2016.06.27(月)

データベース管理者(DBA)による内部不正を考える~DBA1,000人へのアンケート調査報告書から

研修・セミナー・カンファレンス セミナー・イベント

今年2014年7月に発覚した教育系企業の大規模情報漏えい事件で注目が集まるデータベースセキュリティ。特にデータベース管理者(DBA) による内部不正への対策はセキュリティの最大の関心事となっています。

データベースセキュリティの対策状況 及び DBAの方々がどんな意識で運用や開発に関わっているかについて、DBA 1,000 人に対して2013年3月23日~3月24日に行ったアンケート「DBA 実態調査」の分析結果をまとめた報告書が、データベースセキュリティの普及促進を図る業界団体「データベース・セキュリティ・コンソーシアム(DBSC)」から2014年9月10日に公開されました。

「DBA 実態調査」WGのメンバーとして、本調査結果のサマリーとともに調査を行った背景や考察をご紹介します。

●データベース管理者(DBA) に対する意識調査を行うことになった背景

個人情報や知的財産などの重要な機密情報の漏えい事件は国内外を問わず繰り返されてきました。最近大きな話題となっている教育系企業の大規模情報漏えい事件 (データベース管理者権限を使った大量の顧客情報の不正取得、「名簿屋」への転売) のような内部犯行による不正も継続的に起きています。2014年を見ただけでも、都市銀行でATMの保守会社の従業員が保守作業で不正にカード情報を入手して偽造カードを作った、大手製造業で半導体メモリに関する研究データが業務提携先の社員によって転職の見返りに協業企業に持ち込まれた、といった事件が起きました。

DBSCでは多くの機密情報が格納されたデータベースのセキュリティ対策の啓蒙、普及促進を進めてきましたが、企業、団体の多くは、データベース層でのセキュリティ対策は後回しとなっていると感じてきました。

しかし、これまで「データベースでの」セキュリティ対策について、大規模に調査したものはなく、データベースの管理者であるDBAのセキュリティへの取組みの実態が見えないといった懸念を持っていました。

そこで、国内におけるリレーショナル・データベースにおけるセキュリティ対策の実施状況を調査し、実態を把握することを第一の目的としました。加えてDBAという、センシティブなデータに最も近い場所にいて、いかようにもデータを扱える権限を与えられた人が、どの程度セキュリティ意識を持って業務に携わっているか、内部不正の可能性があるのか、その要因は何かを探ることを第二の目的として本調査を行うこととなりました。

●データベースでのセキュリティ対策はデータベース管理者(DBA) が必要と思うレベルまで至っていない

データベースにおける外部及び内部からの脅威への技術的対策は、DBAが必要と考えるものが十分に導入されていない実態が明らかになっている。
「DBセグメントへのアクセス制御」は25%で未対応、「脆弱性から守るためのパッチ適用の実行・管理」ができているのは60%未満と、やはりあまり対策がされていない結果となっている。

また、DBA権限の悪用などの内部不正への対策の観点から見てみると、「IDの使い回し」が24.4%、「DBA以外にもDBA権限を与えている」が30%に上る。
それぞれの技術的対策を行っていない理由については、半数は、人的金銭的コスト、性能面への懸念、アプリケーション改修へのリスクなどであるが、「必要性を感じていない」とする割合が、データベースの暗号化で38%や操作履歴のログ取得で49%となっていることから、事故前提での対策に対する認識の点ではまだまだ不十分であることもうかがえる。

●データベース管理者(DBA) の 10%が「情報を売り渡すかも知れない」

「将来、データベースに格納されている情報をこっそり売却するかもしれない」と思うかの設問では、「そう思う」「ややそう思う」との回答が10%を超えていた。また、「将来、データベースを壊して業務を妨害することがあるかもしれない」などの設問でも同様の結果となっている。DBAの10%以上も内部不正をする可能性があると回答したことは、予想以上にリスクが潜在していることを改めて浮き彫りにしている。

今回の調査では、不正行為の可能性とともに職場環境や満足度、帰属意識などの調査もあわせて行い、不正行為にどのような要因が影響する可能性が高いのかについても分析している。

従来の年功序列や長期雇用といった日本的雇用形態を支持する場合や周囲の目を気にして仕事をするタイプの人である傾向が強い場合は内部不正が起こりにくく、逆に従業員満足度が低い場合には、内部不正が起こりやすい傾向があるということが示唆された結果となった。愛着要因 (自分の会社に情緒的な愛着を持っていること) による影響がみられなかったこと以外は想定通りと言える。数値として示されたものは初めてと思われ、非情に興味深い結果となった。

●DBAの意識と内部不正の関係の分析

実際に起こった内部不正事件の件数を考えると、不正の可能性が現実になる確率は極めて低いと思われる。しかし、内部不正は1件あたりの被害が重篤になりやすい。

昨今の事件でとりざたされたような、(派遣社員、外注とった) DBAの身分に限らず、誰しもが何かのきっかけで不正を行う可能性はあることを理解すべきである。

今回の報告書は1年前の調査の分析結果だが、図らずも昨今の事件を予言するものとなった。改めてデータベースセキュリティを考える契機として、IDの使い回しをしないなどの管理者を含めたID管理・本人認証・アクセス制御・暗号化による防御対策に加えて、操作ログのモニタリングによる内部不正の抑止や早期発見の仕組みづくりを更に推進することを検討いただきたい。
《データベース・セキュリティ・コンソーシアム 安澤弘子》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. サイバーインシデント対応にはいくらかかる? 費用試算詳細とサイバーセキュリティ保険加入状況、保険料例

    サイバーインシデント対応にはいくらかかる? 費用試算詳細とサイバーセキュリティ保険加入状況、保険料例

  2. [RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く

    [RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く

  3. セキュリティ・キャンプの参加者51名が決定、最年少は15歳(IPA)

    セキュリティ・キャンプの参加者51名が決定、最年少は15歳(IPA)

  4. [Black Hat USA 2015] “無名”の日本のサイバーセキュリティ製品が Black Hat に挑戦するまで

  5. IoT時代のセキュリティ:課題は異業種連携の隙間――スマートフォンセキュリティ・シンポジウム2015

  6. 災害時における情報の集約と一元化を実現、チェックリストで対処の進捗も把握(富士通)

  7. [Black Hat USA 2015] バイナリ解析とシンボリック実行で脆弱性を探し出す「angr」

  8. 「セキュリティ・キャンプ全国大会2016」募集開始、世情を反映し内容も更新(IPA)

  9. CODE BLUE 第 3 回をふりかえって~ BLUE 篠田佳奈氏インタビュー

  10. 「第26回まっちゃ139勉強会」「Interop Tokyo 2013」他(セミナー情報)

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×