顧客情報などが格納されたデータベースは、漏えいリスクが高いにもかかわらず、多くの企業がコストや運用面でセキュリティ対策を先送りにしている。だが、対策の見直しと体制作りで流出事故は防げるのだ。
企業内データベースには、社員の個人情報や顧客情報など、機密性の高いデータが多数格納されている。当然、強力なセキュリティ保護を掛けるべきだが、頻繁にアクセスして利用することが前提であるため、完全な遮断は現実的に難しい。特に内部関係者からの機密データへのアクセスは業務上必要であるため、漏えいリスクが高いにもかかわらず、軽視されがちだ。
しかし、世界的な金融不安が広がる中、内部犯行の芽は着実に育っている。2008年に米Cyber-Ark SoftwareがIT管理者にアンケート調査を行ったところ、約88%が「明日解雇を言い渡されたら機密情報を持ち出す」と回答した。実際、米Verizon Businessのリスクチームの報告書「2008 Data Breach Investigations Report」では、内部によるデータ侵害のうち約40%はIT管理者によるものだという結果も出ている。
重要データへのアクセス権限があれば、ちょっとしたきっかけで誰もが「情報漏えい者」になり得る。最近話題となった某大手金融会社の個人情報売買事件も例に漏れない。対岸の火事と言い切れないこの事態に、企業はどのようなデータベースセキュリティ対策を講じるべきだろうか。
情報漏えい事件の多発で、データベースセキュリティ対策の重要性は多くの企業が認識している。しかし、それでも十分な対策がされていないのが現状だ。
データベースセキュリティコンソーシアムが2009年2月に実施した「データベースセキュリティ安全度セルフチェック」によると、「重要とされる対策は十分に実施されている」と回答したのはわずか9%。「実施できていない重要とされる対策が多く、早急な対策実施の検討が必要」が46%、「セキュリティ対策ができておらず、抜本的な改善・対策実施の検討が必要」が33%と、8割近くは対応が不十分と回答している。
データベースセキュリティ対策を大きく分けると、SQLインジェクションなどの外部からの攻撃対策と、データ複製による持ち出しといった内部対策の2つが考えられる。いずれも重視すべき課題だが、インターネットからのアクセスを受け付けるフロントエンドのデータベースよりも、一般的にバックエンドの社内データベースの方が情報資産価値の高いものが格納されている。一概にはいえないが、バックエンドから情報が流出した場合の影響は、外部の攻撃による情報流出よりも大きくなる。
その一例が、最近ニュース報道をにぎわせた某大手金融会社の漏えい事件だ。同事件では、元システム部部長代理が業務の一環と偽り、約5万人分の顧客情報を持ち出して名簿業者に売却、逮捕されている。実際に売却したのは約5万人の情報だが、持ち出したのはCD-ROMに焼いた約148万人分だ。インターネット回線経由で時間をかけて持ち出されるのではなく、瞬時に膨大な情報が持ち出されている点にも注目したい。
こうした事件が発生した場合、企業はどのような損害を被ることになるのか。コストの観点では2つ考えられる。1つは、信頼を失ったことによる契約打ち切りや顧客離れに伴う収益の減少だ。目に見えない部分だが、発覚後からボディブローのように影響を与えてくる。
そしてもう1つは、情報を流出させた顧客への謝罪費用や対策費用など、信頼回復に掛かるコストである。謝罪費用について、先の事件では顧客1人当たり1万円相当のギフト券を送付しており、単純計算で5億円の支出となっている。なお、米調査会社のPonemon Instituteでは、2008年に米国で発生した情報流出における対応コストが顧客情報1件当たり平均202ドルで、総額665万ドル規模にも及んだと発表している。
しかし、一番は信頼回復に要するコストだろう。流出の対象となった顧客への数百円〜数千円相当の金券送付や、徹底的な再発防止策の実施とイメージ改善のための活動などに数十億円単位のコストを掛けた企業もある。このように対策不足の代償は、漏えいで失う社会的信用など見えない部分を含めると相当に大きいことが分かるだろう。
これだけの損失が実際に発生しているにもかかわらず、なぜ企業のデータベースセキュリティ対策が進んでいないのか? 原因は次の2つだと考えられる。
まず、そもそも現在企業内でどのようにデータベースが保護されているのか、現状を把握していないことが挙げられる。むしろ、何を把握すべきか、どのような対策をすべきかが整理されていないといってもよい。把握すべき内容は以下の通りだ。
