月別アーカイブ: 2015年4月

データベースは金庫になれるか ~ Oracle Cloud World

2015年4月13日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

4月9日にOracle Cloud Worldに行ってきました。オラクルとクラウドという言葉から斬新なアイデアがあるかということに惹かれたのもありますが、データベースのセキュリティでは進んでいると思われるOracleの最新動向を理解しようと思って行ってきました。
さて、「データベースは金庫になれるか」というのは、ずいぶん前から話題にはなっていました。企業において、ほとんどの機密データ、個人データがデータベースに入っている状況で、データベースさえ破られなければセキュリティは保たれるという、いわゆる金庫に貯金通帳、印鑑、登記簿などを保管して保護する方法と同様の考え方です。数年前に、DAM(Database Activity Monitor)などの技術が出てきて、これでデータベースを金庫にできるかと言われたものですが、現状は「破られるものは破られる」という感じになっています。最低限、事後対策としてアクセスログはきちんと取っておいてくださいというような、インシデントレスポンスが強調されているという状況になっています。
そこで、データベースのセキュリティ技術はどこまで行っているのかということで、Oracle Cloud Worldで聞いてきた概要を書いていきます。幸いなことに、Oracle Cloud Worldでは、セキュリティ・トラック的に、いくつかのセッションが組まれていて、結構勉強になりました。

それでは、Oracleのセキュリティコントロールから始めます。Defense in depthで、マルチレイヤーの予防/防御、検出、管理を行っていくということで、基本的なセキュリティのアプローチを取っています。その中で、以下の項目のように対応を取っています。

  1. データ暗号化
    認証されたアクセスのみを許可することで、バイパスされたデータアクセスの防止。また、2-tier鍵管理を採用して、鍵の管理にも十分な対策の実施。
  2. データリダクション
    機密データが取り出されることを防止するため、データベースへのアクセスの直前で機密データへのアクセスをコントロール。アプリケーションから取り出されることに対しても予防。
  3. 機密データのスプローリングの防止
    データマスキングとサブセッティングにより、本番とテスト環境でのデータの匿名化の実施。
  4. 特権ユーザのリスクの回避
    データに対するDBAのアクセスを制限。マルチファクタ認証の使用。レルムによる保護ゾーンの作成。
  5. 特権とロールの使用状況を確認
    リアルタイムで、どのような特権が使われているかを解析。
  6. ラベルベースのアクセスコントロール
    ラベルを使用したユーザおよびデータの分離。行レベルでのアクセスをコントロール。また、ユーザにもラベル付けし、アクセスできるデータを限定。
  7. Detective Control (発見的コントロール)
    データベース・ファイアウォールによるネットワーク・イベント、データ監査、イベントログなどをデータウエアハウスにし、アラート、レポート、ポリシー設定に利用。データベースアクティビティの監視(検出/ブロック)、SQL文法解析など。これにより、SQLインジェクションなどの攻撃を防止。
  8. リアルタイムでの監査、レポート、アラートの実施
    一元化されたセキュリティリポジトリによるリアルタイム化。
  9. 管理的なセキュリティコントロール
    データベース内の機密データの検出によるデータの保護。
  10. 構成管理
    データベース・ライフサイクル管理。

以上のように、外部からの攻撃、内部(特に管理者)の犯罪、開発環境のセキュリティ、クラウドでのデータ保護、監査、インシデント対応などに十分対応できるセキュリティ機能はそろっているように思えます。今回は、Oracleのセキュリティ機能を見てきましたが、他のデータベースやDAM製品等でも同様の機能を提供しているものと思われます。これらをきちんと採用していくことで、金庫に近いレベルのセキュリティ対策が可能になるものと思われます。もちろん、セキュリティ管理は技術的な面だけではありませんが、守るべきところを確実に守っていくということで、重要であると思われます。

 以上