情報セキュリティの最新状況と技術を紹介するRSA Conference Japan 2007の2日目、日本オラクル システム製品統括本部の北野晴人担当ディレクターが「内部統制に関わるデータベースの権限管理」と題して講演した。データベースの権限管理とアクセスコントロールは、未だ整備されているとはいえない状況のなか、日本版SOX法の施行などにともない、内部統制を構築していくには、「職務分掌」に重点を置いた、いっそう厳密な権限管理が求められている。管理者の権限をいかにして制限するか、組織として、どのように危険を防ぐかなどの点を技術的な側面とともに解説した。

日本オラクル システム製品統括本部の北野晴人担当ディレクター

厚生労働省が2004年に発表した「2003年就業形態の多様化に関する総合実態調査結果の概況」によれば、正社員の比率はこの時点で65.5%だ。北野氏は「20-30年前には、ほとんどが正社員だったが、どこの企業もいまでは3割くらいが非正社員。社員だけで業務を遂行している企業はほとんどない。社会情勢の変化により、雇用形態も変わっている。それとともに、仕事、企業、組織に対する考え方も変動している」と述べ、「IT統制の仕方もまた変えなければならない」と指摘する。

データベースは、OS、ハード、ネットワークと並ぶ、IT基盤であり、ITシステムの業務処理統制ではなく、IT全般統制の視点で対処する必要がある。「アプリケーションの部分でどれだけ統制しても、(データベースが厳格に統制されていない状態で)財務、決算、人事などのような企業の根幹にかかわる重要な情報が簡単に閲覧できてしまうのでは意味がなくなる。情報の器であるデータベースで十分なIT統制をしていくことが最後の砦となる」(北野氏)からだ。

しかし、現状では、職務分掌と権限管理の状況には課題がある。実際の職務分掌/権限管理の上でできないはずのことが、データベース上ではできてしまう。「何ができて何ができないか、ルールで決まっているのに、データベースにログインすると、そうならない」(同)のが実態で、本来の職務には必要のない情報にまでアクセスすることができてしまうわけだ。実際の職務に真に求められる必要最小限の権限だけを付与する原則を実装化するアクセスコントロールが要求される。

データベースを管理する、いわゆる「特権ユーザー」は情報システムの変更や、業務処理の担当者の追加・削除などが可能であるため、統制を受けていなければ、改ざんなどの不正行為が発生する危険性が生じることになる。データベース管理者は管理業務だけが可能で、ビジネスデータの操作は不可。財務担当のアプリケーション管理者は財務データの管理だけが可能。セキュリティー管理者は、セキュリティー管理の設定、適用だけが可能で、データベース管理は不可、というようなしくみが必要になる。しかし、特権ユーザーの特権は、運用基準や相互監視など、現状では技術的な解決が困難になっている。「リレーショナルデータベースでは、管理者の特権を制御できる機能がなく、運用面で管理するしかなかった」(同)

職務分掌と権限管理の現状と理想

北野氏は、オラクルのデータベースの拡張機能としてのセキュリティ製品である「Oracle Database Vault」で、データベース管理者の「特権」を統制する技術的な対応が実現したと話す。「Oracle Database Vault」は職務分掌を徹底化、データベースの管理者、利用者それぞれのできること、できないことを明確に分けている。「Oracle Database Vault」は、データベース内を仮想的に区画、「保護領域を作成して、データベース管理者であっても、そこにはアクセスできない」ようにしている。

たとえば、人事システムの給与データには人事部門担当者でなければアクセスできないようにする設定などが可能であるなど、管理権限を複数の管理者に分散させているとともに、相互監視の機能がある。

また、ユーザーの勤務形態に応じ、月曜日から金曜日の特定の時間帯だけしかアクセスできない、あるいは特定の端末以外からのアクセス禁止というような設定もできるという。また、「グローバル展開している企業の場合、現地法人からのアクセスも考えられるが、日本語以外の言語でのアクセス制限もできる」(同)

近年、アウトソーシングは効率化、コスト削減の手段として多用されているわけだが、業務を委託している企業は重要な情報を閲覧されてしまう危険性が発生、委託されている企業側は自社の社員が管理権限をもっているために他社のデータを閲覧してしまい、そこから情報漏えいが発生すれば、重大な責任問題になる。アウトソーシングには「委託側、請負側双方に2重のリスクがある。管理者権限を制御できれば、運用は任せても、重要な情報の内容はみられないようにすることができる」(同)ことになる。

北野氏は「これまでは、データベース管理者と、データベースユーザーの2者だけがいるという構図だったが、今後はいわば、三つ巴の管理で監視していなければならない」と訴えている。