データベースにおける可用性とセキュリティのバランス（ペンタセキュリティシステムズ）

韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

特集特集

2014年4月17日（木） 11時35分

韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

今回は同社のテクニカルエンジニアである美濃部崇氏に、データベースセキュリティの重要性と、製品概要や特徴などについて話を聞いた。

――なぜ今、データベースセキュリティが求められているのでしょうか

現在のITセキュリティは非常に広い分野にまたがっています。ウイルス対策やネットワークセキュリティ、Webアプリケーションの保護は広く認識されていますが、データベースのセキュリティ対策はあまり意識されていないように感じます。たしかにデータベースは外部から見えにくいという面もありますが、企業の中枢部であり、貴重なデータの宝庫です。

データベースは大きく2つの脅威にさらされています。ひとつは外部からの攻撃です。データベースそのものはシステムの内部にあり、外部からは見えにくい位置にあるといっても、企業のＷｅｂサイトは、グローバルなインターネットに公開されています。日々増加するＷｅｂサイトの攻撃によって、バックエンドのデータベースから顧客情報などが盗まれるといったインシデントは多数発生しています。

もうひとつの脅威は、内部の人間によるデータの漏えいです。データベース管理者がバックアップデータを持ち出したり、重要なデータを意図的にコピーして持ち出すといった事件が発生しています。個人情報は“守るべきも”のとして多くの企業が認識しているにもかかわらず、情報漏えい対策としてのデータベースのセキュリティはほとんど意識されていないのが現状です。

――データベースセキュリティの重要性は意識されにくい理由は

データベースにおいては、パフォーマンスの向上、可用性の確保などが優先順位として高く、セキュリティ意識があまり働かないのが現状のようです。データベースの管理者（DBA）がいても、基本的な目的はテーブル構造などの管理や運用であり、セキュリティは「自分の担当ではない」という考えがあるかもしれません。

海外の企業ではデータベースを含む全社のセキュリティを管理する担当者が存在します。しかし日本企業では、データベースに関する事項はDBAに一任されており、DBAがデータベースに求めるものはセキュリティではないため、自分の仕事であるという認識が生まれないのでしょう。

――「D'Amo」とはどのような製品ですか

D'Amoは、暗号化とアクセスコントロールおよび監査により、データベース内の情報を保護する統合セキュリティソリューションです。プラグイン方式を採用していることが特徴で、これにより、オラクルやマイクロソフトのデータベースへセキュリティ機能の追加導入が容易に実現できます。

データベースへのクエリはD'Amoのモジュールを介して行われます。暗号化をカラム単位で行うため、データベースへの負荷を最小限に抑えることができることも大きな特徴です。たとえばオラクルのデータベースの場合、暗号化カラムの検索時の平均負荷は5～7％です。

さらに、アクセスコントロール機能を搭載しています。一般的にDBAは、すべてのデータにアクセスすることができ、それがデータの持ち出しを許してしまう原因になっていました。しかしD'Amoでは、暗号化権限とデータベースへのアクセス権限を分離して管理することが可能です。これによりDBAは、テーブルの検索などはできても暗号化されたデータを復号することはできず、情報漏えいの抑止につながります。

ただし、暗号化による情報の保護は暗号化キーの管理が適切に行われていることが前提です。どんなに強固なアルゴリズムで暗号化していても、キーがあれば復号化されるリスクを伴います。万が一キーを紛失してしまったり、担当者の変更によりキーを紛失してしまう場合もあります。そこで、キーを管理することは、セキュリティ管理者において、暗号化にひも付いた重要なタスクであるという点を強調しておきます。

――日本ならではの機能や導入実績について教えてください

管理コンソールのインタフェースや、ドキュメントはすべて日本語にローカライズされています。また、サポートも日本の代理店が対応します。代理店だけでは解決が困難な場合は、当社と韓国の本社が連携しながら解決にあたります。

