データベースにおける可用性とセキュリティのバランス(ペンタセキュリティシステムズ) | ScanNetSecurity
2020.08.10(月)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

データベースにおける可用性とセキュリティのバランス(ペンタセキュリティシステムズ)

韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

特集 特集
韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

今回は同社のテクニカルエンジニアである美濃部崇氏に、データベースセキュリティの重要性と、製品概要や特徴などについて話を聞いた。


――なぜ今、データベースセキュリティが求められているのでしょうか

現在のITセキュリティは非常に広い分野にまたがっています。ウイルス対策やネットワークセキュリティ、Webアプリケーションの保護は広く認識されていますが、データベースのセキュリティ対策はあまり意識されていないように感じます。たしかにデータベースは外部から見えにくいという面もありますが、企業の中枢部であり、貴重なデータの宝庫です。

データベースは大きく2つの脅威にさらされています。ひとつは外部からの攻撃です。データベースそのものはシステムの内部にあり、外部からは見えにくい位置にあるといっても、企業のWebサイトは、グローバルなインターネットに公開されています。日々増加するWebサイトの攻撃によって、バックエンドのデータベースから顧客情報などが盗まれるといったインシデントは多数発生しています。

もうひとつの脅威は、内部の人間によるデータの漏えいです。データベース管理者がバックアップデータを持ち出したり、重要なデータを意図的にコピーして持ち出すといった事件が発生しています。個人情報は“守るべきも”のとして多くの企業が認識しているにもかかわらず、情報漏えい対策としてのデータベースのセキュリティはほとんど意識されていないのが現状です。


――データベースセキュリティの重要性は意識されにくい理由は

データベースにおいては、パフォーマンスの向上、可用性の確保などが優先順位として高く、セキュリティ意識があまり働かないのが現状のようです。データベースの管理者(DBA)がいても、基本的な目的はテーブル構造などの管理や運用であり、セキュリティは「自分の担当ではない」という考えがあるかもしれません。

海外の企業ではデータベースを含む全社のセキュリティを管理する担当者が存在します。しかし日本企業では、データベースに関する事項はDBAに一任されており、DBAがデータベースに求めるものはセキュリティではないため、自分の仕事であるという認識が生まれないのでしょう。


――「D'Amo」とはどのような製品ですか

D'Amoは、暗号化とアクセスコントロールおよび監査により、データベース内の情報を保護する統合セキュリティソリューションです。プラグイン方式を採用していることが特徴で、これにより、オラクルやマイクロソフトのデータベースへセキュリティ機能の追加導入が容易に実現できます。

データベースへのクエリはD'Amoのモジュールを介して行われます。暗号化をカラム単位で行うため、データベースへの負荷を最小限に抑えることができることも大きな特徴です。たとえばオラクルのデータベースの場合、暗号化カラムの検索時の平均負荷は5~7%です。

さらに、アクセスコントロール機能を搭載しています。一般的にDBAは、すべてのデータにアクセスすることができ、それがデータの持ち出しを許してしまう原因になっていました。しかしD'Amoでは、暗号化権限とデータベースへのアクセス権限を分離して管理することが可能です。これによりDBAは、テーブルの検索などはできても暗号化されたデータを復号することはできず、情報漏えいの抑止につながります。

ただし、暗号化による情報の保護は暗号化キーの管理が適切に行われていることが前提です。どんなに強固なアルゴリズムで暗号化していても、キーがあれば復号化されるリスクを伴います。万が一キーを紛失してしまったり、担当者の変更によりキーを紛失してしまう場合もあります。そこで、キーを管理することは、セキュリティ管理者において、暗号化にひも付いた重要なタスクであるという点を強調しておきます。


――日本ならではの機能や導入実績について教えてください

管理コンソールのインタフェースや、ドキュメントはすべて日本語にローカライズされています。また、サポートも日本の代理店が対応します。代理店だけでは解決が困難な場合は、当社と韓国の本社が連携しながら解決にあたります。