そしてこれらの業務は、正しい職務分掌の下、データベースの運用者ではなく、その運用者を含めたアクセス権限者を監視する監査担当者が実施することである。もっとも、多くの企業ではデータベースのパフォーマンス向上や設計開発など、利益に直結する顧客サービスにばかり注目し、監視や監査などのセキュリティ業務にコストを掛けたがらない。場合によっては、運用管理者に監視業務を課すところもある。もちろん、その仕組みがセキュリティ上好ましくないことは一目瞭然だ。前述した金融会社でもアクセス権限者が事件を起こしている。
「人が犯罪に及ぶのは3つの条件がそろったとき」と、フォーティネットジャパン インフォメーション・セキュリティBU シニアコンサルティングエンジニアの成田泰彦氏は言う。1つは、犯行を実行できるだけの能力(権限)があること。2つ目は、動機があること。動機は金銭的な問題を抱えているときに高まりやすい。そして3つ目は、チャンスが巡ってきたことだ。
「1つ目は業務上必要な能力なので、それをなくすことは難しい。2つ目の動機も個人の問題なので、会社はコントロールできない。企業ができるのは、犯行のチャンスを与えないこと」(成田氏)
そのためには、その人物がどこからどうアクセスし何をしたかを漏れなく記録してリアルタイムにチェック、そしてその事実を周知させる。前述の金融会社の場合、「元部長代理がすべてをダウンロードできる権限を持つべきかコントロールできておらず、そもそも正規のアクセスかどうかを判断する仕組みもなかったと思われる。しかし最大のミスは、犯行のチャンスを与えてしまったこと。監査ログをリアルタイムで監視しているというだけでも抑止効果があったはず」と、フォーティネットジャパン シニアリージョナルマーケティングマネージャの菅原継顕氏は指摘する。
米国では、漏えい事件などを起こした場合の罰則が個人に対して設定される。契約も経営者と社員という、対個人で行われる。しかし、日本の場合は会社間で契約が行われるため、末端の社員は犯行の代償が自分に降りかかることを意識しにくくなっている。こうした問題も、監視下にあるというプレッシャーがあれば、抑制できる可能性は高い。
漏えい事件の原因となる課題を解決するには、現状把握と監視・監査をプロセスとして、1つのソリューションにまとめるとよい。
まず、現在のシステム構成に脆弱性がないかを評価し、現状を把握する。状況を改善したら、次はアクセスログを記録したり不審なアクセスをリアルタイムに検知したりといった、監査や監視の仕組みを構築する。その後、データベース管理者以外のセキュリティ担当者を配置し、アクセス状況の監視と対応を実施する。事故が発生した場合の分析も、同担当者が行うことになる。以上のプロセスが明確化されたら、定期的に管理体制を評価・検証し、現状の改善策へフィードバックする。ライフサイクルが回り始めれば漏えいリスクも軽減し、セキュリティ強度も高まるはずだ。
この仕組み作りには、フォーティネットのデータベースセキュリティ製品「FortiDB」が一役買ってくれる。FortiDBは、定期的にデータベースの脆弱性評価を自動的に実施し、改善すべき項目の整理や提案を行う。さらに、改善後のデータベースに対して常時監視を行い、アクセスログを統合管理する。データの羅列のみの状態から統計グラフへと、ログを「使える情報」に可視化して、管理や分析を支援してくれる。つまり、1台でデータベースリスクのマネジメントプロセスを網羅できるというわけだ。
リポートでは、アカウント単位で操作履歴や回数を色別に表示できるほか、アクセス日からどのユーザーが操作を何回実行したかを折れ線グラフで表示するなど、直感的に分かりやすい情報を提供する。データベースの専門知識がなくても、簡単な画面操作で状況を把握できることから、理想に近い監視体制を短期間で構築できる。同社の事例でも、さまざまな種類のデータベースを数十台運用するマルチデータベース環境で導入した結果、担当者1人で全環境を監視できるようになったという。
監視体制もすぐに構築でき、効果を発揮する。「某メーカーでは導入してから数週間後、データベース周りの運用管理を任せていたアウトソーシング先企業のデータベース管理者が土日に出社し、データベースへアクセスするという不審な痕跡を発見し、すぐに対策が取れた」(成田氏)という。
通常、人はデータを不正に持ち出す前に、持ち出せるかどうかを何回か試す。データベースセキュリティ対策では、こうした「不正アクション」の段階で犯罪を未然に防ぎ、より高いデータベースセキュリティ環境を整えることが重要だ。
■問い合わせ先
フォーティネットジャパン株式会社
TEL:03-6434-8531/8533
URL:http://www.fortinet.co.jp/contact/
提供:フォーティネットジャパン株式会社
アイティメディア営業企画/制作:TechTarget編集部
ITmediaはアイティメディア株式会社の登録商標です。
データベースセキュリティの対策実施度の結果(出典:データベースセキュリティコンソーシアム 2009年6月)
データベースの脆弱性評価、監視、監査を統括的に実践するソリューション