データベースにおける可用性とセキュリティのバランス（ペンタセキュリティシステムズ）

韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

特集特集

2014年4月17日（木） 11時35分

韓国に本社を持ち、Webアプリケーションセキュリティとデータベースセキュリティを提供するペンタセキュリティシステムズ株式会社。データベース暗号化製品「D'Amo」は日本で本格的に製品展開を始めて数年だが、韓国では製品の発売から10年を数え、多くの導入実績がある。

今回は同社のテクニカルエンジニアである美濃部崇氏に、データベースセキュリティの重要性と、製品概要や特徴などについて話を聞いた。

――なぜ今、データベースセキュリティが求められているのでしょうか

現在のITセキュリティは非常に広い分野にまたがっています。ウイルス対策やネットワークセキュリティ、Webアプリケーションの保護は広く認識されていますが、データベースのセキュリティ対策はあまり意識されていないように感じます。たしかにデータベースは外部から見えにくいという面もありますが、企業の中枢部であり、貴重なデータの宝庫です。

データベースは大きく2つの脅威にさらされています。ひとつは外部からの攻撃です。データベースそのものはシステムの内部にあり、外部からは見えにくい位置にあるといっても、企業のＷｅｂサイトは、グローバルなインターネットに公開されています。日々増加するＷｅｂサイトの攻撃によって、バックエンドのデータベースから顧客情報などが盗まれるといったインシデントは多数発生しています。

もうひとつの脅威は、内部の人間によるデータの漏えいです。データベース管理者がバックアップデータを持ち出したり、重要なデータを意図的にコピーして持ち出すといった事件が発生しています。個人情報は“守るべきも”のとして多くの企業が認識しているにもかかわらず、情報漏えい対策としてのデータベースのセキュリティはほとんど意識されていないのが現状です。

――データベースセキュリティの重要性は意識されにくい理由は

データベースにおいては、パフォーマンスの向上、可用性の確保などが優先順位として高く、セキュリティ意識があまり働かないのが現状のようです。データベースの管理者（DBA）がいても、基本的な目的はテーブル構造などの管理や運用であり、セキュリティは「自分の担当ではない」という考えがあるかもしれません。

海外の企業ではデータベースを含む全社のセキュリティを管理する担当者が存在します。しかし日本企業では、データベースに関する事項はDBAに一任されており、DBAがデータベースに求めるものはセキュリティではないため、自分の仕事であるという認識が生まれないのでしょう。

――「D'Amo」とはどのような製品ですか

D'Amoは、暗号化とアクセスコントロールおよび監査により、データベース内の情報を保護する統合セキュリティソリューションです。プラグイン方式を採用していることが特徴で、これにより、オラクルやマイクロソフトのデータベースへセキュリティ機能の追加導入が容易に実現できます。

データベースへのクエリはD'Amoのモジュールを介して行われます。暗号化をカラム単位で行うため、データベースへの負荷を最小限に抑えることができることも大きな特徴です。たとえばオラクルのデータベースの場合、暗号化カラムの検索時の平均負荷は5～7％です。

さらに、アクセスコントロール機能を搭載しています。一般的にDBAは、すべてのデータにアクセスすることができ、それがデータの持ち出しを許してしまう原因になっていました。しかしD'Amoでは、暗号化権限とデータベースへのアクセス権限を分離して管理することが可能です。これによりDBAは、テーブルの検索などはできても暗号化されたデータを復号することはできず、情報漏えいの抑止につながります。

ただし、暗号化による情報の保護は暗号化キーの管理が適切に行われていることが前提です。どんなに強固なアルゴリズムで暗号化していても、キーがあれば復号化されるリスクを伴います。万が一キーを紛失してしまったり、担当者の変更によりキーを紛失してしまう場合もあります。そこで、キーを管理することは、セキュリティ管理者において、暗号化にひも付いた重要なタスクであるという点を強調しておきます。

――日本ならではの機能や導入実績について教えてください

管理コンソールのインタフェースや、ドキュメントはすべて日本語にローカライズされています。また、サポートも日本の代理店が対応します。代理店だけでは解決が困難な場合は、当社と韓国の本社が連携しながら解決にあたります。

　製品を日本で最初に導入してから５年ほどになり、導入事例も増えています。たとえばある官公庁ではD'Amoを検証いただいた結果「わかりやすく、セキュリティと可用性のバランスが取れている」という評価をいただきました。また、製造業では、システムのクラウド移行の際に、D'Amoを合わせて展開し、これによりクラウド上のデータベースにも強固な暗号化を実現しています。

――今後の展開について教えてください

　何よりも、データベースセキュリティへの意識を高めたいと考えています。そのためにはデータベースのエンジニアや管理者に直接訴求するのではなく、企業のセキュリティ意識を高めることが重要です。企業全体としてどのようなセキュリティが必要かを考えたときに、データベースセキュリティがひとつの選択肢としてあがることを望んでいます。そのための啓発活動には積極的に取り組みます。

　製品については、ひとつは組み込み型のパッケージ製品という特徴をアプローチしていきます。たとえば人事管理システムのベンダと協業してD'Amoを組み込むなどの提案です。また、既存のデータベースにプラグインとして導入可能なメリットを活かして、中小規模の企業にも販路を拡大したいです。

　さらに、オープンソースへの対応要望をうけて、MySQLに対応した「My D'Amo」の販売も開始しました。無料の評価版を用意していますので、まずは使っていただくことでオープンソースを活用している企業にも暗号化を検討していただきたいです。

