DBセキュリティ・コンソーシアムがセキュリティ状況を診断するチェック・ツールを公開
図2●「データベースセキュリティ安全度セルフチェック」でデータベースのセキュリティをチェックした結果<br>分野ごとにレーダーチャートでセキュリティ・レベルを表示する。 データベース・セキュリティ・コンソーシアム(DBSC)は2009年2月17日,データベース向けのキュリティ・チェック・ツール「データベースセキュリティ安全度セルフチェック」の提供を始めた。DBSCのWebサイトで無償公開されている。 DBSCはセキュリティ関連ベンダーやデータベース関連ベンダーからなる任意団体。2005年にデータベース・セキュリティの普及促進のため,研究や情報発信を行う目的で設立された。DBSCに参加しているラックのデータベースセキュリティ研究所 須田堅一研究員によると,「インターネット側から見た場合,データベースはシステムの最深部に位置する。そのため,直接インターネットからの攻撃にさらされるWebサーバー
データベース・セキュリティで業界団体がガイドライン公開
日本オラクルやラックなど25社からなる団体「データベース・セキュリティ・コンソーシアム」は11月8日、データベースのセキュリティ対策のためのガイドラインをWebサイトで公開した。セキュリティ・ポリシーの策定や対策作業の際に、実施すべき具体的な内容を提示する。 公開した「データベースセキュリティガイドライン」では、大きく二つのフェーズに分けて、推奨する対策内容を示す。ポリシー策定や教育を実施する「基本方針の策定」と、データベースに対策を施す「DBセキュリティ対策」である。 「基本方針の策定」では、重要情報の定義、リスク分析、アカウント管理やログ記録のポリシー策定などについての実施内容を、「必須」と「推奨」の2種類に分けて示す。「必須」は基本的にすべてのユーザーが実施すべき内容、「推奨」は可能であれば実施する内容である。ログの記録であれば、「ログに出力する内容を整理する」は必須、「DBに関する
【中級】情報漏洩を防ぐDBセキュリティ 第3回
図5●DB監査ログから不審な動きを検知する<BR>電通国際情報サービスが構築した人事アウトソーシング企業の例。DB監査ログを基に,夜間にアクセスしていたり,ログインに失敗していたりといったユーザーの不審な行為があると,セキュリティ監査担当者に警告メールを送信している。これにより,情報漏洩の予兆を検知し,トラブルを未然に防いでいる 対策1で取得したDB監査ログは,万一の際に情報の流出経路や犯人を後から特定するためのものだ。だが,DB監査ログにはユーザーの行為が記録されており,その情報を分析してユーザーの不正な行為をあぶり出せば,情報流出の危険性の芽を早い段階で発見できる。 定期的に“けん制球” 東京海上日動火災保険の担当者は,DB監査ログから定期的に,ユーザーID,タイム・スタンプ,実行機能の内容,保険契約を扱っている課や支社などの情報を取得し,課や支社の管理職あてにメールで送信している。「
【中級】情報漏洩を防ぐDBセキュリティ 第2回
図2●RDBMSは監査ログを取得する機能を備えるが・・・<BR>Oracle DBやSQL ServerなどのRDBMSは,監査ログを取得する機能を標準で備えている。これを使えば,OSログイン・ユーザー名やマシン名,SQL文などの情報を取得できる。ただし,RDBMSの標準機能で監査ログを取得すると,ディスク入出力が増えてDBサーバーの性能が落ちるといった問題が起こる可能性がある 図3●DBログ収集/監査ツールを選んだ担当者の声<BR>DB監査ログの収集/監査ツールは大きく3つに分類される。ユーザーはこれらの製品を,DBサーバーの性能に影響を与えない,DBサーバーの監査ログを自動収集した上でログを削除できる,などの理由で利用している 図4●Oracleのパッケージを使って,ユーザー(PC)の情報を取得<BR>APサーバーを使うシステムでは,どのユーザー(PC)のアクセスなのかをデータベースが
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
