データベース管理者(DBA)による内部不正を考える~DBA1,000人へのアンケート調査報告書から

2014年10月10日(金) 14時57分
このエントリーをはてなブックマークに追加
データベース管理者の10%が「情報を売り渡すかも知れない」と回答の画像
データベース管理者の10%が「情報を売り渡すかも知れない」と回答
データベースのログ取得をしない理由の画像
データベースのログ取得をしない理由
データベースを暗号化しない理由の画像
データベースを暗号化しない理由
データベースセキュリティ対策の各対策項目別の実施実態の画像
データベースセキュリティ対策の各対策項目別の実施実態
不正可能性は、愛着要因 (自分の会社に情緒的な愛着を持っていること) による影響はみられなかったの画像
不正可能性は、愛着要因 (自分の会社に情緒的な愛着を持っていること) による影響はみられなかった
今年2014年7月に発覚した教育系企業の大規模情報漏えい事件で注目が集まるデータベースセキュリティ。特にデータベース管理者(DBA) による内部不正への対策はセキュリティの最大の関心事となっています。

データベースセキュリティの対策状況 及び DBAの方々がどんな意識で運用や開発に関わっているかについて、DBA 1,000 人に対して2013年3月23日~3月24日に行ったアンケート「DBA 実態調査」の分析結果をまとめた報告書が、データベースセキュリティの普及促進を図る業界団体「データベース・セキュリティ・コンソーシアム(DBSC)」から2014年9月10日に公開されました。

「DBA 実態調査」WGのメンバーとして、本調査結果のサマリーとともに調査を行った背景や考察をご紹介します。

●データベース管理者(DBA) に対する意識調査を行うことになった背景

個人情報や知的財産などの重要な機密情報の漏えい事件は国内外を問わず繰り返されてきました。最近大きな話題となっている教育系企業の大規模情報漏えい事件 (データベース管理者権限を使った大量の顧客情報の不正取得、「名簿屋」への転売) のような内部犯行による不正も継続的に起きています。2014年を見ただけでも、都市銀行でATMの保守会社の従業員が保守作業で不正にカード情報を入手して偽造カードを作った、大手製造業で半導体メモリに関する研究データが業務提携先の社員によって転職の見返りに協業企業に持ち込まれた、といった事件が起きました。

DBSCでは多くの機密情報が格納されたデータベースのセキュリティ対策の啓蒙、普及促進を進めてきましたが、企業、団体の多くは、データベース層でのセキュリティ対策は後回しとなっていると感じてきました。

しかし、これまで「データベースでの」セキュリティ対策について、大規模に調査したものはなく、データベースの管理者であるDBAのセキュリティへの取組みの実態が見えないといった懸念を持っていました。

そこで、国内におけるリレーショナル・データベースにおけるセキュリティ対策の実施状況を調査し、実態を把握することを第一の目的としました。加えてDBAという、センシティブなデータに最も近い場所にいて、いかようにもデータを扱える権限を与えられた人が、どの程度セキュリティ意識を持って業務に携わっているか、内部不正の可能性があるのか、その要因は何かを探ることを第二の目的として本調査を行うこととなりました。

●データベースでのセキュリティ対策はデータベース管理者(DBA) が必要と思うレベルまで至っていない

データベースにおける外部及び内部からの脅威への技術的対策は、DBAが必要と考えるものが十分に導入されていない実態が明らかになっている。
「DBセグメントへのアクセス制御」は25%で未対応、「脆弱性から守るためのパッチ適用の実行・管理」ができているのは60%未満と、やはりあまり対策がされていない結果となっている。

また、DBA権限の悪用などの内部不正への対策の観点から見てみると、「IDの使い回し」が24.4%、「DBA以外にもDBA権限を与えている」が30%に上る。
それぞれの技術的対策を行っていない理由については、半数は、人的金銭的コスト、性能面への懸念、アプリケーション改修へのリスクなどであるが、「必要性を感じていない」とする割合が、データベースの暗号化で38%や操作履歴のログ取得で49%となっていることから、事故前提での対策に対する認識の点ではまだまだ不十分であることもうかがえる。

