はじめに

ここ最近、身代金要求型ウイルスなどのサイバー攻撃や内部不正で、企業の存続をも脅かす情報漏えい被害が至るところで発生しています。

ウイルス感染・不正アクセスにより流出する個人情報件数は、個人端末からの意図しない流出に比べ比較にならないほど大規模であり、近年急増しています。
そんな状況にも関わらず、情報を実際に格納しているデータベースに対するセキュリティ対策の実施状況は、まだまだ進んでいないのが現状ではないでしょうか?

何故なら、ネットワーク層でのファイアウォールやウイルス・マルウェア対策製品の導入など、一般的か、それ以上の対策を実施しているはずの大手企業の情報漏えい事件もまた数多く報告されているからです。

このことからも企業が情報漏えい対策を実施する上で、これまで着手していなかった重要なデータを実際に格納しているデータベースのセキュリティ対策を、今まさに真剣に考える必要があるのではないでしょうか。

ここで、Re:Qの創業メンバーであり、データベース部門の統括責任者の中川にデータベースセキュリティの重要性について聞いてみました。

セキュリティについて

どの企業でも対策していると思うが、ある程度防御している中でも、それでも情報漏えいが発生してしまう。これ以上何を対策すればよいのでしょうか？

多くの企業で行っているセキュリティ対策は、インターネットの入口と出口の接点（IPS）の対策のみがほとんどです。その結果、SQLインジェクションなどの外部からの不正アクセスは防御しており、どんどん減っています。

それでも情報漏えいが減らない原因は、管理者部門の人間がデータを持っていってしまうなどの内部犯行のケースです。1万件以上の大規模な情報漏えいが発生したケースはほとんどが内部犯行です。
そのため、入口と出口の接点だけやっていても対策は足りず、内部からもデータを見られないようにする対策が必要です。

個人情報漏えいのニュースを見ていると、不正アクセスによるものが多い。特に1万件以上の大規模な情報漏えいのほとんどが不正アクセスが原因となっているが、内部からの不正アクセスということですか？

大企業だと、情報システム部門の他に、外部委託業者などが入ってきます。これらの関係者を内部の人間だと一括りにして1つの権限で管理していることが原因です。
内部犯行を防ぐには、外部委託業者、データ管理者、情報システム部門それぞれに細かい権限を設定する『権限分掌』を実施し、DB自体のセキュリティを強化していくことが重要です。

DBセキュリティについて

DB自体のセキュリティ強化とは、具体的にどんなものがありますか？

主には「暗号化」「権限分掌」「監査ログ」の３つがあります。

「暗号化」

クレジットカード会員の情報保護を目的とした「PCI DSS」など、暗号化などのセキュリティに関する基準が策定されています。
ただ、この基準をクリアするために最低限の対策のみを行っている企業が多く、追加で対策するとなると、プラスで何百万、何千万円と莫大なコストがかかります。

「権限分掌」

部署や役割に応じてアクセス権限を細かく設計し、重要機密データを守ることです。
ほとんどの企業がこれを実施していません。実際に私が過去に関わった案件の中には、DBAが利用するユーザーで、 顧客データを全て閲覧できる状態だった企業も多くありました。

権限分掌の機能はどのDBでも標準で持っていますが、複雑で要件にあった権限分掌を実現するのは一苦労です。
また、特権ユーザーや管理ユーザーの権限も細分化して制限し、重要機密データを守ることができるのは、現時点で、Oracleの「Database Vault」という機能くらいしかありません。

どの企業もある程度までの権限分掌は実施しておりますが、特権ユーザーや管理ユーザーまでは踏み込んでません。
「Database Vault」を使えばいいと考えますが、「Database Vault」は高価なライセンスが必要となるうえに、設計できるDBエンジニアも少ないためなかなかハードルが高く手をつけられないのが現状で、苦労して運用でカバーしている企業が多いのではないでしょうか。

