三大データベースの脅威とセキュリティープランのあるべき形

大容量の情報を管理するデータベースが直面している主な3つの脅威と、攻撃とミスの両方から常にデータベースを守るために今すぐできる方法をご説明します。

FacebookTwitterLinkedIn
security_plan

データベースは、大学の入学申請から経営幹部の履歴書まで、機密性の高いデータの管理人としての役割を果たしており、世界中の企業や組織は情報を保管しアクセスするためデータベースに依存していると言えます。

データベースは現代の宝箱であり、ビットとバイトが驚異的なレートで成長している世界で大容量のデータを管理するのに不可欠なものとなっています。最新のデータベースシステムは、高速で便利かつ柔軟な入力や保存、検索を可能にする機能が豊富になっています。

もちろん、データベースが大容量の情報の管理を可能としているという利点は、間違いなく最大の欠点であるセキュリティの問題にもつながります。膨大なデータがすべて1か所に存在するという魅力と、デフォルトで有効な機能がもたらす潜在的なセキュリティリスク(クラウド導入の増加とパッチの適用が何かを壊すリスクは言うまでもありませんが)の間で、データベースは独自のセキュリティ対策をとることが必要となってきます。もしそうしないなら、このブログの冒頭で言及したように大学の申請書や役員の履歴書といったことにおいても危険が起こるかもしれません。

このような危険を回避するために、データベースが直面している主な3つの脅威と、攻撃とミスの両方から常にデータベースを守るために今すぐできる方法をご説明します。

1)認証情報の脅威

脆弱なパスワード管理および認証スキームにより、攻撃者は正当なデータベースユーザーの身元を推測することができます。具体的な攻撃戦略には、ブルートフォースアタック(総当たり攻撃)と不正にID情報を窃取するソーシャルエンジニアリング、つまりフィッシングが含まれます。

2)権限の脅威

ユーザーが適切に付与されたアクセス権を不注意で誤用したり、管理者の見落としや過失のために過剰なアクセス権をユーザーに与えてしまった場合、権限の乱用や、さらにひどい場合には悪意のある権限昇格攻撃を引き起こしてしまう可能性があります。

  • 特権アカウントの悪用は、ユーザーアカウントに紐づく特権が不適切にまたは不正に使用された場合に発生します。悪意があったり、不注意だったり、または意図的にポリシーを無視したりする場合です。
  • 権限昇格攻撃には、攻撃者がデータベース管理ソフトウェアの脆弱性を利用して、アクセス権限を低レベルから高レベルへと変換することが含まれます。権限昇格には、単純な権限の乱用よりも多くの労力と知識が求められます。

3)システムの脅威

他にも多くの要素がデータベースのセキュリティを脆弱化させる可能性があります。例として以下が挙げられます。

1.SQLインジェクション

データベースをコントロールするためにWebアプリケーションの脆弱性を悪用するもので、攻撃方法の中でも常に上位に位置しています。

2.パッチの欠落

一度脆弱性が公開されると(通常はパッチがリリースされる頃に発生します)、ハッキング自動化ツールにエクスプロイトを入れてその脆弱性を悪用し始めます。 2019年のTrustwave Global Security Reportによると、2018年に最も普及している5つのデータベースに148の脆弱性が見つかりパッチが適用されました。

3.監査

データベースは、侵害調査とコンプライアンス監査の重要な要素です。監査ログは、EU一般データ保護規則(GDPR)やPCIデータセキュリティスタンダード(PCI DSS)、サーベンス・オクスリー法(SOX法)、医療保険の携行性と責任に関する法律(HIPPA)などによって義務付けられていますが、それでも依然として大きな問題となっています。皆さんもきっと、トラブルが起きたとき、何か不具合が起きたことは分かっているものの、実際に何が起きたのか詳細な情報が手に入らない、という状況に置かれたくはないでしょう。

4.クラウド

サード・パーティ・データベースシステムを購入しても、プラットフォームが実際にどのように機能しているかを詳細に説明しているフルサービスの解説や、ベンダーが運用するセキュリティプロセスが、ほとんどの場合提供されません。そのため、可視性やコントロール、透過性が失われる危険性があります。

deployment
deployment

ここまで詳述してきたデータベースセキュリティの方法論を補完するものとして、情報リポジトリのロックダウンを設定する際に覚えておくと良い幾つかの点をご紹介します。

  1. 既存のインストールの一覧表を作成します。
  2. すべてが正しくパッチされていることを確認します。
  3. 未使用の機能を無効にします。
  4. 不要な権限を削除します。
  5. 強力な暗号化を使用します。
  6. 監査を有効にします。
  7. アプリケーションコードを検証します。

実際にCISO(最高情報セキュリティ責任者)たちがどのようにデータベース・セキュリティ・プログラムを構築しているのかをお知りになりたい方はこちらをご覧ください。

https://www.singtel.com/jp/business/products-services/cybersecurity

シングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave(トラストウェーブ)社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。

※ 当記事は、Trustwave(トラストウェーブ)社のブログからの転載です。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。