データベースにおける可用性とセキュリティのバランス(ペンタセキュリティシステムズ) | ScanNetSecurity
2019.10.15(火)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

データベースにおける可用性とセキュリティのバランス(ペンタセキュリティシステムズ)

韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

特集 特集
韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

今回は同社のテクニカルエンジニアである美濃部崇氏に、データベースセキュリティの重要性と、製品概要や特徴などについて話を聞いた。


――なぜ今、データベースセキュリティが求められているのでしょうか

現在のITセキュリティは非常に広い分野にまたがっています。ウイルス対策やネットワークセキュリティ、Webアプリケーションの保護は広く認識されていますが、データベースのセキュリティ対策はあまり意識されていないように感じます。たしかにデータベースは外部から見えにくいという面もありますが、企業の中枢部であり、貴重なデータの宝庫です。

データベースは大きく2つの脅威にさらされています。ひとつは外部からの攻撃です。データベースそのものはシステムの内部にあり、外部からは見えにくい位置にあるといっても、企業のWebサイトは、グローバルなインターネットに公開されています。日々増加するWebサイトの攻撃によって、バックエンドのデータベースから顧客情報などが盗まれるといったインシデントは多数発生しています。

もうひとつの脅威は、内部の人間によるデータの漏えいです。データベース管理者がバックアップデータを持ち出したり、重要なデータを意図的にコピーして持ち出すといった事件が発生しています。個人情報は“守るべきも”のとして多くの企業が認識しているにもかかわらず、情報漏えい対策としてのデータベースのセキュリティはほとんど意識されていないのが現状です。


――データベースセキュリティの重要性は意識されにくい理由は

データベースにおいては、パフォーマンスの向上、可用性の確保などが優先順位として高く、セキュリティ意識があまり働かないのが現状のようです。データベースの管理者(DBA)がいても、基本的な目的はテーブル構造などの管理や運用であり、セキュリティは「自分の担当ではない」という考えがあるかもしれません。

海外の企業ではデータベースを含む全社のセキュリティを管理する担当者が存在します。しかし日本企業では、データベースに関する事項はDBAに一任されており、DBAがデータベースに求めるものはセキュリティではないため、自分の仕事であるという認識が生まれないのでしょう。


――「D'Amo」とはどのような製品ですか

D'Amoは、暗号化とアクセスコントロールおよび監査により、データベース内の情報を保護する統合セキュリティソリューションです。プラグイン方式を採用していることが特徴で、これにより、オラクルやマイクロソフトのデータベースへセキュリティ機能の追加導入が容易に実現できます。

データベースへのクエリはD'Amoのモジュールを介して行われます。暗号化をカラム単位で行うため、データベースへの負荷を最小限に抑えることができることも大きな特徴です。たとえばオラクルのデータベースの場合、暗号化カラムの検索時の平均負荷は5~7%です。

さらに、アクセスコントロール機能を搭載しています。一般的にDBAは、すべてのデータにアクセスすることができ、それがデータの持ち出しを許してしまう原因になっていました。しかしD'Amoでは、暗号化権限とデータベースへのアクセス権限を分離して管理することが可能です。これによりDBAは、テーブルの検索などはできても暗号化されたデータを復号することはできず、情報漏えいの抑止につながります。

ただし、暗号化による情報の保護は暗号化キーの管理が適切に行われていることが前提です。どんなに強固なアルゴリズムで暗号化していても、キーがあれば復号化されるリスクを伴います。万が一キーを紛失してしまったり、担当者の変更によりキーを紛失してしまう場合もあります。そこで、キーを管理することは、セキュリティ管理者において、暗号化にひも付いた重要なタスクであるという点を強調しておきます。


――日本ならではの機能や導入実績について教えてください

管理コンソールのインタフェースや、ドキュメントはすべて日本語にローカライズされています。また、サポートも日本の代理店が対応します。代理店だけでは解決が困難な場合は、当社と韓国の本社が連携しながら解決にあたります。

