データベースにおける可用性とセキュリティのバランス(ペンタセキュリティシステムズ) | ScanNetSecurity
2020.02.27(木)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

データベースにおける可用性とセキュリティのバランス(ペンタセキュリティシステムズ)

韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

特集 特集
韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

今回は同社のテクニカルエンジニアである美濃部崇氏に、データベースセキュリティの重要性と、製品概要や特徴などについて話を聞いた。


――なぜ今、データベースセキュリティが求められているのでしょうか

現在のITセキュリティは非常に広い分野にまたがっています。ウイルス対策やネットワークセキュリティ、Webアプリケーションの保護は広く認識されていますが、データベースのセキュリティ対策はあまり意識されていないように感じます。たしかにデータベースは外部から見えにくいという面もありますが、企業の中枢部であり、貴重なデータの宝庫です。

データベースは大きく2つの脅威にさらされています。ひとつは外部からの攻撃です。データベースそのものはシステムの内部にあり、外部からは見えにくい位置にあるといっても、企業のWebサイトは、グローバルなインターネットに公開されています。日々増加するWebサイトの攻撃によって、バックエンドのデータベースから顧客情報などが盗まれるといったインシデントは多数発生しています。

もうひとつの脅威は、内部の人間によるデータの漏えいです。データベース管理者がバックアップデータを持ち出したり、重要なデータを意図的にコピーして持ち出すといった事件が発生しています。個人情報は“守るべきも”のとして多くの企業が認識しているにもかかわらず、情報漏えい対策としてのデータベースのセキュリティはほとんど意識されていないのが現状です。


――データベースセキュリティの重要性は意識されにくい理由は

データベースにおいては、パフォーマンスの向上、可用性の確保などが優先順位として高く、セキュリティ意識があまり働かないのが現状のようです。データベースの管理者(DBA)がいても、基本的な目的はテーブル構造などの管理や運用であり、セキュリティは「自分の担当ではない」という考えがあるかもしれません。

海外の企業ではデータベースを含む全社のセキュリティを管理する担当者が存在します。しかし日本企業では、データベースに関する事項はDBAに一任されており、DBAがデータベースに求めるものはセキュリティではないため、自分の仕事であるという認識が生まれないのでしょう。


――「D'Amo」とはどのような製品ですか

D'Amoは、暗号化とアクセスコントロールおよび監査により、データベース内の情報を保護する統合セキュリティソリューションです。プラグイン方式を採用していることが特徴で、これにより、オラクルやマイクロソフトのデータベースへセキュリティ機能の追加導入が容易に実現できます。

データベースへのクエリはD'Amoのモジュールを介して行われます。暗号化をカラム単位で行うため、データベースへの負荷を最小限に抑えることができることも大きな特徴です。たとえばオラクルのデータベースの場合、暗号化カラムの検索時の平均負荷は5~7%です。

さらに、アクセスコントロール機能を搭載しています。一般的にDBAは、すべてのデータにアクセスすることができ、それがデータの持ち出しを許してしまう原因になっていました。しかしD'Amoでは、暗号化権限とデータベースへのアクセス権限を分離して管理することが可能です。これによりDBAは、テーブルの検索などはできても暗号化されたデータを復号することはできず、情報漏えいの抑止につながります。

ただし、暗号化による情報の保護は暗号化キーの管理が適切に行われていることが前提です。どんなに強固なアルゴリズムで暗号化していても、キーがあれば復号化されるリスクを伴います。万が一キーを紛失してしまったり、担当者の変更によりキーを紛失してしまう場合もあります。そこで、キーを管理することは、セキュリティ管理者において、暗号化にひも付いた重要なタスクであるという点を強調しておきます。


――日本ならではの機能や導入実績について教えてください

管理コンソールのインタフェースや、ドキュメントはすべて日本語にローカライズされています。また、サポートも日本の代理店が対応します。代理店だけでは解決が困難な場合は、当社と韓国の本社が連携しながら解決にあたります。

