データベースにおける可用性とセキュリティのバランス(ペンタセキュリティシステムズ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.24(月)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

データベースにおける可用性とセキュリティのバランス(ペンタセキュリティシステムズ)

韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

特集 特集
韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

今回は同社のテクニカルエンジニアである美濃部崇氏に、データベースセキュリティの重要性と、製品概要や特徴などについて話を聞いた。


――なぜ今、データベースセキュリティが求められているのでしょうか

現在のITセキュリティは非常に広い分野にまたがっています。ウイルス対策やネットワークセキュリティ、Webアプリケーションの保護は広く認識されていますが、データベースのセキュリティ対策はあまり意識されていないように感じます。たしかにデータベースは外部から見えにくいという面もありますが、企業の中枢部であり、貴重なデータの宝庫です。

データベースは大きく2つの脅威にさらされています。ひとつは外部からの攻撃です。データベースそのものはシステムの内部にあり、外部からは見えにくい位置にあるといっても、企業のWebサイトは、グローバルなインターネットに公開されています。日々増加するWebサイトの攻撃によって、バックエンドのデータベースから顧客情報などが盗まれるといったインシデントは多数発生しています。

もうひとつの脅威は、内部の人間によるデータの漏えいです。データベース管理者がバックアップデータを持ち出したり、重要なデータを意図的にコピーして持ち出すといった事件が発生しています。個人情報は“守るべきも”のとして多くの企業が認識しているにもかかわらず、情報漏えい対策としてのデータベースのセキュリティはほとんど意識されていないのが現状です。


――データベースセキュリティの重要性は意識されにくい理由は

データベースにおいては、パフォーマンスの向上、可用性の確保などが優先順位として高く、セキュリティ意識があまり働かないのが現状のようです。データベースの管理者(DBA)がいても、基本的な目的はテーブル構造などの管理や運用であり、セキュリティは「自分の担当ではない」という考えがあるかもしれません。

海外の企業ではデータベースを含む全社のセキュリティを管理する担当者が存在します。しかし日本企業では、データベースに関する事項はDBAに一任されており、DBAがデータベースに求めるものはセキュリティではないため、自分の仕事であるという認識が生まれないのでしょう。


――「D'Amo」とはどのような製品ですか

D'Amoは、暗号化とアクセスコントロールおよび監査により、データベース内の情報を保護する統合セキュリティソリューションです。プラグイン方式を採用していることが特徴で、これにより、オラクルやマイクロソフトのデータベースへセキュリティ機能の追加導入が容易に実現できます。

データベースへのクエリはD'Amoのモジュールを介して行われます。暗号化をカラム単位で行うため、データベースへの負荷を最小限に抑えることができることも大きな特徴です。たとえばオラクルのデータベースの場合、暗号化カラムの検索時の平均負荷は5~7%です。

さらに、アクセスコントロール機能を搭載しています。一般的にDBAは、すべてのデータにアクセスすることができ、それがデータの持ち出しを許してしまう原因になっていました。しかしD'Amoでは、暗号化権限とデータベースへのアクセス権限を分離して管理することが可能です。これによりDBAは、テーブルの検索などはできても暗号化されたデータを復号することはできず、情報漏えいの抑止につながります。

ただし、暗号化による情報の保護は暗号化キーの管理が適切に行われていることが前提です。どんなに強固なアルゴリズムで暗号化していても、キーがあれば復号化されるリスクを伴います。万が一キーを紛失してしまったり、担当者の変更によりキーを紛失してしまう場合もあります。そこで、キーを管理することは、セキュリティ管理者において、暗号化にひも付いた重要なタスクであるという点を強調しておきます。


――日本ならではの機能や導入実績について教えてください

管理コンソールのインタフェースや、ドキュメントはすべて日本語にローカライズされています。また、サポートも日本の代理店が対応します。代理店だけでは解決が困難な場合は、当社と韓国の本社が連携しながら解決にあたります。

 製品を日本で最初に導入してから5年ほどになり、導入事例も増えています。たとえばある官公庁ではD'Amoを検証いただいた結果「わかりやすく、セキュリティと可用性のバランスが取れている」という評価をいただきました。また、製造業では、システムのクラウド移行の際に、D'Amoを合わせて展開し、これによりクラウド上のデータベースにも強固な暗号化を実現しています。


――今後の展開について教えてください

 何よりも、データベースセキュリティへの意識を高めたいと考えています。そのためにはデータベースのエンジニアや管理者に直接訴求するのではなく、企業のセキュリティ意識を高めることが重要です。企業全体としてどのようなセキュリティが必要かを考えたときに、データベースセキュリティがひとつの選択肢としてあがることを望んでいます。そのための啓発活動には積極的に取り組みます。

 製品については、ひとつは組み込み型のパッケージ製品という特徴をアプローチしていきます。たとえば人事管理システムのベンダと協業してD'Amoを組み込むなどの提案です。また、既存のデータベースにプラグインとして導入可能なメリットを活かして、中小規模の企業にも販路を拡大したいです。

 さらに、オープンソースへの対応要望をうけて、MySQLに対応した「My D'Amo」の販売も開始しました。無料の評価版を用意していますので、まずは使っていただくことでオープンソースを活用している企業にも暗号化を検討していただきたいです。

 また暗号化キーの管理において、本国では統合的なキー管理のための専用アプライアンスも提供しています。日本では暗号化の意識を高めることが先決ですが、意識が高まってきたら、次のステップとしてキー管理アプライアンスの日本展開も視野に入れています。今後も市場を見ながら、暗号化とセキュリティの啓発活動をしていきます。


――ありがとうございました
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「Adobe Reader」「Acrobat」に「攻撃リスクの高い」脆弱性(JPCERT/CC、IPA) 画像

