データ資産を守る Oracleデータベースのセキュリティ・ソリューションは企業情報を何重にも保護する

データ資産を守る
Oracleデータベースのセキュリティ・ソリューションは企業情報を何重にも保護する

 ハッカーが政府や企業のシステムに侵入するとニュースになり、ときには大々的に報道される。組織のなかでもっとも大きなアクセス特権を与えられたシステム管理者が、同じようにメディアの注目を集めることはないだろう。しかし彼らは機密情報にアクセスし、システムを構成し、データベースを変更し、ほかのユーザーに特権を与えることができる。ハッカーの標的にされたシステム管理者やデータベース管理者は企業の危険人物になる可能性もある。また、彼らだけが潜在的なリスクではない。たとえば極秘の生産データが開発環境や試験環境で扱われることがあり、研究開発者がそれを見てしまう可能性もある。

 「ほとんどの組織では、機密データや閲覧制限のあるデータの3分の2がデータベースのなかにあります」とオラクル・コーポレーション データベース・セキュリティ技術担当バイスプレジデント、ビピン・サマーは指摘する。「多層化したセキュリティ対策でデータベースを守らない限り、データは読み取られたり書き換えられたりする危険にさらされています。それを実行するのは、OSやデータベースやネットワークの管理者かもしれないし、盗んだパスワードを使って管理者に成り済ましたハッカーかもしれません。さらに、ハッカーがWebからのSQLインジェクション攻撃を使ってデータベースに正規にアクセスする可能性もあります。組織はあらゆる種類のリスクを低減させ、さまざまな手段による攻撃からデータ資産を守るセキュリティ・アーキテクチャを構築する必要があります」。

 企業はソフトウェア、サービス、サポートを含むITシステムを守るために毎年、世界中で何十億ドルも費やしているとサマーはいう。この膨大な投資にもかかわらず攻撃は続いてきた。そして、社会工学や自動化された高度なツールなどを利用して、攻撃は成功し続けてきたのだ。その理由の1つは、従来のセキュリティ戦略が、内部のサーバー資産ではなく、ネットワークや端末のコンピュータに焦点を合わせてきたことだ。結局、もっとも重要なのはデータベース自体を守ることだが、多くの企業はそれを見過ごしているのである。

 調査会社のフォレスター・リサーチによると、企業の70%が情報セキュリティ・プランをもっているにもかかわらず、データベース・セキュリティ・プランをもっているのは、そのうちの20%にすぎない。

 セキュリティ・プロフェッショナルは歴史から学べることがあるとサマーはいう。たとえば中世のヨーロッパで城は多数の防御手段をもっていた。さまざまな種類の攻撃を退けるために、広い堀、高い城壁、鉄の扉、そして反撃する弓の射手まで備えていた。「同じようにITの世界では、気軽にのぞき見をする人間や、裏切るかもしれない内部の人間、どこかの国に雇われたハッカーなどからデータベースを守らなくてはいけません」と彼はいう。「データは、チェスにたとえるなら“キング”です。もし防御用の堀が“ポーン(歩兵)”程度のファイアウォールならば、敵の“ナイト”がそれを跳び越えてキングに“チェックメイト”するのは簡単なことです」。

データベースの暗号化


トランスユニオン・インタラクティブ 上級データベース管理者 アンドリュー・ミード氏はデータベース管理者のチームを率いて、同社のデータを、利用しやすく、安全で、各種の基準に合ったものであるように維持管理している。ミード氏はいう。「当社は保護しなければならない多くの機密情報をもっていますが、オラクルがデータを攻撃から守るさまざまな方法を提供してくれます」。

 Oracle Database 11gのオプションの1つであるOracle Advanced Securityは、ネットワーク、ストレージ・メディア、データベースにある機密情報の保護を支援する。Oracle Advanced Securityは、Payment Card Industry Data Security Standard(PCI DSS)、Health Insurance Portability and Accountability Act(HIPAA)のほか、多数のデータ侵害通知法を含む、個人情報の規制要件に対応している。