 製品を日本で最初に導入してから5年ほどになり、導入事例も増えています。たとえばある官公庁ではD'Amoを検証いただいた結果「わかりやすく、セキュリティと可用性のバランスが取れている」という評価をいただきました。また、製造業では、システムのクラウド移行の際に、D'Amoを合わせて展開し、これによりクラウド上のデータベースにも強固な暗号化を実現しています。


――今後の展開について教えてください

 何よりも、データベースセキュリティへの意識を高めたいと考えています。そのためにはデータベースのエンジニアや管理者に直接訴求するのではなく、企業のセキュリティ意識を高めることが重要です。企業全体としてどのようなセキュリティが必要かを考えたときに、データベースセキュリティがひとつの選択肢としてあがることを望んでいます。そのための啓発活動には積極的に取り組みます。

 製品については、ひとつは組み込み型のパッケージ製品という特徴をアプローチしていきます。たとえば人事管理システムのベンダと協業してD'Amoを組み込むなどの提案です。また、既存のデータベースにプラグインとして導入可能なメリットを活かして、中小規模の企業にも販路を拡大したいです。

 さらに、オープンソースへの対応要望をうけて、MySQLに対応した「My D'Amo」の販売も開始しました。無料の評価版を用意していますので、まずは使っていただくことでオープンソースを活用している企業にも暗号化を検討していただきたいです。

 また暗号化キーの管理において、本国では統合的なキー管理のための専用アプライアンスも提供しています。日本では暗号化の意識を高めることが先決ですが、意識が高まってきたら、次のステップとしてキー管理アプライアンスの日本展開も視野に入れています。今後も市場を見ながら、暗号化とセキュリティの啓発活動をしていきます。


――ありがとうございました
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

リコー製プリンタおよびドライバに複数の脆弱性(JVN) 画像

リコー製プリンタおよびドライバに複数の脆弱性(JVN)
「ZyXEL NAS」に任意のコマンドを実行される脆弱性(JVN) 画像

「ZyXEL NAS」に任意のコマンドを実行される脆弱性(JVN)
「Apache Tomcat」に複数の脆弱性、CVE-2020-1938には注意喚起も(JVN) 画像

「Apache Tomcat」に複数の脆弱性、CVE-2020-1938には注意喚起も(JVN)
2019年Q4フィッシング「緊急あおるパスワード変更依頼」最多(KnowBe4 Japan) 画像

2019年Q4フィッシング「緊急あおるパスワード変更依頼」最多(KnowBe4 Japan)
「TMVP」にDLL Side-Loadingに関する脆弱性(トレンドマイクロ) 画像

「TMVP」にDLL Side-Loadingに関する脆弱性(トレンドマイクロ)
複数の製品にDLLハイジャックの脆弱性(トレンドマイクロ) 画像

複数の製品にDLLハイジャックの脆弱性(トレンドマイクロ)

インシデント・事故 記事一覧へ

カード会員向けWebサイトへ不正ログイン、アクセス元の通信は遮断済(トヨタファイナンス) 画像

カード会員向けWebサイトへ不正ログイン、アクセス元の通信は遮断済(トヨタファイナンス)
ネットストアへ不正アクセス、2018年12月から半年分の決済情報流出(恋する豚研究所) 画像

ネットストアへ不正アクセス、2018年12月から半年分の決済情報流出(恋する豚研究所)
「世界のワイン葡萄屋」に不正アクセス、658名分のカード情報が流出(フィオーロ) 画像

「世界のワイン葡萄屋」に不正アクセス、658名分のカード情報が流出(フィオーロ)
不正アクセスで12月からサービス停止「ハッピー・ホテル」、一部機能のみ先行し再開(アルメックス) 画像

不正アクセスで12月からサービス停止「ハッピー・ホテル」、一部機能のみ先行し再開(アルメックス)
USBメモリ紛失も公表日の夜に無事発見(セントラル警備保障) 画像

USBメモリ紛失も公表日の夜に無事発見(セントラル警備保障)
大学入試受験者へ面接案内誤送信、200名のアドレス流出(琉球大学) 画像

大学入試受験者へ面接案内誤送信、200名のアドレス流出(琉球大学)

