オラクルは9月15日、いまだ絶えない企業内部の人間による情報漏洩対策に関する記者説明会を開催した。同社は情報漏洩対策を講じる際、「リスクの可視化」を行うことで、リスクとセキュリティ対策の費用対効果を最適化し、予算の確保を可能にするとしている。
システム事業統括本部データベース製品ビジネス推進本部データベース製品戦略推進部ディレクターを務める北野晴人氏は、「雇用の流動化、経済危機による雇用調整と給与減少といった環境の変化が、セキュリティリスクを増大させており、情報漏洩の発生要因となっている」と説明した。
また、今年4月に不正競争防止法が改正されて、機密性の高い情報を企業から盗んだ場合にも処罰の対象となったが、以下の3点の条件を満たしていなければ、「営業秘密」とはされず、保護対象とならないという。
- 秘密として管理されていること(秘密管理性)
- 有用な情報であること(有用性)
- 公然と知られていないこと(非公知性)
同氏は警視庁による「不正アクセス行為対策等の実態調査」を例にとり、セキュリティ対策を阻害する要因について指摘した。「警視庁の調査では、情報セキュリティ対策を実施する際の問題点の回答として、"費用対効果が見えない"と"コストがかかりすぎる"とそれぞれ1位、2位となっており、共にコストに起因している。これは、リスクが見えてないからだ」
こうしたことから、同社はリスクの可視化をセキュリティ対策の第一歩と位置づけ、そのアセスメントサービスを無償で提供している。リスクを可視化すると、メリットが3つあるという。
1つ目は「セキュリティの最適化」で、脆弱性の存在をリスクの大きさを正しく認識して、対処すべきリスクの優先順位を決定できるようになる。2つ目は「セキュリティ対策の費用対効果の最適化」で、想定される被害額と対策費用のバランスを適切にコントロールできるようになる。3点目は「経営者の理解と予算の確保」で、経営者にリスクを損害額として提示することで理解を得て予算を確保できるようになる。「リスクを可視化することで、安全・合理的・低コストの対策を講じることが可能になる」(北野氏)
さらに同氏は、「セキュリティ業界は専門化しているため、対策を講じる際、ポイントソリューションを導入する傾向が高い」と指摘。データベースに格納されている情報を守るには、エンドユーザー・開発者・管理者が抱える各リスクに対策を講じる必要があり、それを実現できるのはオラクルであり、同社はそのための製品を網羅しているという。
次に、 Fusion Middleware事業統括本部Fusion Middlewareビジネス推進本部部長を務める龍野智幸氏から、具体的に同社の製品を用いてデータベース上のデータを不正持ち出しによる漏洩から守るための対策について説明がなされた。
管理者権限を所有した人物が不正を行うリスクに対しては、「Oracle Database Valut」と「Oracle Audit Valut」によって、データベース管理者権限の無効化・操作記録を実施する。Oracle Database Valutによって管理者権限を分散すれば、リスクを低減することが可能だ。
有効なIDを不正に入手して堂々と不正を行うリスクには、「Oracle Identity Management」で、不正なIDや無効なIDを自動的に削除・管理することで対処する。
「データの抽出・印刷・持ち出し」、「不正プログラムの実施」、「不正売却」については、「Oracle Information Rights Management」によって、業務上公開する情報を自動的に暗号化したうえで操作権を制御して所在を追跡したり、操作権を剥奪したりする。