 トランスユニオン・インタラクティブは、PCI DSSの基準に準拠する必要からOracle Advanced SecurityのTransparent Data Encryption機能とOracle Database Firewallを採用した。

 「当社は保護しなければならない多くの機密情報をもっていますが、オラクルがデータを攻撃から守るさまざまな方法を提供してくれます」と、トランスユニオン・インタラクティブ 上級データベース管理者 アンドリュー・ミード氏はいう。「機密情報を1つのディスクにプレーン・テキストで記録しておくことなど考えられません。Oracle Advanced SecurityのTransparent Data Encryption機能を使えば、いつでも情報をディスクに書き込めるし、別の場所にバックアップできます。もちろん、データは完全に暗号化されています」。

 ミード氏はデータベース管理者のチームを率いて、同社のデータが利用しやすく、安全で、各種の基準に合ったものであるように維持管理している。それは、毎秒何千ものトランザクションを処理する、負荷が高くノンストップの業務だ。

 トランスユニオン・インタラクティブは、金融サービスを手がけるトランスユニオンの消費者向け子会社で、一般消費者に対して、信用レポート、信用モニタ、警告サービスなどを提供している。また、消費者が自分の財務状況を把握し、個人情報を盗まれないようにするための教育ツールも作成している。「当社は、データベースを保護し各種の規定に準拠するために、Oracle Database 11gの表領域暗号化機能を利用しました」と、トランスユニオン・インタラクティブ アーキテクチャ・インフラ担当取締役 ラムダス・ケンジャル氏は語る。「この方法を使ってデータを迅速に暗号化できました。アプリケーションやインフラを変更する必要はありません。Transparent Data Encryptionは、データがディスクに書き込まれたときに暗号化し、ユーザーが認証され、権限を与えられたあとで復号します」。

 オラクルのTransparent Data Encryptionを使うと、チーム内のデータベース管理者でさえ、個々のテーブルの特定のカラムを暗号化する詳細を知ることはできないとケンジャル氏はいう。Transparent Data Encryptionは、ストレージでも、伝送路でも、バックアップ・メディアにおいても、データを暗号化することによってPCI DSSの要件を満たしている。オブジェクト権限の付与、ロール、仮想プライベート・データベース、およびOracle Database Vaultを含むOracleデータベースによるアクセス管理は有効なまま維持される。こうした二重システムにより、データ暗号化キーはマスター暗号化キーで守られている。

フルディスク暗号化との比較

 トランスユニオン・インタラクティブは、フルディスク暗号化など、ほかのセキュリティ・ベンダーの技術導入も検討した。フルディスク暗号化では、データはハードウェア・レベルで暗号化され、トークン化される。1つのトークンが実データを代表するのだ。「トークン化を選んだら、すべてのアプリケーション、アーキテクチャの一部を変更しなければならなかったでしょう。それには時間も費用もかかります。当社にとって、トークン化は現実的な選択肢ではありませんでした」とミード氏はいう。

 フルディスク暗号化は、暗号化キーが変更されるときにはキー・データベースをオフラインで取っておく必要がある。これはトランスユニオン・インタラクティブにとって現実的ではなかった。「ダウンタイムなく、フルディスク暗号化を実装できる製品はありませんでした」とミード氏は話す。

 トランスユニオン・インタラクティブがTransparent Data Encryptionを選択した理由の1つとして柔軟性がある。「Oracle Advanced SecurityとTransparent Data Encryptionは当社にとって完璧な解決策です」とミード氏は語る。「アプリケーションやインフラをまったく変更せずに、すべてのデータの暗号化が可能になりました。その機能はOracleデータベースに完全に統合されています。キー管理も組み込まれているので、キーの生成や変更の際もダウンタイムを必要としません。だから期待どおりの働きをしてくれています。使いやすく、導入が楽で、維持も簡単です」。