調査・レポート・白書 記事一覧へ

アクセス観測状況、2020年1月期はDoS攻撃被害検知が12%増加(警察庁) 画像

アクセス観測状況、2020年1月期はDoS攻撃被害検知が12%増加(警察庁)
2019年後半、消費税増税に伴うシステム障害29件を含む89件発生(IPA) 画像

2019年後半、消費税増税に伴うシステム障害29件を含む89件発生(IPA)
6割が過去に入手した認証情報で侵入、OTへの攻撃は前年の20倍に(日本IBM) 画像

6割が過去に入手した認証情報で侵入、OTへの攻撃は前年の20倍に(日本IBM)
Webサイトで検知されるスキミング用ファイルが急増(カスペルスキー) 画像

Webサイトで検知されるスキミング用ファイルが急増(カスペルスキー)
Telnetへの攻撃がわずかに増加、引き続きIoT機器を狙う攻撃が顕著(NICT) 画像

Telnetへの攻撃がわずかに増加、引き続きIoT機器を狙う攻撃が顕著(NICT)
不正アクセス原因「設定不備」と並び「不明」もトップ、究明の難しさ反映(IPA) 画像

不正アクセス原因「設定不備」と並び「不明」もトップ、究明の難しさ反映(IPA)

研修・セミナー・カンファレンス 記事一覧へ

米南部文化「ミミズ集め競争」を応用、マルウェア視点の研究成果 画像

米南部文化「ミミズ集め競争」を応用、マルウェア視点の研究成果
安心・安全なインターネット利用に関する2つの講座を無料提供(ドコモgacco) 画像

安心・安全なインターネット利用に関する2つの講座を無料提供(ドコモgacco)
厳格化するサイバー規制とダークウェブ活動、そこに相関は? 画像

厳格化するサイバー規制とダークウェブ活動、そこに相関は?
自販機のキャッシュレス決済の未来、専門セミナーに瀬田氏登壇(fjコンサルティング) 画像

自販機のキャッシュレス決済の未来、専門セミナーに瀬田氏登壇(fjコンサルティング)
さらに高くなったハードルを超えてきた?~ 学生らの素晴らしいポテンシャルが垣間見えた MBSD Cybersecurity Challanges 2019 画像

さらに高くなったハードルを超えてきた?~ 学生らの素晴らしいポテンシャルが垣間見えた MBSD Cybersecurity Challanges 2019
今年も10月29,30日 渋谷開催(CODE BLUE 実行委員会) 画像

今年も10月29,30日 渋谷開催(CODE BLUE 実行委員会)

製品・サービス・業界動向 記事一覧へ

クラウド型WAFがEC-CUBE設定ミスに対応(グレスアベイル、EGセキュアソリューションズ) 画像

クラウド型WAFがEC-CUBE設定ミスに対応(グレスアベイル、EGセキュアソリューションズ)
教育メニューにNRIセキュアの「セキュアEggs」を追加(GSX) 画像

教育メニューにNRIセキュアの「セキュアEggs」を追加(GSX)
SSD対応のデータ消去・物理破壊機と管理ソフト発売(オリエントコンピュータ) 画像

SSD対応のデータ消去・物理破壊機と管理ソフト発売(オリエントコンピュータ)
国際的に広がるデータ保護規制が生むビジネス上のリスク対応支援(パロアルトネットワークス、TMI P&S) 画像

国際的に広がるデータ保護規制が生むビジネス上のリスク対応支援(パロアルトネットワークス、TMI P&S)
企業の不祥事や企業犯罪など調査・対応、平時と有事で展開(TMI P&S、FRONTEO) 画像

企業の不祥事や企業犯罪など調査・対応、平時と有事で展開(TMI P&S、FRONTEO)
ハードディスクのデータ消去メニューに「磁気消去」「物理破壊」を追加(AOSデータ) 画像

ハードディスクのデータ消去メニューに「磁気消去」「物理破壊」を追加(AOSデータ)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
訂正謝罪記事:フェイクインタビュー記事配信について 画像

訂正謝罪記事:フェイクインタビュー記事配信について
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×