●データベース管理者(DBA) の 10%が「情報を売り渡すかも知れない」

「将来、データベースに格納されている情報をこっそり売却するかもしれない」と思うかの設問では、「そう思う」「ややそう思う」との回答が10%を超えていた。また、「将来、データベースを壊して業務を妨害することがあるかもしれない」などの設問でも同様の結果となっている。DBAの10%以上も内部不正をする可能性があると回答したことは、予想以上にリスクが潜在していることを改めて浮き彫りにしている。

今回の調査では、不正行為の可能性とともに職場環境や満足度、帰属意識などの調査もあわせて行い、不正行為にどのような要因が影響する可能性が高いのかについても分析している。

従来の年功序列や長期雇用といった日本的雇用形態を支持する場合や周囲の目を気にして仕事をするタイプの人である傾向が強い場合は内部不正が起こりにくく、逆に従業員満足度が低い場合には、内部不正が起こりやすい傾向があるということが示唆された結果となった。愛着要因 (自分の会社に情緒的な愛着を持っていること) による影響がみられなかったこと以外は想定通りと言える。数値として示されたものは初めてと思われ、非情に興味深い結果となった。

●DBAの意識と内部不正の関係の分析

実際に起こった内部不正事件の件数を考えると、不正の可能性が現実になる確率は極めて低いと思われる。しかし、内部不正は1件あたりの被害が重篤になりやすい。

昨今の事件でとりざたされたような、(派遣社員、外注とった) DBAの身分に限らず、誰しもが何かのきっかけで不正を行う可能性はあることを理解すべきである。

今回の報告書は1年前の調査の分析結果だが、図らずも昨今の事件を予言するものとなった。改めてデータベースセキュリティを考える契機として、IDの使い回しをしないなどの管理者を含めたID管理・本人認証・アクセス制御・暗号化による防御対策に加えて、操作ログのモニタリングによる内部不正の抑止や早期発見の仕組みづくりを更に推進することを検討いただきたい。
《データベース・セキュリティ・コンソーシアム 安澤弘子》

注目ニュース

icon
内部関係者の不正行為による情報漏えい対策を改めて呼びかけ(IPA)

IPAは、組織の内部関係者の不正行為による情報漏えいを防止するために、セキュリティ対策の見直しを呼びかける発表を行った。

icon
ベネッセ漏えい事故後、約5割の企業が「情報漏えい対策の重要度増した」(デジタルアーツ)

調査によれば、回答者の5人に1人が顧客情報を社外に持ち出した経験があると回答したほか、大規模漏えい事故の後で48.9%が「情報漏えい対策の重要度が増した」と回答した。

icon
システム管理者の内部犯行による情報漏えいを防止(NEC)

 日本電気(NEC)は26日、システム管理者の内部犯行による情報漏えいを防ぐ「内部犯行対策ソリューション」の販売を開始した。

icon

「だが、オレが考えてるのはそういう事じゃない。オレは社内犯罪だった場合、株価操作が目的じゃないと思ってる。移動しながら話ししよう」

icon
内部不正の早期発見に必要なポイントを紹介(デロイト トーマツ サイバーセキュリティ先端研究所)

デロイト トーマツ サイバーセキュリティ先端研究所は、「内部不正」をテーマとした記者向け発表会を開催した。

icon
セキュリティ対策の課題が内部のリスクに移行していることが明らかに(チェック・ポイント)

チェック・ポイントは、国内企業を対象としたセキュリティに関する調査結果を発表した。

icon
日立製作所の社員が国立国会図書館の業務用サーバへ不正にアクセス(国立国会図書館)

 国立国会図書館は15日、館内ネットワークシステム運用管理者である日立製作所の社員が、国立国会図書館の内部情報を不正に閲覧・複写し、取得していたことを公表した。

icon

「ヒューマンエラー」によって「偶然に」なりすましのデジタル証明書が発行された可能性があるという彼らの主張(Snowden が内部告発を行う前でさえ、少々ありえなかったように思われる説明)に対し、セキュリテ...

RSS

特集・連載

研修アクセスランキング

ピックアップフォト