至宝のデジタル資産を守れ

 情報漏洩事件は相変わらずメディアを騒がせている。その実態は、もはや単なるクレジットカード情報の盗難ではない。今やさまざまな業界で、多様な情報をターゲットとする情報漏洩が見られる。セキュリティ侵害の実態と、そうした攻撃から企業情報を守るにはどうすればよいかを解説したい。本誌は、オラクル・コーポレーション データベース・セキュリティ担当バイスプレジデント ビピン・サマールに情報漏洩の最新事情、ますます巧妙化するその手口、保護しなければならないさまざまな企業情報の取り扱いについて話を聞いた。

本誌:情報漏洩を報じるニュースが続いていますが、変化も見られます。最近の企業情報の漏洩事件には、どのようなパターンがあるでしょうか。

ビピン・サマール(以下、サマール):この12カ月から18カ月の間に、事件の規模、件数、影響範囲が深刻化しているようです。ターゲットは小売業者、通信事業者、金融機関、エンターテインメント事業者など多様ですが、いずれのケースも数千万のユーザー情報が直接または間接に奪われています。しかも、攻撃の目的はもはやクレジットカード情報の入手に留まらず、氏名、住所、電子メールなど、個人を特定できる情報へと広がっています。そして、これまで以上に企業の知的財産が狙われています。最近も、あるメディア企業から漏洩したように、電子メールメッセージもターゲットとされています。

本誌:攻撃犯とはどのような人物でどこにいるのでしょうか。どのような手口が特徴的でしょうか。

サマール:攻撃犯には複数のタイプがあり、動機も違います。興味本位のインサイダー、犯罪者、「ハクティビスト」、そして極端な例だと国家そのものが攻撃者であることもあります。攻撃犯の多様性に劣らず、攻撃のベクトル、つまり攻撃犯が押し入ろうとする方法も多様でバラエティに富みます。システムへの攻撃手口は1つではありません。とはいえ、過去18カ月間に試みられた侵入方法には共通項も見られます。成功した多くの攻撃で、総当り攻撃によって企業ネットワークに侵入するのではなく、ソーシャル・エンジニアリング、フィッシング攻撃、マルウェアを利用して企業ネットワークやエンドポイントに正規ユーザーとしてアクセスする手口が使われています。いったんネットワークへの侵入に成功すれば、企業の情報資産を守るものは残りのITセキュリティ機能だけです。

 攻撃犯はインサイダーに姿を変えるやいなや、ネットワークのマッピングの変更、暗号化されていない平文のネットワーク・トラフィックの読み取り、標準テキスト形式で保存されたパスワードの入手などを試み、最終的にはデータベースに狙いを定めるのです。

本誌:攻撃犯は何を目的にデータベースを狙うのでしょうか。

サマール:民間企業や行政機関は、顧客、パートナー、雇用者、市民に関する情報の多くをデータベースに保管します。多くのデータは機密情報に該当するもので、その種類は取引相手の氏名や住所からクレジットカード情報、サプライチェーンや顧客との関係に関する情報まで、さまざまです。データベースにはこうした情報が整理されていますが、これはアプリケーションだけでなく攻撃犯にも好都合です。データベースへの侵入に成功しさえすれば、知的財産が詰まった“宝”は目の前です。データベースが攻撃対象となる理由はまさにそれです。

 ネットワークやエンドポイントのセキュリティが破られ、攻撃犯が会社のゲートから入ってしまうと、彼らはデータベースにアクセスするために複数の手法を試すことができます。ネットワークやOSの内部からデータベースを攻撃したり、データベースのパスワードを盗もうとしたり、データベース構成に細工をしてデータベース・セキュリティ制御の裏をかこうとします。また攻撃犯はWebからもやってきます。アプリケーション設計の不備を悪用するSQLインジェクション攻撃が、その代表格です。

本誌:企業によってはデータベース数が数万に達することもあります。データベースがそこまで多いと、どうすれば包括的で、しかも実用的なデータベース・セキュリティ対策をとれるのでしょうか。

サマール:データの種類はさまざまです。企業情報を分類することから作業を始め、カテゴリごとに優先度を割り振る必要があります。そうしてから、データの価値に見合うセキュリティ制御を割り当てます。

データベースデータに4つのレベルの優先度を割り当て、4つのレベルのデータ保護対策を指示。

 優先度がもっとも低い情報とは、社内の情報ポータルのコンテンツ、社内ディレクトリ、テスト/開発システムのデータ、そのほかの機密性のないデータを指します。多くのケースで、攻撃犯はこの情報を狙います。こうした情報があるデータベースが高度なセキュリティや監視によって保護されることは珍しいからです。攻撃犯は、こうしたシステムから組織のセキュリティ・インフラについて学び、それを次の攻撃に活用します。このレベルのデータについては、最新のセキュリティ・パッチが適用され、データベースが正しく構成され、権限のあるユーザーによってデータベースが監査されていることを確認することが、おもな対策です。これを銅レベルのセキュリティと呼びます。

 これより1段階高いデータ優先度には、発注や取引のデータなど、社外秘のデータが含まれます。このレベルのデータについては、「ブロンズ」レベルのセキュリティが適用され、さらに本番データベースやネットワークにあるデータがセキュリティ技術で保護されていることを確認します。機密性の高い本番データは、セキュアでないテスト/開発システムで扱うことになるため、そうしたシステムではマスクを適用する必要があります。これを「シルバー」レベルのセキュリティと呼びます。

 次に高いデータ優先度に分類されるのは、個人を特定できる情報、クレジットカード情報、診断情報など、法令で取り扱いが規制される情報です。このレベルの機密情報については、シルバーとブロンズのレベルのセキュリティが適用され、さらにアクセスが制限されていることを確認します。たとえば、機密データがあるフィールドをリダクションしてからコールセンターに渡したり、機密データへのユーザー・アクセスを権限で制限したり、SQLトラフィックを監視して不正使用を検出することができます。これを「ゴールド」レベルのセキュリティと呼びます。


 もっとも優先度の高いセキュリティ・レベルは、知的財産の宝とも言える、四半期の財務データ、企業買収計画、ソースコードなどを対象とします。このレベルのデータについては、金銀銅のセキュリティが適用されていることを確認したうえで、データベース操作を制御し、未使用の権限を分析して取り消し、不正なSQLトラフィックをブロックし、総合的な監査を実施する、などがおもな対策となります。

 このような「プラチナ」レベルのセキュリティがあれば、データベースの弱点は最小に減ります。たとえ攻撃犯がOSに侵入したり、権限のあるユーザーになったり、あるいはSQLインジェクションに成功したとしても、データベースの守りは強固です。

「データの種類はさまざまです。企業情報を分類することから作業を始め、カテゴリごとに優先度を割り振る必要があります」

オラクル・コーポレーション データベース・セキュリティ担当バイスプレジデント
ビピン・サマール
暗号化がカギ

 暗号化は、デジタル資産一般を保護する重要なセキュリティ技術であり、データベースの保護にはとくに有効。ただし、暗号化には大きな問題が1つある。暗号鍵をいかに管理し、保護すればよいだろうか。

 オラクル・コーポレーション データベース・セキュリティ担当バイスプレジデント ビピン・サマールは「Oracle Key Vaultは、暗号鍵、ウォレット、資格情報を集中管理します。Oracle Key Vaultなら、こうした資格情報を信頼されるサーバー間で安全に共有できます」と語る。

ページの先頭へ