「監査ログ」

DB内の顧客データなどを、いつ、どこで、誰が触ったか、といった記録を残すのが監査ログです。
「Oracle AVDF」や「Logstorage」、「PISO」などのツールがあります。

「PCI DSS」の基準にも監査ログに関する内容があります。ただこれも暗号化と同じレベルで、基準をクリアするために監査ログを取っているのみ、という企業が多いです。監査ログを利用した対策を行う、というステージまで持っていくことが重要です。

「Oracle AVDF」の凄いところは、ログをとった中で、今、誰かがこの情報を触っている、といった情報をリアルタイムでチェックし、メールなどでアラート通知など設定できます。他にも、異常なSQLを検知した場合、即座にそのセッションを遮断できるような仕組みも設定できるため、情報漏えい防止にもつながります。

ただ、コストが高いのが難点で、過去に導入した企業ではDBの規模も大きく、1,000万～2,000万円ほどかかりました。

とても便利な機能ですが、1,000万円以上とは・・・費用がとても高いですね。何かコストを抑える方法はありますか？

「Oracle AVDF」より機能は少ないですが、「Logstorage」というツールは、100万～200万円で導入できます。リアルタイムでSQLを遮断したりはできませんが、リアルタイムでログをとることは可能です。
そこにRe:Qで培ったノウハウを活かし、できるだけ「Oracle AVDF」に近い形で実装することは可能です。

Re:Qのノウハウというのは具体的には？

ツールは導入したが、以下のようなケースとなり、運用を断念するお客様も多くあると聞きます。

・膨大なログを管理できない
・データベースの負荷がかかりすぎる
・不正アクセスがあった際の対応ができない

当社は、「Oracle AVDF」をはじめ多くのツールを導入、運用した経験が多くあります。
お客様のご予算、セキュリティポリシー、運用体制を考慮した上で、ツールの選択の提案～設計～運用まで、上記の断念したケースにならないようにしっかりとサポートすることができます。

おわりに

いかがでしたでしょうか？

内部からの不正アクセスに対してもセキュリティ対策を実施する重要性は分かっていたが、担当者がいない・決まっていない、どういった範囲までセキュリティ対策をすればいいのか、コストとの兼ね合いなど、様々な要素を検討する必要があるかと思います。

少しでもこの情報がお役に立ちましたら幸いです。ここまでご覧いただきありがとうございました！

データベースセキュリティについて考える～なぜ情報漏えいは起きるのか？～

皆さん こんにちは。
人事教育部のM.Iと営業企画部A.Tです。

6月14日（水）～16日（金）の期間で幕張メッセにて開催された
Interop Tokyo 2023に今年も参加しましたので、レポートさせていただきます！

ーInterop Tokyoとはー
今年で30回目の開催となる、インターネットテクノロジーのイベントです。
1994年の日本初開催以来、毎年国内外から数百の企業・団体が参加し、会場でのデモンストレーションやセミナーを通じて技術動向とビジネス活用のトレンドを体験することができます。
参照URL：https://www.interop.jp/2023/about/

Re:Qの活動について

Interopでは、6月16日(金) 14:30-15:10の日程でセミナーを行いました。
クラウド技術2部・部長のYさんが登壇し、クラウドセキュリティ対策について講演しました。

Interop参加当日の朝

今年も新卒メンバと一緒に参加しました！
Re:Qでは、新卒メンバはInteropに参加することができます。
様々な企業の技術に触れ、学びや刺激を受けてほしいという思いから
イベントに参加してもらっています。
初めて参加するメンバばかりでしたので、ワクワクしてくれたのでは？と思っています。
（学生の時に興味があり、参加したメンバが1名いました！）

Interop会場到着

昨年はコロナ渦だったということもありますが、
今年の参加人数は昨年の1.3倍と多くの方が来場していました。
私は2年連続参加していますが、沢山のブースと来場者に毎年圧巻されますね！