「Adobe Reader」「Acrobat」に「攻撃リスクの高い」脆弱性(JPCERT/CC、IPA)
BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN) 画像

BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN)
仮想通貨を要求する日本語の脅迫メール確認(JPCERT/CC) 画像

仮想通貨を要求する日本語の脅迫メール確認(JPCERT/CC)
MyJCBを騙るフィッシングメール、期限を設定も記載はなし(フィッシング対策協議会) 画像

MyJCBを騙るフィッシングメール、期限を設定も記載はなし(フィッシング対策協議会)
Appleが「Safari」「iOS」など5製品のセキュリティアップデートを公開(JVN) 画像

Appleが「Safari」「iOS」など5製品のセキュリティアップデートを公開(JVN)
正規のデジタル証明書で署名されたマルウェアを確認(カスペルスキー) 画像

正規のデジタル証明書で署名されたマルウェアを確認(カスペルスキー)

インシデント・事故 記事一覧へ

仮想通貨取引所Zaifへの不正アクセスで約67億円相当が外部に流出(テックビューロ) 画像

仮想通貨取引所Zaifへの不正アクセスで約67億円相当が外部に流出(テックビューロ)
約50名分の顧客情報記載書類紛失(北海道銀行) 画像

約50名分の顧客情報記載書類紛失(北海道銀行)
受信契約者の個人情報が含まれる帳票を紛失(NHK) 画像

受信契約者の個人情報が含まれる帳票を紛失(NHK)
リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング) 画像

リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング)
ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン) 画像

ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン)
特定条件での脆弱性が発覚、「消費税転嫁・下請取引申告受付システム」を一時停止(経済産業省) 画像

特定条件での脆弱性が発覚、「消費税転嫁・下請取引申告受付システム」を一時停止(経済産業省)

調査・レポート・白書 記事一覧へ

パスワードや認証情報を狙う脅威が多発--四半期レポート(ウォッチガード) 画像

パスワードや認証情報を狙う脅威が多発--四半期レポート(ウォッチガード)
IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」(ラック) 画像

IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」(ラック)
世界の子供の夏休みオンライン活動、統計データ(カスペルスキー) 画像

世界の子供の夏休みオンライン活動、統計データ(カスペルスキー)
拡張子「.iqy」のファイルが添付されたマルウェアメールが増加(IIJ) 画像

拡張子「.iqy」のファイルが添付されたマルウェアメールが増加(IIJ)
フィッシング詐欺が過去最大、法人を狙うケースも(トレンドマイクロ) 画像

フィッシング詐欺が過去最大、法人を狙うケースも(トレンドマイクロ)
不正払い戻しの被害が個人・法人ともに増加、口座不正利用被害も微増(全銀協) 画像

不正払い戻しの被害が個人・法人ともに増加、口座不正利用被害も微増(全銀協)

研修・セミナー・カンファレンス 記事一覧へ

夢は Black Hat USA で講演 ~ キヤノンITS マルウェアラボ潜入記、設立目的と体制 画像

夢は Black Hat USA で講演 ~ キヤノンITS マルウェアラボ潜入記、設立目的と体制
サンドボックスと張り合うメールセキュリティ製品、大企業や金融に導入進む 画像

サンドボックスと張り合うメールセキュリティ製品、大企業や金融に導入進む
“衛る” を最大化するセキュリティ競技 Hardening Project ~ 組織力を問う新ルールで初の宮古島開催 画像

“衛る” を最大化するセキュリティ競技 Hardening Project ~ 組織力を問う新ルールで初の宮古島開催
つながる世界の安全をテーマに「Trend Micro DIRECTION」東京・大阪で開催(トレンドマイクロ) 画像

つながる世界の安全をテーマに「Trend Micro DIRECTION」東京・大阪で開催(トレンドマイクロ)
「会いに行ける編集長 」ScanNetSecurity 上野宣も登壇、事例に学ぶ組織的セキュリティ対策セミナー(マイナビ) 画像

「会いに行ける編集長 」ScanNetSecurity 上野宣も登壇、事例に学ぶ組織的セキュリティ対策セミナー(マイナビ)
すでに満席も、Security Days Fall 2018 を大阪・東京で開催(ナノオプト・メディア) 画像

すでに満席も、Security Days Fall 2018 を大阪・東京で開催(ナノオプト・メディア)

製品・サービス・業界動向 記事一覧へ

サイバーインテリジェンス、サービスの実力と利用料金 画像

サイバーインテリジェンス、サービスの実力と利用料金
「Falconプラットフォーム」刷新、Linux対応や認定トレーニングプログラム開始(CrowdStrike) 画像

「Falconプラットフォーム」刷新、Linux対応や認定トレーニングプログラム開始(CrowdStrike)
新宿区がシングルベンダによる多層防御を構築(トレンドマイクロ) 画像

新宿区がシングルベンダによる多層防御を構築(トレンドマイクロ)
2つのアンチウイルスとIT資産管理を1つのクラウドサービスで提供(IIJ) 画像

2つのアンチウイルスとIT資産管理を1つのクラウドサービスで提供(IIJ)
他社での被害や対処事例も、セキュリティ・カウンセリングサービス(NRIセキュア) 画像

他社での被害や対処事例も、セキュリティ・カウンセリングサービス(NRIセキュア)
日本に22番目の拠点を設立、シェア3位を狙う(ESET、キヤノンITS) 画像

日本に22番目の拠点を設立、シェア3位を狙う(ESET、キヤノンITS)

おしらせ 記事一覧へ

編集部海外取材お土産 < 応募締切 9/30 > 画像

編集部海外取材お土産 < 応募締切 9/30 >
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像

[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像

[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像

[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×