　また暗号化キーの管理において、本国では統合的なキー管理のための専用アプライアンスも提供しています。日本では暗号化の意識を高めることが先決ですが、意識が高まってきたら、次のステップとしてキー管理アプライアンスの日本展開も視野に入れています。今後も市場を見ながら、暗号化とセキュリティの啓発活動をしていきます。

――ありがとうございました

データベースにおける可用性とセキュリティのバランス（ペンタセキュリティシステムズ）

関連記事

Scan PREMIUM 会員限定記事

PHP において imap_open 関数の実装不備により遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

Lost Pass (パスワード消失)？ユーザー激怒させた LastPass の 5 時間のサービス停止が与えた影響（The Register）

jQuery-File-Upload において遠隔から任意のファイルがアップロード可能となる脆弱性（Scan Tech Report）

サイバー犯罪におけるマフィアの機能とロシアンマフィア新潮流：オックスフォード大学研究

ソース・関連リンク

カテゴリ別新着記事

関連記事

Scan PREMIUM 会員限定記事

PHP において imap_open 関数の実装不備により遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

Lost Pass (パスワード消失)？ ユーザー激怒させた LastPass の 5 時間のサービス停止が与えた影響（The Register）

jQuery-File-Upload において遠隔から任意のファイルがアップロード可能となる脆弱性（Scan Tech Report）

サイバー犯罪におけるマフィアの機能とロシアンマフィア新潮流：オックスフォード大学研究

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

OMC Plusを騙るフィッシングメールを確認、注意を呼びかけ（フィッシング対策協議会）

サイボウズ「Garoon」および「リモートサービス」に脆弱性（JVN）

「i-FILTER」に悪意あるスクリプトを実行される複数の脆弱性（JVN）

セイコーエプソンの複数のプリンタ、スキャナ製品に脆弱性（JVN）

Appleが「macOS」「iOS」など8製品のセキュリティアップデートを公開（JVN）

Adobe Flash Playerアップデート、攻撃も確認されているため至急の適用を（JPCERT/CC、IPA）

インシデント・事故 記事一覧へ

業務委託先がクレジットカード情報を含む利用料金支払用紙を紛失（スターキャット・ケーブルネットワーク）

事務処理の誤りでふるさと納税寄付者の全データを掲載（山形市）

市立中学校の教員が技術科2学期末テストの解答用紙を紛失（大阪市）

交付前のマイナンバーカードと交付用端末1台が盗難被害、職員を懲戒処分に（横浜市）

任天堂グッズ販売Webサイトへ4ヶ月にわたり不正アクセス、カード情報が流出（エディットモード）

第三者からの不正アクセスにより改ざん被害、悪意あるサイトへ自動的に誘導（SHF）

調査・レポート・白書 記事一覧へ

企業のIaaS、PaaSの設定ミスの件数は月2,200件超（マカフィー）

「超限戦」時代、軍事大国アメリカの迷走 － 書評「大統領失踪」

「3ウェイ・ハンドシェイク」を悪用したSYN/ACKリフレクター攻撃を確認（警察庁）

日本語のBECやセクストーション初確認、日本への攻撃が本格化か（トレンドマイクロ）

2018年前期に報道された情報システム障害は35件、高水準で推移（IPA）

不正払い戻しの被害が個人・法人ともに半分以下に減少（全銀協）

研修・セミナー・カンファレンス 記事一覧へ

誰もが安全で快適に感じるアプリ環境に近づく「TikTok」（Bytedance）

小池都知事他講演「Cybertech Tokyo 2018」11月29日から開催（ナノオプト・メディア）

サイバー犯罪におけるマフィアの機能とロシアンマフィア新潮流：オックスフォード大学研究

2018年のサイバー攻撃といえば？ 選ばれた４つのテーマ [Internet Week 2018]

セキュリティ競技 Hardening Project、スポンサー参加の新しい形

セキュリティ技術者が取締役会で報告を求められたら ～ ガートナーが教えるプレゼン術４つのポイント

製品・サービス・業界動向 記事一覧へ

検疫アプライアンスの最新版、クライアント常駐プログラムを採用（エイチ・シー・ネットワークス）

SOCサービスにインシデント対応オプションを提供開始（IIJ）

セキュリティ診断の内製化支援サービス開始（ラック）

ヤフーが3社目のボードメンバー、FIDOが日本での活動状況を発表（FIDO）

米業界団体OCFがデジサートを認証局として採用（デジサート・ジャパン）

2017年の国内IoTセキュリティ市場は624億円、2022年には2倍に拡大（IDC Japan）

おしらせ 記事一覧へ

プレゼントのおしらせ（ 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り）

ScanNetSecurity 創刊 20 周年の御礼

編集部海外取材お土産 < 応募締切 9/30 >

[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました

[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました

Lost Pass (パスワード消失)？ユーザー激怒させた LastPass の 5 時間のサービス停止が与えた影響（The Register）

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

調査・レポート・白書記事一覧へ

「超限戦」時代、軍事大国アメリカの迷走－書評「大統領失踪」

研修・セミナー・カンファレンス記事一覧へ

2018年のサイバー攻撃といえば？選ばれた４つのテーマ [Internet Week 2018]

セキュリティ技術者が取締役会で報告を求められたら～ガートナーが教えるプレゼン術４つのポイント

製品・サービス・業界動向記事一覧へ

おしらせ記事一覧へ

プレゼントのおしらせ（一田和樹著「原発サイバートラップ」著者及辻伸弘氏サイン入り）