12月2日、日本マイクロソフトは2016年4月12日をもってサポートを終了するMicrosoft SQL Server 2005の移行支援策についての記者説明会を開催した。説明会では、セキュリティ面の危険性や移行のメリットがアピールされたほか、高い移行実績を誇るパートナーの講演も行なわれた。
サイバー攻撃に耐えうる最新のSQL Server
説明会に登壇した日本マイクロソフト 業務執行役員 技術統括部 ディレクターの田丸健三郎氏は、サイバー攻撃の高度化によって、組織内での脅威が深刻になっている現状を説明した。
日本マイクロソフト 業務執行役員 技術統括部 ディレクターの田丸健三郎氏
田丸氏は「従来はファイアウォールを設置しておけばよかったが、現在はわれわれが把握している限りでは、約9割以上の組織に脅威が侵入済みである」と語り、企業の7割はセキュリティ事故を経験、侵入から発見されるまで242日(中央値)、被害額の推定総額は360兆円といった現状を説明した。インターネット経済が拡大することで、攻撃者にとっての経済的なメリットはますます大きくなっており、攻撃が“ビジネス”として成立している状況を説明した。
サイバー攻撃の現状とセキュリティ問題
こうした中、業務データを受け持つデータベースにおいては、マルウェアや攻撃が組織内に侵入するのを防げないことを前提に、強固なセキュリティを確保しなければならない。その点、最新のSQL Serverではテーブルやセル単位での暗号化やアクセス権の管理や監査機能、通信経路の暗号化などをサポートするほか、統一されたポリシーに基づく運用が可能になっているという。
また、脆弱性に関しても、Oracle、MySQL、DB2などに比べて圧倒的に低く抑えられているという。田丸氏は「製品の開発セキュリティデベロップということで、開発段階から最新のセキュリティに考慮されている。こうした日々の努力の結果であると考えている」とアピール。さらに第三者によるコンプライアンス規定に関しても、FIPS 140-2やPCI DSS、HIPPA、ISO/IEC 15408などに対応している。
SQL Serverの脆弱性の少なさをアピール
SQL Serverが満たすコンプライアンス基準
最新のSQL Serverはクラウドとの親和性も高い。オンプレミスからクラウドへのフェイルオーバーによる高い可用性や、PowerBIによるデータの可視化も可能になっており、クラウド、オンプレミス、ハイブリッドなど幅広い運用形態が選択できるという。
10年前に発売されたSQL Server 2005と最新のSQL Server 2014は、データ管理やサーバーの集約、セキュリティなどで大きな差があるという。SQL Server 2014ではインメモリDBとカラムテーブルによる集計速度の高速化、柔軟なリソース管理とサーバー集約などが可能になっているほか、前述したようにセキュリティ機能も充実。田丸氏はこうした最新のSQL Serverの状況について、「さまざまな脅威に対して、きちんと対策が取れるデータベース製品になっている」とアピールする。
SQL Server 2005から2014への進化
サポート切れのデータベースを利用する危うさ
続いて登壇したIPA(独立行政法人情報処理推進機構) 技術本部 セキュリティセンターの扇沢健也氏は、データベースの脆弱性が引き起こすセキュリティの脅威について説明した。
IPA(独立行政法人情報処理推進機構) 技術本部 セキュリティセンターの扇沢健也氏
扇沢氏は、サポートが終了し、脆弱性が対応しない未解決なサーバーになると、さまざまな脅威が発生すると指摘。特にデータベースサーバーの場合、データ消去・システム破壊、情報漏えいなど深刻な事態に陥る可能性がある。IPAの脆弱性DB(CVSS)によると、SQL Serverでは2000年11月~2015年11月までの15年間で62件の脆弱性があり、このうち危険度の高いレベルⅢが66%の41件にのぼっているとのこと。サポート終了後はこうした脆弱性が修正されないため、新しいバージョンに速やかに移行する必要があると強調した。
SQL Serverの脆弱性と深刻度
(次ページ、国内12万台のSQL Serverの多くはパッケージの中で動いている)