　製品を日本で最初に導入してから５年ほどになり、導入事例も増えています。たとえばある官公庁ではD'Amoを検証いただいた結果「わかりやすく、セキュリティと可用性のバランスが取れている」という評価をいただきました。また、製造業では、システムのクラウド移行の際に、D'Amoを合わせて展開し、これによりクラウド上のデータベースにも強固な暗号化を実現しています。

――今後の展開について教えてください

　何よりも、データベースセキュリティへの意識を高めたいと考えています。そのためにはデータベースのエンジニアや管理者に直接訴求するのではなく、企業のセキュリティ意識を高めることが重要です。企業全体としてどのようなセキュリティが必要かを考えたときに、データベースセキュリティがひとつの選択肢としてあがることを望んでいます。そのための啓発活動には積極的に取り組みます。

　製品については、ひとつは組み込み型のパッケージ製品という特徴をアプローチしていきます。たとえば人事管理システムのベンダと協業してD'Amoを組み込むなどの提案です。また、既存のデータベースにプラグインとして導入可能なメリットを活かして、中小規模の企業にも販路を拡大したいです。

　さらに、オープンソースへの対応要望をうけて、MySQLに対応した「My D'Amo」の販売も開始しました。無料の評価版を用意していますので、まずは使っていただくことでオープンソースを活用している企業にも暗号化を検討していただきたいです。

　また暗号化キーの管理において、本国では統合的なキー管理のための専用アプライアンスも提供しています。日本では暗号化の意識を高めることが先決ですが、意識が高まってきたら、次のステップとしてキー管理アプライアンスの日本展開も視野に入れています。今後も市場を見ながら、暗号化とセキュリティの啓発活動をしていきます。

――ありがとうございました

データベースにおける可用性とセキュリティのバランス（ペンタセキュリティシステムズ）

関連記事

Scan PREMIUM 会員限定記事

ニュージーランド乱射事件犯人、同程度の時間かけ SNS 拡散を準備～ソーシャルメディアが作った世界

ネット世論操作の現状とこれから～アメリカ上院情報活動特別委員会に提出された 2 つのレポート：第 2 回「 IRA はネット広告代理店のように活動している～ New Knowledge 社が暴いた IRA の 12 の戦術」

Nagios XI において RSS 機能の実装不備と sudo 権限の設定不備を悪用して遠隔から管理者権限で任意のコードが実行可能となる脆弱性（Scan Tech Report）

x86 アーキテクチャの不可解な「仕様」

ソース・関連リンク

カテゴリ別新着記事

関連記事

Scan PREMIUM 会員限定記事

ニュージーランド乱射事件犯人、同程度の時間かけ SNS 拡散を準備 ～ ソーシャルメディアが作った世界

ネット世論操作の現状とこれから ～ アメリカ上院情報活動特別委員会に提出された 2 つのレポート：第 2 回「 IRA はネット広告代理店のように活動している ～ New Knowledge 社が暴いた IRA の 12 の戦術」

Nagios XI において RSS 機能の実装不備と sudo 権限の設定不備を悪用して遠隔から管理者権限で任意のコードが実行可能となる脆弱性（Scan Tech Report）

x86 アーキテクチャの不可解な「仕様」

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「PowerDNS Authoritative Server」にDoS攻撃を受けるなどの脆弱性（JPRS）

