 |
|---|
| “データベース・セキュリティ・コンソーシアム”の目標について語る(株)テック 代表取締役社長の三輪信雄氏 |
日本オラクル(株)は24日、東京国際フォーラムにて開催された同社主催の展示会“Oracle 10g World”を開催。合わせて行なわれた報道関係者向け説明会にて、データベース・セキュリティについての同社と業界の取り組みについて説明した。同展示会は25日まで行なわれている。
説明会の始めには、翌25日に同展示会にて設立が発表される業界団体“データベース・セキュリティ・コンソーシアム”(DBSC)を代表して、DBSC事務局 事務局長である(株)テック代表取締役社長の三輪信雄氏により、DBSCの目的と今後の取り組みについて説明された。
 |
 | |
|---|---|---|
| DBSCの組織図と参加企業。部会以下は今後設立予定 | DBSCの重要な目的は、データベースとセキュリティーに関わる多くの企業や専門家、行政機関との情報交換を促進することにある |
DBSCは日本オラクルを中心に、IT企業各社で構成される業界団体で、15日に設立総会を開いて発足したばかりである。同社のデータベース製品を軸に、データベースのセキュリティー実現に取り組む。マイクロソフト(株)や日本アイ・ビー・エム(株)など、オラクル以外のデータベース製品を提供する有力企業は参加していないが、これはまず1社のシステムを元に活動を進めることで、データベースとセキュリティーに関する取り組みを加速させて、その後に他社のシステムにも広げていきたいという理由による。三輪氏はDBSCの設立目的について、以下の3要素を挙げた。
- データベース・セキュリティーに関わる人々が集まる場の提供
- セキュリティー業界はデータベース専門家を支援する立場
- 法律の専門家、法執行機関にも活動への支援を要請
三輪氏はデータベース・セキュリティーの現状について、「確立したものはない」として、さまざまな問題点が山積みになっていると指摘した。データベース専門家とセキュリティー専門家を兼ねられる人材はほとんどいないとしたうえで、セキュアなシステム開発や、コスト&パフォーマンスとセキュリティーの両立といったシステム開発・運営に関する問題だけでなく、情報漏洩が発生した場合に重要となる“捜査や裁判で有効なログの収集方法やフォーマット”も決まったものがなく、技術者と法曹界、警察などによる高い次元での議論も必要であるとした。DBSCはこうした多業種、多分野の専門家の知恵を結集して、データベース・セキュリティーの確立のための活動を行なっていく予定である。
実際の活動は、今後設立されるワーキンググループや勉強会で行なわれる。ワーキンググループではシミュレーションやラボによる検証を行ない、その成果を発表する。また勉強会はIT技術者による少人数での中身の濃いディスカッションや、法律専門家や警察関係者なども招いてのセミナー、さらにはセキュリティー業界や情報技術に関わる学会等とのコラボレーションを検討しているという。法曹界では情報セキュリティー分野に詳しい弁護士、また警察庁にも情報技術に関わる犯罪捜査を担当する部署に、勉強会への参加を依頼しているとのことだ。
 |
|---|
| DBSCのワーキンググループで予定されている活動案。技術の実装に関わる課題から、法的な問題まで幅広く扱う |
 |
|---|
| 日本オラクル テクノロジープロダクト推進部 担当シニアマネージャーの北野晴人氏 |
また日本オラクル テクノロジープロダクト推進部 担当シニアマネージャーの北野晴人氏は、データベース・セキュリティーの現状について、ずさんな管理やパフォーマンス優先でログの記録すら行なわれていない環境が多いなど、過去は守りが甘かったとし、「“これではいけない”ということが、ようやく一昨年~昨年から言われ始めた」と、業界の取り組みや意識改革が遅れていることを指摘した。同社も“Oracle 9i”シリーズの頃から、データベース・セキュリティーを重視し始めたという。さらに北野氏は、「(データベース・セキュリティーに対する)社会的なコンセンサスができないと、コンシューマーは個人情報を預けなくなる」として、セキュリティーに対する取り組みの遅れが、ITビジネス全体を停滞させかねないとの危機感を示した。
 |
|---|
| セキュリティーを確保すべき情報が蓄積されるのはデータベースだが、従来はパフォーマンスや管理の容易さのためにセキュリティーをおざなりにしている例が多かったという |
そのうえで北野氏は、顧客に安全にデータベースを使ってもらうために、同社はデータベース・セキュリティーを推進していくとした。DBSCに関しては25日17時より、同展示会にて“データベース・セキュリティ・コンソーシアムの設立について”と題した講演が行なわれる予定である。
 |
|---|
| 同社製品でのデータベース・セキュリティーに対する取り組みの模式図。なりすまし防止のためのユーザー管理や、無用な情報にアクセスさせないアクセスコントロール、暗号化、ログの監査技術などが取り込まれている。顧客の関心も高いとのこと |
