日本オラクルは2月10日、“データ中心のセキュリティ対策”を支援する「Oracle Database セキュリティ・リスク・アセスメント」の本格提供を開始した。Oracle Database導入企業を対象とした無償のアセスメントサービス。
説明会に出席した、日本オラクル 執行役 副社長 クラウド・テクノロジー事業統括の三澤智光氏
Oracle Database セキュリティ・リスク・アセスメントは、企業がさらされるセキュリティリスクの最小化を目的として、リスク要因の特定や推奨される戦略策定を、実務的なレビューを通じてオラクルが支援するもの。
具体的には、既存システムのデータベース設定に関する情報収集と分析、ベストプラクティスと比較した場合の逸脱項目の特定、アプリケーション/DB運用者への聞き取り調査による潜在的なデータ漏洩リスク領域の特定、これらの情報収集/分析結果に基づく新技術導入などのセキュリティ改善計画立案支援などを行う。さらに深いコンサルティングを要望する顧客には、有償のサービスも提供する。
「Oracle Database セキュリティ・リスク・アセスメント」の概要
日本オラクルの三澤氏は、同アセスメントサービスはすでに国内でも2ケタの顧客にテスト導入されており、本格提供の開始により、その成果をより多くの顧客に展開していきたいと語った。また、このアセスメントプログラムは同社パートナーにも展開しており、顧客はSIベンダーなどのパートナー経由でもアセスメントを受けることができるという。
“データ中心の多層防御”を実現するオラクルテクノロジーを紹介
近年激しさを増す企業/組織へのサイバー攻撃や、内部不正による情報漏洩事件への対抗策として、オラクルでは「データ中心の多層防御」を提唱している。従来型のシステムセキュリティでは、ネットワーク境界だけに多数のセキュリティを適用する「多重防御」では、内部不正/内部犯行や防御壁を突破した攻撃者に対し無防備だからだ。
従来型の境界セキュリティ(多重防御)と、オラクルの提唱するデータ中心の多層防御の違い。後者はDBやアプリケーションサーバーなど、ネットワーク境界以外にもセキュリティを適用することで、内部犯行も防ぐ
また、国内でも個人情報保護やマイナンバー保護のガイドライン、サイバーセキュリティ経営ガイドラインなどにおいて、データ保存時のデータベース暗号化やアクセス制御、監査といった対策を取るよう定義されている。
この“データ中心防御”を実現するために、オラクルではさまざまなセキュリティ技術を提供している。三澤氏は、そのうち主要なテクノロジーを紹介した。
オラクルが提供するさまざまなセキュリティソリューション(DBを中心とした主要なもののみ)
たとえば、三澤氏が「オラクルだけが提供するテクノロジー」と強調するのが、DB管理者の権限分散機能「Database Vault」だ。内部不正による機密データ持ち出しの要因となるDB管理者=特権ユーザーへの“全権委任”を回避できる機能である。
「Database Vault」は、DB管理者に与える権限を細かく制限できる機能。たとえばパートナーや外部にDB管理者権限を与える際、データアクセスは禁止することができる
また、これまでほとんど対策が取られていなかったというアプリケーションからのDBアクセスの制御についても、Oracle DB 12cではデータアクセス権限をDB側で管理/監査できる「Real Application Security」機能を搭載している。
「特権ユーザーやなりすまし攻撃はデータ保護において大きな問題。オラクルならば、OS管理者やDB管理者、アプリケーション管理者〔のアカウント不正利用〕からもデータを守ることができる。相当高度な攻撃にも対処可能だ」(三澤氏)
そのほか、ハードウェアレベルでバッファオーバーフロー脆弱性への攻撃を防ぐ「SPARC M7 Silicon Secured Memory」、インメモリ技術で膨大な監査ログの分析が可能な「Audit Vault and DB Firewall」などを紹介した。
なお、こうしたデータ中心のセキュリティ対策にかかる追加コストについて三澤氏は、「ネットワークセキュリティ投資を『1』としたら、〔今回紹介した〕オラクルのセキュリティを全部投入しても『0.2』くらいかと思う」と表現した。アプリケーション改修が必要となるReal Application Securityなどは、アプリケーションの新規開発時に組み込むなどの対応を行うことで「5年10年のスパンで考えれば、トータルコストはさほど大きくないだろう」(三澤氏)と述べている。
