12月2日、日本マイクロソフトは2016年4月12日をもってサポートを終了するMicrosoft SQL Server 2005の移行支援策についての記者説明会を開催した。説明会では、セキュリティ面の危険性や移行のメリットがアピールされたほか、高い移行実績を誇るパートナーの講演も行なわれた。
サイバー攻撃に耐えうる最新のSQL Server
説明会に登壇した日本マイクロソフト 業務執行役員 技術統括部 ディレクターの田丸健三郎氏は、サイバー攻撃の高度化によって、組織内での脅威が深刻になっている現状を説明した。
日本マイクロソフト 業務執行役員 技術統括部 ディレクターの田丸健三郎氏
田丸氏は「従来はファイアウォールを設置しておけばよかったが、現在はわれわれが把握している限りでは、約9割以上の組織に脅威が侵入済みである」と語り、企業の7割はセキュリティ事故を経験、侵入から発見されるまで242日(中央値)、被害額の推定総額は360兆円といった現状を説明した。インターネット経済が拡大することで、攻撃者にとっての経済的なメリットはますます大きくなっており、攻撃が“ビジネス”として成立している状況を説明した。
サイバー攻撃の現状とセキュリティ問題
こうした中、業務データを受け持つデータベースにおいては、マルウェアや攻撃が組織内に侵入するのを防げないことを前提に、強固なセキュリティを確保しなければならない。その点、最新のSQL Serverではテーブルやセル単位での暗号化やアクセス権の管理や監査機能、通信経路の暗号化などをサポートするほか、統一されたポリシーに基づく運用が可能になっているという。
また、脆弱性に関しても、Oracle、MySQL、DB2などに比べて圧倒的に低く抑えられているという。田丸氏は「製品の開発セキュリティデベロップということで、開発段階から最新のセキュリティに考慮されている。こうした日々の努力の結果であると考えている」とアピール。さらに第三者によるコンプライアンス規定に関しても、FIPS 140-2やPCI DSS、HIPPA、ISO/IEC 15408などに対応している。
SQL Serverの脆弱性の少なさをアピール
SQL Serverが満たすコンプライアンス基準
最新のSQL Serverはクラウドとの親和性も高い。オンプレミスからクラウドへのフェイルオーバーによる高い可用性や、PowerBIによるデータの可視化も可能になっており、クラウド、オンプレミス、ハイブリッドなど幅広い運用形態が選択できるという。
10年前に発売されたSQL Server 2005と最新のSQL Server 2014は、データ管理やサーバーの集約、セキュリティなどで大きな差があるという。SQL Server 2014ではインメモリDBとカラムテーブルによる集計速度の高速化、柔軟なリソース管理とサーバー集約などが可能になっているほか、前述したようにセキュリティ機能も充実。田丸氏はこうした最新のSQL Serverの状況について、「さまざまな脅威に対して、きちんと対策が取れるデータベース製品になっている」とアピールする。
SQL Server 2005から2014への進化
サポート切れのデータベースを利用する危うさ
続いて登壇したIPA(独立行政法人情報処理推進機構) 技術本部 セキュリティセンターの扇沢健也氏は、データベースの脆弱性が引き起こすセキュリティの脅威について説明した。
IPA(独立行政法人情報処理推進機構) 技術本部 セキュリティセンターの扇沢健也氏
扇沢氏は、サポートが終了し、脆弱性が対応しない未解決なサーバーになると、さまざまな脅威が発生すると指摘。特にデータベースサーバーの場合、データ消去・システム破壊、情報漏えいなど深刻な事態に陥る可能性がある。IPAの脆弱性DB(CVSS)によると、SQL Serverでは2000年11月~2015年11月までの15年間で62件の脆弱性があり、このうち危険度の高いレベルⅢが66%の41件にのぼっているとのこと。サポート終了後はこうした脆弱性が修正されないため、新しいバージョンに速やかに移行する必要があると強調した。
SQL Serverの脆弱性と深刻度
(次ページ、国内12万台のSQL Serverの多くはパッケージの中で動いている)
本記事はアフィリエイトプログラムによる収益を得ている場合があります