 製品を日本で最初に導入してから5年ほどになり、導入事例も増えています。たとえばある官公庁ではD'Amoを検証いただいた結果「わかりやすく、セキュリティと可用性のバランスが取れている」という評価をいただきました。また、製造業では、システムのクラウド移行の際に、D'Amoを合わせて展開し、これによりクラウド上のデータベースにも強固な暗号化を実現しています。


――今後の展開について教えてください

 何よりも、データベースセキュリティへの意識を高めたいと考えています。そのためにはデータベースのエンジニアや管理者に直接訴求するのではなく、企業のセキュリティ意識を高めることが重要です。企業全体としてどのようなセキュリティが必要かを考えたときに、データベースセキュリティがひとつの選択肢としてあがることを望んでいます。そのための啓発活動には積極的に取り組みます。

 製品については、ひとつは組み込み型のパッケージ製品という特徴をアプローチしていきます。たとえば人事管理システムのベンダと協業してD'Amoを組み込むなどの提案です。また、既存のデータベースにプラグインとして導入可能なメリットを活かして、中小規模の企業にも販路を拡大したいです。

 さらに、オープンソースへの対応要望をうけて、MySQLに対応した「My D'Amo」の販売も開始しました。無料の評価版を用意していますので、まずは使っていただくことでオープンソースを活用している企業にも暗号化を検討していただきたいです。

 また暗号化キーの管理において、本国では統合的なキー管理のための専用アプライアンスも提供しています。日本では暗号化の意識を高めることが先決ですが、意識が高まってきたら、次のステップとしてキー管理アプライアンスの日本展開も視野に入れています。今後も市場を見ながら、暗号化とセキュリティの啓発活動をしていきます。


――ありがとうございました
《吉澤 亨史》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

複数のトレンドマイクロ製品のルートキット対策ドライバに入力値検証不備の脆弱性(トレンドマイクロ、JVN) 画像

複数のトレンドマイクロ製品のルートキット対策ドライバに入力値検証不備の脆弱性(トレンドマイクロ、JVN)
ホームルーター調査、127製品ほぼ全てに脆弱性/英・加、APT29 による攻撃報告 ほか [Scan PREMIUM Monthly Executive Summary] 画像

ホームルーター調査、127製品ほぼ全てに脆弱性/英・加、APT29 による攻撃報告 ほか [Scan PREMIUM Monthly Executive Summary]
夏休みのセキュリティ注意喚起、今年はテレワーク勤務者の注意事項も紹介(IPA) 画像

夏休みのセキュリティ注意喚起、今年はテレワーク勤務者の注意事項も紹介(IPA)
SKYSEA Client View に権限昇格の脆弱性、パッチ適用呼びかけ(JVN) 画像

SKYSEA Client View に権限昇格の脆弱性、パッチ適用呼びかけ(JVN)
脆弱性「Ripple20」の対象プリンタ名公開、操作停止やメモリ破壊を引き起こす可能性(リコー) 画像

脆弱性「Ripple20」の対象プリンタ名公開、操作停止やメモリ破壊を引き起こす可能性(リコー)
PHP工房の複数の製品に脆弱性、意図しない操作やログインされる可能性(JVN) 画像

PHP工房の複数の製品に脆弱性、意図しない操作やログインされる可能性(JVN)

インシデント・事故 記事一覧へ

「三越伊勢丹オンラインストア」「エムアイカード ホームページ」にパスワードリスト型攻撃(三越伊勢丹) 画像

「三越伊勢丹オンラインストア」「エムアイカード ホームページ」にパスワードリスト型攻撃(三越伊勢丹)
「リフォーム評価ナビ」メールアカウントに不正アクセス、迷惑メール送信の踏み台に(住まいづくりナビセンター) 画像

「リフォーム評価ナビ」メールアカウントに不正アクセス、迷惑メール送信の踏み台に(住まいづくりナビセンター)
黒塗り交付の開示資料、強い光で文字が判別可能(和歌山市) 画像

黒塗り交付の開示資料、強い光で文字が判別可能(和歌山市)
OAKLEY の Instagram が乗っ取り被害(ルックスオティカジャパン) 画像

OAKLEY の Instagram が乗っ取り被害(ルックスオティカジャパン)
「Emotetウイルス」感染、社内でやり取りしたメール内容を引用したなりすましメールを確認(加賀麩不室屋) 画像