 製品を日本で最初に導入してから5年ほどになり、導入事例も増えています。たとえばある官公庁ではD'Amoを検証いただいた結果「わかりやすく、セキュリティと可用性のバランスが取れている」という評価をいただきました。また、製造業では、システムのクラウド移行の際に、D'Amoを合わせて展開し、これによりクラウド上のデータベースにも強固な暗号化を実現しています。


――今後の展開について教えてください

 何よりも、データベースセキュリティへの意識を高めたいと考えています。そのためにはデータベースのエンジニアや管理者に直接訴求するのではなく、企業のセキュリティ意識を高めることが重要です。企業全体としてどのようなセキュリティが必要かを考えたときに、データベースセキュリティがひとつの選択肢としてあがることを望んでいます。そのための啓発活動には積極的に取り組みます。

 製品については、ひとつは組み込み型のパッケージ製品という特徴をアプローチしていきます。たとえば人事管理システムのベンダと協業してD'Amoを組み込むなどの提案です。また、既存のデータベースにプラグインとして導入可能なメリットを活かして、中小規模の企業にも販路を拡大したいです。

 さらに、オープンソースへの対応要望をうけて、MySQLに対応した「My D'Amo」の販売も開始しました。無料の評価版を用意していますので、まずは使っていただくことでオープンソースを活用している企業にも暗号化を検討していただきたいです。

 また暗号化キーの管理において、本国では統合的なキー管理のための専用アプライアンスも提供しています。日本では暗号化の意識を高めることが先決ですが、意識が高まってきたら、次のステップとしてキー管理アプライアンスの日本展開も視野に入れています。今後も市場を見ながら、暗号化とセキュリティの啓発活動をしていきます。


――ありがとうございました
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

WordPress用「wpDataTables Lite」に複数の脆弱性(JVN) 画像

WordPress用「wpDataTables Lite」に複数の脆弱性(JVN)
「iTerm2」にリモートから任意のコマンドを実行される脆弱性(JVN) 画像

「iTerm2」にリモートから任意のコマンドを実行される脆弱性(JVN)
Intelが3件のアドバイザリを公開、アップデートを呼びかけ(JVN) 画像

Intelが3件のアドバイザリを公開、アップデートを呼びかけ(JVN)
AppleがmacOS、iOS、iCloudのセキュリティアップデート公開(JVN) 画像

AppleがmacOS、iOS、iCloudのセキュリティアップデート公開(JVN)
マイクロソフトが月例セキュリティ情報を公開、対象は9製品(IPA、JPCERT/CC) 画像

マイクロソフトが月例セキュリティ情報を公開、対象は9製品(IPA、JPCERT/CC)
Wi-Fiアクセスポイント「DBA-1510P」に複数の脆弱性(JVN) 画像

Wi-Fiアクセスポイント「DBA-1510P」に複数の脆弱性(JVN)

インシデント・事故 記事一覧へ

5月発生の不正アクセスで流出したメールアドレスへの攻撃を再び確認(多摩北部医療センター) 画像

5月発生の不正アクセスで流出したメールアドレスへの攻撃を再び確認(多摩北部医療センター)
「心とからだの健康観察」集計用紙を図画工作の授業で誤って使用(熊本市) 画像

「心とからだの健康観察」集計用紙を図画工作の授業で誤って使用(熊本市)
北区楠支所区民福祉課にて生活保護受給者の個人情報を含む文書を紛失(名古屋市) 画像

北区楠支所区民福祉課にて生活保護受給者の個人情報を含む文書を紛失(名古屋市)
国民健康保険事務に係る文書の送付時に誤って別人の国民年金システムの画面コピーが混入(名古屋市) 画像

国民健康保険事務に係る文書の送付時に誤って別人の国民年金システムの画面コピーが混入(名古屋市)
教員へのフィッシングメール、攻撃者が251通のメール情報を閲覧可能状態に(金沢大学) 画像

