だけではない。特にここ数年で目立っているのは、取引先などを装ってメールをやり取りし、相手を信頼させたところでウイルスを潜ませたファイルをメールで送り付ける標的型攻撃(APT:Advanced Persistent Threat)などと呼ばれる手法だ。

 こうした攻撃では、感染させたウイルスを外部からコントロールし、ネットワーク内部からサーバなどにアクセスして機密情報を盗み出すといったことが行われる。ウイルス対策ソフトで検知できないウイルスが使われることも多く、攻撃を防ぐのは容易ではない。

 このようなセキュリティ上の脅威に対し、日本オラクルの大澤氏は、「実際に情報が蓄積されているデータベースに近いところで対策を施すことがますます重要になってきている」と強く指摘する。

日本オラクル製品事業統括 製品戦略統括本部 テクノロジー製品推進本部 シニア・プロダクトラインマネージャの大澤清吾氏

 「攻撃者が企業内部に侵入するための経路は多岐に渡っており、従来の入口と出口だけの対策だけでは十分に情報を保護するのが難しくなっている。そのため、重要性が増しているのが、攻撃者が狙う情報資産が格納されたデータベースそのものの保護である。実際、米国では国防情報システム局(DISA:Defense Information Systems Agency)がデータベース・セキュリティの実装ガイドを公開しているほか、そのための教育も積極的に行われている。一方、日本では米国ほどデータベース・セキュリティの重要性が認識されていないのが実情だ」(大澤氏)

Oracle Audit Vault and Database Firewallで
データベースの保護と監査ログの集約/管理を低コストに実現する

 このデータベース・セキュリティの強化に有効なソリューションとして日本オラクルが提供しているのがOracle Audit Vault and Database Firewallである。大澤氏は同ソリューションの特徴を次のように説明する。

 「Oracle Audit Vault and Database Firewall はSQLインジェクション攻撃を防ぐための仕組みを備えているほか、データベースやOS、ディレクトリ製品のログを取得して一元的に管理する仕組みも備えており、それによって防御だけでなく監査も実現しているのが最大の特徴となる。

 さらに、今年リリースされた新バージョンでは価格体系も見直され、データベース・セキュリティに欠かせない防御と監査の両方を低コストで実現できる無二のソリューションに仕上がっている」(大澤氏)

 それでは、Oracle Audit Vault and Database Firewallは具体的にどのような機能を備えているのだろうか。

 まずSQLインジェクション攻撃などからデータベースを保護するため、データベースに特化したファイアウォール機能を提供している。データベースに対して送信されるSQL文をネットワーク経路の途中でチェックし、不正なSQL文を検出した場合には通信をブロックしたり、アラートを発したりして管理者に警告するといったことが行える。

 なお、SQLインジェクション攻撃を防ぐためのソリューションとしては、IDS(Intrusion Detection System)やIDP(Intrusion Detection and Prevention)、あるいはWAF(Web Application Firewall)を思い浮かべる方もおられるだろう。だが、これらのソリューションの多くは、単なるパターン・マッチングによって不正なSQLを検出する仕組みとなっている。しかし、SQLインジェクション攻撃で使われる不正コマンドには多様な書き方があり、それらをすべてパターン・マッチングで見つけるのは困難だろう。

 それに対してOracle Audit Vault and Database Firewallでは、SQLの文法ルールに厳密に基づいて解析を行うため、正確かつ漏れのない検知が可能だと大澤氏は説明する。

 「Oracle Audit Vault and Database Firewallの最大の強みは、SQLの文法解析エンジンを搭載していること。このエンジンによってSQL文の中身を理解したうえで判断するので、複雑な不正コマンドについても内容を正確に把握し、適切に対処することができる」(大澤氏)

データベースやOS、LDAP製品のログを集約して安全に管理

 データベース・セキュリティでは、SQLインジェクションなどの攻撃を防ぐだけでなく、システムが適切に利用されていることを証明する監査ログの保管も不可欠となる。この中で重要なのが、ログの正確な取得と複数システムの監査ログの統合、改竄を防ぐための保全、そして必要になったら適切にログを利用できる仕組みの提供である。

 その点、Oracle Audit Vault and Database Firewallであれば、データベースに関する操作内容を漏れなく収集して記録できるほか、各種OSやLDAP製品などのログを一元的に管理するためのインタフェースを備えている。

 また、攻撃者によるログの改竄を防ぐため、ログ保管用データベースに逐次転送し、格納データの暗号化も行っている。さまざまな条件で柔軟にログを分析できるツールも提供しているほか、HTML/CSV形式での出力や独自形式レポートの作成にも対応している。

 加えて特筆すべきは、ソフトウェア・アプライアンスとして提供されるため、導入が容易であるということだ。大澤氏によれば、時間がかかるのは監査ポリシーの策定やレポートのフォーマット作成などの作業であり、サーバの構成などはインストーラが自動的に行うため、ほとんど手間はかからないという。サーバ・マシンは市販のIAサーバから、システムの規模や負荷に応じて自由に選ぶことができる。あるいは、Oracle Audit Vault and Database Firewallの取り扱いパートナーに、マシンのセットアップやシステム構築を委託するのもよいだろう。

 大澤氏は以上のようにOracle Audit Vault and Database Firewallの特徴を説明したうえで、改めてデータベース・セキュリティの重要性を訴える。

 「これまで、特に日本企業では入口対策が重視されてきたが、攻撃経路の多様化により、それだけでは攻撃を防ぐことが難しくなっている。攻撃者の狙いがデータベースに蓄積されている情報であることを考えると、そこに一番近い場所で攻撃を検知し、防御することが最も効率的だというのがオラクルの一貫した考え方だ。今一度、情報資産が漏洩した際のリスクを再認識し、データベースを中心に据えたセキュリティ・アプローチを一刻も早く取り入れ、実践していただきたい」(大澤氏)

 冒頭でも述べたように、現在、企業が保有する情報資産を狙った攻撃はますます深刻化している。もし攻撃を受けて大規模な情報漏洩が発生すれば、企業が受けるダメージは計り知れない。その対策を考える方々なら、情報が蓄積されているデータベースそのものを保護するOracle Audit Vault and Database Firewallが、より強固なセキュリティを実現するうえで極めて有効なソリューションであることがおわかりいただけるはずだ。

【Oracle Audit Vault and Database Firewallの特設サイトがオープン!】

 本記事で紹介したOracle Audit Vault and Database Firewallの特徴や導入利点をさらに詳しく解説した特設サイトを開設しました。導入事例も紹介しているほか、無償トライアルも受付中。ぜひ下記サイトをご覧ください。

>> Oracle Audit Vault and Database Firewall特設サイトへ

Comments:

Post a Comment:
Comments are closed for this entry.
About

Twitter
Facebook

Search

Recent Posts
Archives
« 4月 2014
  
1
2
3
4
5
6
7
9
10
11
12
13
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today