1)認証情報の脅威
脆弱なパスワード管理および認証スキームにより、攻撃者は正当なデータベースユーザーの身元を推測することができます。具体的な攻撃戦略には、ブルートフォースアタック(総当たり攻撃)と不正にID情報を窃取するソーシャルエンジニアリング、つまりフィッシングが含まれます。
2)権限の脅威
ユーザーが適切に付与されたアクセス権を不注意で誤用したり、管理者の見落としや過失のために過剰なアクセス権をユーザーに与えてしまった場合、権限の乱用や、さらにひどい場合には悪意のある権限昇格攻撃を引き起こしてしまう可能性があります。
- 特権アカウントの悪用は、ユーザーアカウントに紐づく特権が不適切にまたは不正に使用された場合に発生します。悪意があったり、不注意だったり、または意図的にポリシーを無視したりする場合です。
- 権限昇格攻撃には、攻撃者がデータベース管理ソフトウェアの脆弱性を利用して、アクセス権限を低レベルから高レベルへと変換することが含まれます。権限昇格には、単純な権限の乱用よりも多くの労力と知識が求められます。
3)システムの脅威
他にも多くの要素がデータベースのセキュリティを脆弱化させる可能性があります。例として以下が挙げられます。
1.SQLインジェクション
データベースをコントロールするためにWebアプリケーションの脆弱性を悪用するもので、攻撃方法の中でも常に上位に位置しています。
2.パッチの欠落
一度脆弱性が公開されると(通常はパッチがリリースされる頃に発生します)、ハッキング自動化ツールにエクスプロイトを入れてその脆弱性を悪用し始めます。 2019年のTrustwave Global Security Reportによると、2018年に最も普及している5つのデータベースに148の脆弱性が見つかりパッチが適用されました。
3.監査
データベースは、侵害調査とコンプライアンス監査の重要な要素です。監査ログは、EU一般データ保護規則(GDPR)やPCIデータセキュリティスタンダード(PCI DSS)、サーベンス・オクスリー法(SOX法)、医療保険の携行性と責任に関する法律(HIPPA)などによって義務付けられていますが、それでも依然として大きな問題となっています。皆さんもきっと、トラブルが起きたとき、何か不具合が起きたことは分かっているものの、実際に何が起きたのか詳細な情報が手に入らない、という状況に置かれたくはないでしょう。
4.クラウド
サード・パーティ・データベースシステムを購入しても、プラットフォームが実際にどのように機能しているかを詳細に説明しているフルサービスの解説や、ベンダーが運用するセキュリティプロセスが、ほとんどの場合提供されません。そのため、可視性やコントロール、透過性が失われる危険性があります。