日経コンピュータ　２００４／７／２６日号　掲載記事に関して

７月２６日号日経コンピュータ誌に「内部犯行による情報漏洩を防止」というタイトルの調査記事が掲載され、IPLocksも取り上げられました。本テーマは現在、多くの企業の関心事であり、大変興味深い内容となっています。

しかしながら、この記事ではIPLocksが提供しているデータベースセキュリティの一部機能のみしか掲載されていないため、IPLocksの機能を正確にお伝えする必要があると判断いたしました。そこで、掲載記事の内容を参考にして、IPLocksのデータベースセキュリティ・ソリューションを再度下記にご紹介させて頂きます。

１）データベースセキュリティへの総合的アプローチ

アクセス・ログの収集方法が主に取り上げられておりますが、情報漏洩対策としてはその他にも段階的/多面的な対応が必要です。IPLocksでは以下に示す通り、段階的/多面的な対応を行う機能を提供しています。

　1.　DBMSの脆弱性評価　（セキュリティ上で弱い部分の評価･検出）
　2.　アクセス権限の変更監視
　3.　メタデータの変更監視
　4.　データベースに対する操作の監視
　5.　監査ログの蓄積、分析

これにより、データベースに対する全ての操作を監視し、規定されたセキュリティ・ポリシーが遵守されることを強制します。

さらに、当然のことながら、情報漏洩のみならずデータベース構造や情報内容の改ざん･破壊を監視･監査することが非常に重要です。

２）複数かつ異種DBMSの監視統合

監視対象DBMSとしてOracleに限定した内容となっておりますが、現実的には複数かつ異種DBMSが社内に存在するのが一般的です。

Oracleに重要なデータが格納管理されているケースが多いとは思われますが、分析用にデータを他DBMSに移動している場合なども想定すると、全ての異種DBMSに対して透過的且つ同一基準でのセキュリティ監視が行われるべきです。

IPLocksは複数かつ異種の全てのデータベースを集中して、同一基準で管理することができます。さらに、IPLocksはDBMS内にエージェントなどの特別なソフトウェアをインストールすることなく、DBMS情報を読むだけですので、最小限のリスクで導入･運用ができるように設計されています。

３）アクセス・ログ収集のパフォーマンス

掲載記事にはアクセス・ログ収集時のパフォーマンスに関する記述が大半を占めていましたが、収集される情報が正しいこと（アクセス・ログに抜けがなく収集できる）が大前提となります。

たとえ監視サーバやエージェントに障害が発生しても、アクセス・ログが完全に収集されることが保証されなければなりません。

また、当然ながら監視サーバやエージェントが全てのアクセス・イベントを完全にトラップしている事も保証されなければなりません。

IPLocksでは、エージェントも必要とせずに全てのアクセス・イベントを完全に捕捉するDBMSの機能を使用することでこの問題を解決しました。

IPLocks社はいくつかの情報収集のオプションを提供します。現在　開発中の情報収集オプションは、完全なアクセス・ログ収集機能を維持しながらパフォーマンスの低下がほとんどない機能で２００４年９月（日本では１０月）にリリース予定です。

４）データベース管理者とセキュリティ管理者の分離

データベース標準機能を使用している場合、データベース管理者自らの犯行は抑止できないとの記述がありましたが、従来はデータベース管理者がデータベースのセキュリティを管理しており、分離しない方が運用管理面で都合が良い場合もありました。

データベース管理者と分離したセキュリティ管理者を任命し、セキュリティの監視･監査を行うことでさらに強固なセキュリティ対策ができます。　IPLocksの特徴である外部監視機能によりデータベース管理者を含めてセキュリティ管理者が、独立して外部からのデータベース･セキュリティ監視･監査ができるようになります。

以上、簡単にコメントさせて頂きましたが、皆様がIPLocksの機能を理解頂く一助となれば幸いです。