データをマスキングすること

さ、さぼってすみません・・・最高体重記録更新中の北野です。

さてオラクルではきたる5月26日、「開発現場からみた情報セキュリティ対策" 」を開催します。ご来場頂いた方々の中から抽選で「オラクル11g セキュリティ・ガイド」をプレゼントいたしますので(買うと4000円くらいしますから!)皆様お誘い合わせのうえ是非ご来場くださいませ。今回のセミナーでお話するのは「データマスキング」(Oracle Enterprise Manager Data Masking)です。開発現場でテストする際、特にデータベース関連ではなるべく本番環境に近い条件で性能テストをしたくなるわけですが、そこで本番システムから持ってきた実際のデータを「平文のまま」使ってしまうと、情報漏洩の危険があります。

実際に一昨年、テストのために開発委託先の企業に渡した本番データを再委託先の社員の持ち出し、ファイル共有ソフトを経由して大量の個人情報が流出、大きな問題になった事故がありました。また過去にはデータセンター内にあった開発用のサーバから50万件以上の個人情報が盗まれたこともあります。

こういった問題を未然に防ぐために利用するのがデータ・マスキングです。単に元の平文を隠すだけなら暗号化すれば良いように思われますが、テストデータとして使うためにはアプリケーションの仕様に合わせたデータ型やデータの形式などをそのまま維持する必要があります。またデータベースに格納された情報は主キー、外部キー、参照整合性制約など、RDBMSとして必要なリレーショナルな関係を保持しています。そのため、それらの関係を壊してしまうと性能テストの結果が正しく出てきません。また、テストデータは平文に戻す必要がないので、鍵を使って復号できるといった可逆性は必要ありません。このような理由から暗号化はテストデータの保護には向かないのです。

従来このデータ・マスキング処理を個別にスクリプト作成などでカバーしてきた方も多かったようで、結構な工数をかけていた開発部門の方もいらっしゃるようです。これらの課題を解決するための製品がData Maskingです。マスキングルールをプリセットで持っているものから選択すれば簡単に設定ができますし、データベース内に設定されている制約などのリレーショナルな関係は自動的に読み込んで適切な処理をしてくれます。手間が省けて、かつ開発用のデータに含まれる機密情報を保護することができる、開発現場むけのソリューションです。

セミナー当日はデモもご覧頂きます。また、相変わらずお引き合い、ご相談の多い監査ログについてもOralce Audit Vault+Oracle Business Intelligence による監査ログの統合デモなどをごらん頂く予定です。

みなさまのご来場をお待ちしております。

Comments:

Post a Comment:
  • HTML Syntax: NOT allowed
About

オラクルの話をベースに幅広く情報セキュリティについて、 技術だけでなく法律、制度、マネジメント、経営などについてもお話したいと思っています。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today