 最近トランスユニオン・インタラクティブは、暗号化とキー・ローテーションに関するPCIの監査に合格。オラクルのソリューションが有効であることが確認された。処理性能のレベルにおいても違いはないか、あったとしてもほんのわずかだという。「Transparent Data Encryptionのパフォーマンスへの影響は無視できるほどです。当社の場合、それは1%未満です」とミード氏はいう。

Oracle Database Firewallの実装へ

 現在、トランスユニオン・インタラクティブは、従来のネットワーク・セキュリティ戦略を補完するためにOracle Database Firewallを実装しているところだ。セキュリティの専門家の多くは、データベース・ファイアウォールはネットワーク・ファイアウォールの付属物であり、外部からの不正なアクセスからデータセンターを守るものと見なしている。

 データベースへの不正なアクセスに対応するために、Oracle Database Firewallはデータベースに向かうSQLネットワーク・トラフィックを監視し、組織の内外で発生した脅威に対する第1防衛線を敷いている。Oracle Database Firewallは、データアクセスを監視してアクセスポリシーを実施し、異常を知らせ、ネットワークへの攻撃を防ぐ。

 「Oracle Database Firewallによって、どんな種類のクエリがデータベースを襲っているのか、誰がそれを送っているのか、どこからそれは来るのかが正確にわかります」とミード氏は話す。「すべての情報はこちらの基準に基づいて開示され、その詳細はGUIで設定できます」。

 ミード氏は現在、さまざまな種類のSQLステートメントのホワイトリストとブラックリストを開発しているところだ。「ホワイトリストに載っているものはすべて通し、ブラックリストに載っているものはすべてブロックします」とミード氏は説明する。「Oracle Database FirewallがSQLトラフィックを分析します。設定したポリシーに従い、ファイアウォールは疑わしいステートメントに対し、ブロック、置換、ログ取得、警告などの処理をおこないます」。

 SQLステートメントの正当性を評価するのに加え、Oracle Database Firewallは、リクエスタのIPアドレス、時間、プログラム名などの要素を考慮することも可能である。トランスユニオン・インタラクティブは、データベース・ポリシー強制システムとして、あるいは補足的な監査やコンプライアンスの目的で、Oracle Database Firewallをブロッキングモードで展開することもできる。

まとめ

 個人情報を中心とした情報セキュリティの主要な分析会社であるクピンガーコール。その創設者であり主席アナリストでもあるマーチン・クピンガー氏は、データベース防御の重要性についてこう解説する。「ネットワーク・ファイアウォールはIT資源へのアクセスをIPレベルで制御していますが、見ているのはパケットです。だから、SQLレベルで何が起きているかについては、それほど深く調べているわけではありません。データベース・ファイアウォールは、アプリケーションの動作を監視し正常に保つことによって、データベースとの通信を徹底して保護します。それを使えば、SQLインジェクション攻撃や不正なSQLコマンドを防ぐことができます」。

 クピンガー氏は、データベースの暗号化とデータベース・ファイアウォールがデータベース・セキュリティ戦略で重要な要素の1つと考えている。ほかにも、試験環境でのデータ・マスキングや、データベースへのアクセスの管理は必須の技術である。「あらゆる局面で対策を講じることが肝心です。厳密な認証をはじめ、データベースへの細かなアクセス管理や、オペレーターやデータベース管理者が特権を乱用できないようにすることも重要です」と、クピンガー氏は結論づける。「1つのデータベース・セキュリティ対策だけに頼ると、こうしたさまざまな局面に対応することができないでしょう。開いたままのドアが残っていては、企業のセキュリティ問題は解決しません」。

SNAPSHOTS

トランスユニオン・インタラクティブ
transunion.com

所在地:米国イリノイ州シカゴ
業 種:金融サービス
オラクル製品とサービス:Oracle Database11g、Oracle Advanced
Security、Oracle Database Firewall

ページの先頭へ