新卒メンバの課題

新卒メンバの皆さんには、他の企業様のブースに訪れ見学をするだけでなく、
講演を聞くように課題を設け、イベントに参加いただきました。
ここではメンバの感想を簡単に紹介させていただきますね♪

★クラウド技術部に配属されたHさん（文系出身）★
クラウドベースのネットワークサービスに関する講義に参加しました。
ネットワークもクラウド化なのか。という印象です。
どの話を聞いても、すべてクラウド化の話をしていて、本当に今のトレンドはクラウド化なんだなと再認識しました。
クラウドがいかに便利で優れた仕組みなのかがよくわかりました。

★データエンジニアリング部に所属されたTさん（理系出身）★
クラウドストライクのセキュリティ事業/事例紹介に関する講義に参加しました。
クラウドストライク導入に関する事例紹介は興味深く参考になりました。
CSPM製品だけに頼るのではなく、体制やルールの整備を含めてセキュリティを全体として高めていくことが重要、という見解はもっともだと感じました。

実際に聴講することで、少しでも自分の考えをもったり、知識をつけることができた時間になったのではないかと思っています✨

Re:Qの講演

いよいよYさんの講演が始まります。
開場前から続々と集まってくるRe:Qの応援隊や事前登録してくださった方々の人数の多さに、
有難いなあと思いながら、応援隊の私まで心なしか緊張してきました（笑）

いざ講演が始まると、登壇者のYさんはもちろん場内の空気が少し引き締まったように思えました。
メモを取りながら、時にはスマホを掲げて映し出された資料を撮影しながら、パブリッククラウド(AWS/Azure/GCP)を利用する上で、安全な利用を実現するクラウドセキュリティ対策について、またその原因ついて、そして対応するRe:Qのサービスについてとじっくり約40分の講演でした。

満員御礼ということで立ち見になってしまう方もたくさんいらしたのですが、来場いただいた皆さんに講演内容や会社紹介、サービスについてなどの資料も配布させていただきました。

講演終了後はアンケートに協力いただき、たくさんのコメントも頂戴しました。
ご意見やご感想、リクエストなどなど参考にさせていただきます。
ご来場、そしてアンケートにご協力いただいた皆様ありがとうございました！

まとめ

今回は前回に比べて多くの来場者数だったとのことで、会場にはより活気を感じました。
体験型のブースやトークセッションなどもこれからどんどん増えていくのかな？と思っています。
Re:Qは新卒の他にもマネージャーや登壇者Yさんのチームの若手からベテランまで、また他の部署から勉強で来たりと、このようなベントにはこれからも積極的に参加していく予定です。
また嬉しいことにこのような講演や外部での出会いからご縁に繋がることも増えてきたので、引き続き登壇イベントにも力を入れていきたいと思っています。

オンラインでは、HPの技術ブログにて当社のエンジニアから様々なナレッジの紹介を、
TwitterやInstagramでは新着情報をいち早くお届けしています★
引き続きRe:Qをよろしくお願いします♪

関連ブログ▶▶　AWS Security Hub使ってみた ～Part1：Security Hubを使い始めてみる編～

Interop Tokyo 2023に参加しました！

「Interop Tokyo 2023」にて、当社講演へご来訪いただき誠にありがとうございました。

大好評をいただき、おかげ様で満席・立ち見が出るほど大盛況の中での講演となりました。

講演当日の様子をブログに公開しておりますので、ぜひご覧ください！

関連ブログ▶▶　Interop Tokyo 2023に参加しました！

また、7/3(月)～7/31(月)まで『Interop Tokyo 2023 オンライン』が開催中です（要登録・無料）。

ご都合が合わず当社講演にご来訪できなかった方や、もう一度ご覧になりたい方はぜひご視聴ください。

詳細はこちらをクリック

【講演情報】Interop Tokyo 2023ご来場のお礼・オンライン開催のお知らせ（7/3～7/31）