教員へのフィッシングメール、攻撃者が251通のメール情報を閲覧可能状態に(金沢大学)
別の患者に検査結果報告書を誤って交付(新潟県) 画像

別の患者に検査結果報告書を誤って交付(新潟県)

調査・レポート・白書 記事一覧へ

旅館業を狙うSQLインジェクション攻撃を多数検知(ラック) 画像

旅館業を狙うSQLインジェクション攻撃を多数検知(ラック)
日本企業、サイバーセキュリティの最大の不満は「予算不足」(ソフォス) 画像

日本企業、サイバーセキュリティの最大の不満は「予算不足」(ソフォス)
ラテラルフィッシング攻撃の詳細を調査したレポート公開(バラクーダネットワークス) 画像

ラテラルフィッシング攻撃の詳細を調査したレポート公開(バラクーダネットワークス)
産業制御システムへの攻撃にも使えるツールが一般サイトで販売(トレンドマイクロ) 画像

産業制御システムへの攻撃にも使えるツールが一般サイトで販売(トレンドマイクロ)
オンラインバンキング不正引き出し、個人被害減少するも依然高い水準(全銀協) 画像

オンラインバンキング不正引き出し、個人被害減少するも依然高い水準(全銀協)
2019年前半、改元に伴うシステム改修で大規模障害17件発生(IPA) 画像

2019年前半、改元に伴うシステム改修で大規模障害17件発生(IPA)

研修・セミナー・カンファレンス 記事一覧へ

「CYBER DEFENSE LIVE TOKYO 2019」を11月14日に開催(ファイア・アイ) 画像

「CYBER DEFENSE LIVE TOKYO 2019」を11月14日に開催(ファイア・アイ)
PCI DSSの要件を満たすWebアプリのペネトレーションテストとは、研修コース開催(fjコンサルティング) 画像

PCI DSSの要件を満たすWebアプリのペネトレーションテストとは、研修コース開催(fjコンサルティング)
未来はAIでも予測不能:セキュリティ対策で問われる「パスカルの賭け」 画像

未来はAIでも予測不能:セキュリティ対策で問われる「パスカルの賭け」
今年は2日間、JPAAWG第2回ジェネラルミーティング11月14、15日に開催 画像

今年は2日間、JPAAWG第2回ジェネラルミーティング11月14、15日に開催
ソリトン認証伝説 第二章「クラウド ID 管理編」堂々スタート 画像

ソリトン認証伝説 第二章「クラウド ID 管理編」堂々スタート
「Trend Micro DIRECTION」の全講演を発表(トレンドマイクロ) 画像

「Trend Micro DIRECTION」の全講演を発表(トレンドマイクロ)

製品・サービス・業界動向 記事一覧へ

個人情報の誤表示についてAmazonへ注意(個人情報保護委員会) 画像

個人情報の誤表示についてAmazonへ注意(個人情報保護委員会)
サプライチェーンを含みセキュリティ対策状況を可視化するサービス(CTC) 画像

サプライチェーンを含みセキュリティ対策状況を可視化するサービス(CTC)
IoT向けにプログラム改ざん検知ソフト、容量3KB(NEC) 画像

IoT向けにプログラム改ざん検知ソフト、容量3KB(NEC)
故 山口英氏、インターネットの殿堂入り(JPCERT/CC) 画像

故 山口英氏、インターネットの殿堂入り(JPCERT/CC)
IoT技術研究室をスピンアウト、株式会社ゼロゼロワンを設立(ココン) 画像

IoT技術研究室をスピンアウト、株式会社ゼロゼロワンを設立(ココン)
複数のメール誤送信対策が行えるOutlook用アドインツール(ライフボート) 画像

複数のメール誤送信対策が行えるOutlook用アドインツール(ライフボート)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了) 画像

【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了)
Page Top
★★10/8~11/30迄 創刊21周年記念価格提供中★★
★★10/8~11/30迄 創刊21周年記念価格提供中★★

2019年10月8日(火)~11月30日(土) の間 ScanNetSecurity 創刊21周年記念価格で提供。
×