「Emotetウイルス」感染、社内でやり取りしたメール内容を引用したなりすましメールを確認(加賀麩不室屋)
枕の通販サイトへ不正アクセス、カード情報が流出の可能性(Kitamura Japan) 画像

枕の通販サイトへ不正アクセス、カード情報が流出の可能性(Kitamura Japan)

調査・レポート・白書 記事一覧へ

令和2年版 情報通信白書、「5G時代のサイバーセキュリティ」に言及(総務省) 画像

令和2年版 情報通信白書、「5G時代のサイバーセキュリティ」に言及(総務省)
COVID-19脅威レポートを発表、クラウドサービスを標的とした外部脅威が630%増加(マカフィー) 画像

COVID-19脅威レポートを発表、クラウドサービスを標的とした外部脅威が630%増加(マカフィー)
テレワークで増えた3つの業務とは、実態調査を発表(ALSI) 画像

テレワークで増えた3つの業務とは、実態調査を発表(ALSI)
セキュリティ世界市場予測、コロナ禍による鈍化も2023年V字回復(グローバルインフォメーション) 画像

セキュリティ世界市場予測、コロナ禍による鈍化も2023年V字回復(グローバルインフォメーション)
ビジネスメール詐欺実態を共同分析、攻撃者の手口と素性が明らかに(マクニカネットワークス、伊藤忠商事) 画像

ビジネスメール詐欺実態を共同分析、攻撃者の手口と素性が明らかに(マクニカネットワークス、伊藤忠商事)
子どもがSNSでトラブルに巻き込まれた経験、詐欺メール・サイトが28.3%(ニフティ) 画像

子どもがSNSでトラブルに巻き込まれた経験、詐欺メール・サイトが28.3%(ニフティ)

研修・セミナー・カンファレンス 記事一覧へ

いつもと違う夏 ~ FFRI 鵜飼裕司の Black Hat USA 2020 注目セッション 画像

いつもと違う夏 ~ FFRI 鵜飼裕司の Black Hat USA 2020 注目セッション
増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike) 画像

増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike)
2社のソリューション連携で一貫したスキームが実現、オンラインウェビナーを合同開催(ゼットスケーラー、クラウドストライク) 画像

2社のソリューション連携で一貫したスキームが実現、オンラインウェビナーを合同開催(ゼットスケーラー、クラウドストライク)
初級者向けログ分析トレーニング用コンテンツをGitHub上で公開(JPCERT/CC) 画像

初級者向けログ分析トレーニング用コンテンツをGitHub上で公開(JPCERT/CC)
初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局) 画像

初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局)
CIO、CISOを対象に「川口洋座談会ウェビナー第1回」開催(イエラエセキュリティ) 画像

CIO、CISOを対象に「川口洋座談会ウェビナー第1回」開催(イエラエセキュリティ)

製品・サービス・業界動向 記事一覧へ

AzureとGCPを追加した「クラウドセキュリティ設定診断サービス」(BBSec) 画像

AzureとGCPを追加した「クラウドセキュリティ設定診断サービス」(BBSec)
国産Linux OS、最新の暗号へ対応しセキュリティ強化(サイバートラスト) 画像

国産Linux OS、最新の暗号へ対応しセキュリティ強化(サイバートラスト)
Google Cloud Armorの3つの主要機能を紹介(Google) 画像

Google Cloud Armorの3つの主要機能を紹介(Google)
BacklogやCacooなど、SAML認証方式でSSO対応のアカウント作成可能(ヌーラボ) 画像

BacklogやCacooなど、SAML認証方式でSSO対応のアカウント作成可能(ヌーラボ)
デジサートが証明書の管理基盤を「CertCentral」として刷新 画像

デジサートが証明書の管理基盤を「CertCentral」として刷新
USBリモート端末でセキュリティを確保したテレワークを実現(セコム、セコムトラストシステムズ) 画像

USBリモート端末でセキュリティを確保したテレワークを実現(セコム、セコムトラストシステムズ)

おしらせ 記事一覧へ

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×