優先すべきは内部からの脅威対策
機密情報が格納されたデータベースは、情報漏えい、流出によるリスクが高いにもかかわらず、多くの企業で十分な対策が講じられていないのが現状です。本連載では、データベースセキュリティはどうあるべきか、その前提となる現状の把握、コントロールすべき要素は何かを、データベースコンサルタントの視点で解説していきます。
対策不十分なデータベースセキュリティ
企業内のデータベースには機密性の高い情報が蓄積されているだけに、その情報の損失による被害は非常に大きいといえます。多くの企業がそうしたリスクを認識しているはずなのに、情報漏えい、流出の事故はあとを絶ちません。情報セキュリティに関して細心の注意を払っていると思われている金融機関においても、データベース侵害による重大な情報漏えい事件が起きているのが現実です。
ニュース報道でも大きく取り上げられた三菱UFJ証券の顧客情報漏えい事件も、そうしたデータベースセキュリティが侵害された一例です。同社のシステム部部長代理が、個人顧客のほぼすべてに当たる148万6600人分の個人情報を不正に持ち出し、そのうち約5万人の情報を名簿業者に売却した事件です。
退職社員が148万人の顧客情報を持ち出し――三菱UFJ証券が発表
http://www.itmedia.co.jp/enterprise/articles/0904/08/news092.html
三菱UFJ証券、情報漏えいの再発防止について表明
http://www.itmedia.co.jp/enterprise/articles/0906/25/news103.html
同社はこの事件により、情報が流出した約5万人の個人に対して「お詫びのしるし」として1万円相当のギフト券を発送しました。この費用だけで約5億円を費やしたほか、事件の調査や顧客からの問い合わせ対応、売却された名簿業者との交渉するための弁護士費用、さらに機関投資家からの発注減少による逸失利益などを合算すると、約70億円超(2009年9月9日の東京地裁公判における検察側資料より)という多大な損失を被っています。そして何よりも「一番の損害は目に見えない信用の失墜である」(同社専務、東京地裁公判での意見陳述より)というように、データベースセキュリティの不十分さがもたらす被害の重大さがあらためて浮き彫りになりました。
同様に、従業員によって個人情報が持ち出された可能性が高いのが、外資系生命保険会社、アリコジャパンからの保険契約者のクレジットカード情報が大量に流出した事件。同社の場合も、流出したカード情報が実際に利用されて実質的な損害が出ていることに加え、カード発行会社が被害者に対してカード再発行手続きの費用を請求される可能性もあり、膨大な金銭的損失と信用をなくしています。
同社の契約者情報を管理している社内システムは、外部の回線には接続されておらず、情報を引き出せるのは特別な権限を持つ従業員40人に限られているとされていますが、三菱UFJ証券の事案と決定的に異なる点は、いつ、誰が、どうやって、どれだけの情報を持ち出したか、その手口などが2009年11月時点でも、まだ把握できていない点です。三菱UFJ証券は、おそらくログの取得など何らかの仕組みがあったから情報漏えいの証跡を検証できたのですが、アリコジャパンは何も対策をとっていなかったか、とっている“つもり”でいたと思われます。
セキュリティ、そろそろ本音で語らないか
誌上セミナー「拡大を続けるログ砂漠」
http://www.atmarkit.co.jp/fsecurity/rensai/talk10/talk01.html
2つの情報漏えい事件を見ても分かるように、データベースセキュリティは、企業にとって最も大切な情報を守るための最重要課題であるのに、現実的な対応が不十分なことが現状です。
データベースセキュリティコンソーシアムが2009年2月に実施した「データベースセキュリティ安全度セルフチェック」によると、「重要とされる対策は十分に実施されている」と回答したのはわずか9%。「実施できていない重要とされる対策が多く、早急な対策実施の検討が必要」が46%、「セキュリティ対策ができておらず、抜本的な改善、対策実施の検討が必要」が33%と、8割近くは対応が不十分と回答しています。このアンケート結果を見ても、データベースセキュリティの重要性は認識しつつも、その対策はいまだ不十分という企業がほとんどだといえるでしょう。
(出典:データベースセキュリティコンソーシアム 2009年6月)
じっくり考える「情報漏えい発生の理由」(前編)
雇用形態の変化と情報漏えいの実態
http://www.atmarkit.co.jp/fsecurity/special/145dlp/dlp01.html
| 1/3 |
| Index | |
| 優先すべきは内部からの脅威対策 | |
| Page 1 対策不十分なデータベースセキュリティ |
|
| Page 2 データベースセキュリティは人的脅威への対策が重要 現状把握と職務分掌が対策の第一歩 |
|
| Page 3 脅威に対するマッピングが対策の基準 |
|
| ここがポイント! DBセキュリティの実装 |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
|
|