日本オラクルは4月4日から6日にかけて、10回目のプライベートイベント「Oracle OpenWorld Tokyo」を開催した。同イベントでは、同社の製品やテクノロジーに関する講演や展示が幅広く行われる。
同イベントで、米オラクルのDatabase Security Vice Presidentを務めるVipin Samar氏が「SQLインジェクション、標的型攻撃から機密情報を守るデータベース・セキュリティ」 というテーマで講演を行ったので、その模様をお届けしよう。
同氏はチェスを例にとり、データベースを取り巻くセキュリティ事情について説明した。「企業にとって重要なデータはチェスで言うならキングだ。チェスのキングは1個しかないが、企業のデータはサーバ、従業員のPC、協業先など、さまざまな場所にコピーされており、攻撃側からするとターゲットが増えることになる。さらに、業務アプリケーションが個別に運営されている場合は、攻撃を受けたとしても、被害はそのアプリケーションにとどまっていた。しかし、クラウドサービスに業務アプリケーションを統合している場合、クラウドサービスが攻撃を受けるとそこで運用しているアプリケーションがすべて被害を受けることになる」
また、情報漏洩に関する調査において、漏洩したデータの92%の出所がデータベースという結果も紹介するなど、同氏はデータベースのセキュリティ対策の重要性を強調した。
同氏は、標的型攻撃やSQLインジェクションといったセキュリティ攻撃に対する防御策を講じる前に、データベース・セキュリティの在り方を知っておくべきだと語った。
データベース・セキュリティとして最低限取り組むべき対策として、「ユーザーの監視」「パッチの適用」「設定のスキャン」「データの検出」の4点が挙げられた。同社はそれぞれを実現する製品を提供している。
上記に挙げた対策のうち、「データ検出」「スキャン」「パッチ適用」を実施するのは「Oracle Enterprise Manager」だ。同製品は、データベース、アプリケーション、データモデル、機密データを検出するほか、パッチの分析・適用スケジューリングなどが行える。
「ユーザーの検出」を含め、ユーザーと操作のコントロールは「Oracle Database Vault」が担う。具体的には、ルールとファクタを用いて、「誰が・いつ・どのように」を制御することができる。
監査の統合とレポーティングは「Oracle Audit Vault」によって行う。「監査はするものの、そのデータを確認しない企業が少なくない」と同氏。同製品では、オラクルのデータベースに限らず、他社のデータベースの監査ログも一元化して管理することが可能だ。
データ自体のセキュリティ対策としては、暗号化とマスキングが紹介された。「Oracle Advanced Encryption」はすべてのアプリケーションのデータを暗号化し、暗号鍵のライフサイクルを管理する機能を内蔵している。開発やテストなどで用いるデータは「Oracle Data Masking」で行う。
オラクルでは、外部からの攻撃をブロックするための製品も提供している。「Oracle Database Firewall」は、ネットワークにおける最初の防御ラインとして、データベースの操作を監視して、SQLインジェクションなどの攻撃を防御する。同氏は、同製品の強みについて、「SQLの文法を解析しているから正確性が高い」と述べた。同製品は、インライン方式とアウトオブバンド方式のモニタリングに対応しているほか、インライン方式のブロッキングに対応している。
同氏は、オラクルのデータベース・セキュリティの特徴について、「データを中心に据え、データベース内部の保護に加え、外部の攻撃からの保護、テスト環境の保護を実現する解決策を提供していること」とした。
こうしたデータベース・セキュリティの原則を踏まえたうえで、「機密情報の保存場所を把握する」「内部・外部からの攻撃を予測する」「特権ユーザーを監視する」「データベースに到達する前に攻撃をブロックする」「多層防御を検討する」という5つの対策が重要だとして、同氏は講演を締めくくった。