情報漏えい事件の続発で注目が集まるDBセキュリティ

情報元を抑えよ！DBセキュリティを先導する「FortiDB」

2009年12月07日 09時00分更新

文● 大谷イビサ／TECH.ASCII.jp

情報漏えい事件が次々と起こる中、エンドポイントセキュリティやアクセス管理などとともに脚光を浴びているのがデータベース（以下、DB）のセキュリティである。DBセキュリティ製品「FortiDB」を拡充しているフォーティネットに製品概要とそのメリットを聞いた。

DBセキュリティはなぜ必要か？

　三菱UFJ証券やりそな銀行、アリコなどの大企業が次々と事件を起こした2009年は、情報漏えいに改めて大きな焦点が当たった年になった。実際に漏えいしたクレジットカードなどの顧客情報が悪用され、漏えいを起こした企業の信用は大きく失墜している。

　特にほぼ全顧客にあたる148万人6651人の個人情報が漏えいした三菱UFJ証券の場合、事件を起こした元社員が情報システム部の部長代理であったことは、かなり根の深い問題である。確かにITシステムの管理者であれば、簡単に顧客情報などにアクセスできてしまう。以前はそこを疑わないという性善説的な了解があったが、もはやそんな悠長なことは言っていられなくなった。多くの金融機関が情報漏えい対策に本腰を入れるようになっている。

情報漏えいの約80パーセントが内部的な要因（フォーティネット資料より）

　そして、こうした内部犯行を前提に、そもそもの情報元となるデータベースに対して、セキュリティ対策を行なうのが、今回紹介するフォーティネットの「FortiDB」である。

　FortiDBは、2008年にフォーティネットが買収したアイピーロックス（IPLocks）の製品をベースにしたDBセキュリティのアプライアンスだ。アイピーロックスは、DBセキュリティの分野を切り開いてきたパイオニアで、国内でも多くの実績を誇っている。フォーティネットは今まで築いてきたUTM市場での優位にプラスして、今後はこうしたDBをはじめとするアプリケーションのセキュリティにフォーカスしていく戦略を取っていくという。

脆弱性診断とモニター＆監査の機能はなぜ必要？

フォーティネットジャパンのセールスエンジニアリング部シニアコンサルティングSEの成田泰彦氏

　フォーティネットジャパンのセールスエンジニアリング部シニアコンサルティングSEである成田泰彦氏によると、現在のデータベースには、そもそもセキュリティの課題が大きく2つ存在しているという。1つはアクセス権やDB内のデータの重要性などの現状が把握されていないこと。もう1つは、ユーザーの種別に応じてどのように情報に閲覧できるかを決めたアクセス管理が行なわれていないことだ。これに対してFortiDBは、脆弱性診断機能（VA）とモニター＆監査機能（DAM）という2つの機能を持っている。

　前者のVAは、セキュリティリスクの自動診断やパッチの適用状況、侵入検知などを行なう機能で、DBの弱点を事前に調べる機能といえる。たとえば、コンフィギュレーション、パスワードのポリシー、ソフトウェアのバージョン、そしてDBごとの脆弱性をチェックし、1分でレポートが出せる。

　一方のDAMは、データアクセスのログ監査と監視機能を提供するもので、こちらはDBを安全に運用するための機能だ。基本的にはデータベースの持っている監査機能を用いて、アクセスログを定期的に取得・解析する。User Behavior Monitorの機能を使うと、ログインの成否、複数の経路からの同一IDでのアクセス、長時間の接続、過度の読み取りなどをポリシーで指定して、違反を引っかけたり、ログを収集する。また、メンテナンス作業がきっちり行なわれているかなどをチェックすることが可能だ。

FortiDBの持つ脆弱性診断機能（VA）とモニター＆監査機能（DAM）

　とはいえ、脆弱性の審査はともかく、監査やログ管理の機能はそもそもRDBMS自身が実装しているのではないか？という疑問もあるだろう。これに対して、大手データベースベンダーに在籍していた経験のある成田泰彦氏は「確かに各DBでは監査やログ管理の機能を搭載していますが、誰も使いこなせないのです。DBの設計をできるエンジニアは多いのですが、監査やログ管理をきちんとできる方は少ない。多くのDBでは、ログが単に垂れ流しになっているはずです」と指摘する。また、マルチベンダーのDB監査やレポーティングを行なおうとすると、あっという間に壁にぶち当たる。こうしたユーザーにFortiDBは特効薬になる可能性があるのだ。

（次ページ、最新バージョンではメモリ参照型もサポート）

前へ 1 2 次へ

ツイートする

カテゴリートップへ