iOSアプリ「an」に、情報漏えいの脆弱性（JVN）

「簡易CMS紀永」にシステム上の情報の取得や改ざんをされる脆弱性（JVN）

Intelが複数製品のアップデートを公開、対応を呼びかけ（JVN）

月例セキュリティ情報を公開、10種の製品を更新（IPA、JPCERT/CC）

サーバへの攻撃が増加、WordPressへの攻撃も2018年12月に急増（JP-Secure）

インシデント・事故 記事一覧へ

不正アクセスによる改ざんで情報調査室ホームページと文献情報総合検索システムが2ヶ月間停止（広島大学高等教育研究開発センター）

不正アクセスで手帳アプリ「Lifebear」のアカウント情報が流出の可能性（ライフベア）

市内中学校の教諭が個人情報を含んだ授業ファイル1冊を紛失（尾道市）

予約システム「Coubic」に不正アクセス、登録された個人情報が流出（クービック）

個人情報を含む「動物返還申請書」の一部を紛失（神奈川県）

「OSHIMA PROJECT～53万坪の土地を活かせ！～IDEA CONTEST」でメール誤送信、応募者のアドレスが流出（公募ガイド社）

調査・レポート・白書 記事一覧へ

お勧めIoTセキュリティガイドライン5種--診断レポート（ラック）

ネット世論操作の現状とこれから ～ アメリカ上院情報活動特別委員会に提出された 2 つのレポート：第 2 回「 IRA はネット広告代理店のように活動している ～ New Knowledge 社が暴いた IRA の 12 の戦術」

IoT機器へのエクスプロイトが急増--脅威レポート（フォーティネットジャパン）

サイバー保険の認知率、サイバー攻撃への危機意識とともに調査（日本損害保険協会）

個人の不正払い戻しの被害は減少傾向が続く（全銀協）

検出ゼロの22％、攻撃を可視化できていないだけの可能性（エフセキュア）

研修・セミナー・カンファレンス 記事一覧へ

x86 アーキテクチャの不可解な「仕様」

車検証の電子化に向けてセキュリティ面を含めた技術的要件を検討（国土交通省）

西本逸郎の最近の頭の中

民間対民間のサイバー時代の終焉 ～ サイバーリーズン エバンジェリスト 増田幸美氏

「マルウェア完全に理解した」キヤノンマーケティングジャパン社マルウェアラボのお仕事

法人の無線 LAN セキュリティ対策、たったひとつの冴えたやりかた

製品・サービス・業界動向 記事一覧へ

「ドコモ・クラウド基盤」向けにIoTセキュリティソリューションを提供（ドコモ、トレンドマイクロ）

5G対応次世代ファイアウォール（パロアルトネットワークス）

McAfee MVISIONをMicrosoft TeamsにAPIで統合（マカフィー）

CIS Controlsをベースにセキュリティ対策の効果測定を行うサービス（NRIセキュア）

疑問その３「クラウドのセキュリティ ＝ CASB？」～日商エレに聞く、ＣＡＳＢとクラウドセキュリティの疑問

「中小企業の情報セキュリティ対策ガイドライン」を2年4カ月ぶりに改訂（IPA）

おしらせ 記事一覧へ

マクニカネットワークス株式会社 セキュリティサービス室 室長代理 柳下氏を取材しました

[おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ

記事に関するお詫びと訂正：メール誤送信を助長する表現について

【Scan PREMIUM 記事配信予告】あの男が帰ってくる！ ～ 翼の折れたペネトレーションテスター

プレゼントのおしらせ（ 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り）

ScanNetSecurity 創刊 20 周年の御礼

ニュージーランド乱射事件犯人、同程度の時間かけ SNS 拡散を準備～ソーシャルメディアが作った世界

ネット世論操作の現状とこれから～アメリカ上院情報活動特別委員会に提出された 2 つのレポート：第 2 回「 IRA はネット広告代理店のように活動している～ New Knowledge 社が暴いた IRA の 12 の戦術」

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

調査・レポート・白書記事一覧へ

ネット世論操作の現状とこれから～アメリカ上院情報活動特別委員会に提出された 2 つのレポート：第 2 回「 IRA はネット広告代理店のように活動している～ New Knowledge 社が暴いた IRA の 12 の戦術」

研修・セミナー・カンファレンス記事一覧へ

民間対民間のサイバー時代の終焉～サイバーリーズンエバンジェリスト増田幸美氏

製品・サービス・業界動向記事一覧へ

疑問その３「クラウドのセキュリティ＝ CASB？」～日商エレに聞く、ＣＡＳＢとクラウドセキュリティの疑問

おしらせ記事一覧へ

マクニカネットワークス株式会社セキュリティサービス室室長代理柳下氏を取材しました

【Scan PREMIUM 記事配信予告】あの男が帰ってくる！～翼の折れたペネトレーションテスター

プレゼントのおしらせ（一田和樹著「原発サイバートラップ」著者及辻伸弘氏サイン入り）