今だから見直そうデータベースセキュリティ（後編）～「アイデンティティとアクセスの管理」と「発見的統制の実現」とは？～

前編では、データベースセキュリティとは？を整理したうえで、データベースセキュリティを考えるうえでの5つの観点をご紹介し、「1. データの保護」について解説しました。
※前編はこちらから
https://www.ashisuto.co.jp/db_blog/article/database-security-01.html

後編となる本記事では「2. アイデンティティとアクセスの管理」と「3. 発見的統制の実現」について解説します。

クラウドならではのセキュリティ対策を知りたい方はこちらもオススメ！

アイデンティティとアクセスの管理（権限設定、Database Vault）

データベースに格納されたデータを安全に取り扱うためには「データがしかるべき人物によって、正しい状態のデータをいつでも利用できる状態」であることが重要です。これを実現するために、アイデンティティとアクセスの管理は必ずおこなわなければならないことです。

具体的には以下をおこないます。これらは「知る必要性」の原則に基づいた「最小権限の付与」となります。

データベースに格納されたデータを分類する。
データベースに格納されたさまざまなデータに個別にアクセス可能な人物・グループを特定する。
その人物・グループにしかるべき権限・ロールを与える。
その人物・グループがデータベースにアクセスする際のパスワード管理を徹底する。
データベースに対する正規のアクセス経路を確認する。

【アイデンティティとアクセスの管理の例】

ポイント	説明
職務分掌による役割や権限の明確化と、最小化	・オブジェクトの所有者とアプリケーションユーザーの分離・アプリケーションユーザーとデータ管理ユーザーの分離・SYSDBA、SYSOPER、ANY権限、権限の付与権限の削減 ※SCOTT、DBSNMP、MDSYS、WMSYSなど、業務で利用していないアカウントを使用不可にすることも必要です
認証	・データベースにアクセス可能な端末を限定する・データベースの特権ユーザーの認証をOS認証からパスワード認証へ変更する・プロファイル機能を使用したデータベースユーザーのお明日ワード管理を強化する・リスナーによるアクセス許可IPアドレスの制御

しかし、ここで見逃せない重要なポイントがあります。データベースの特権ユーザをどのように制御するかです。特権ユーザは、データベース内部のすべてのデータにアクセスが可能です。そのため、特権ユーザによる情報漏洩・データ破壊のリスクも考える必要があります。そこで登場するのがOracle Database Vaultです。

Oracle Database Vaultはデータベースの特権ユーザのアクセス制御をおこなうことができる機能です。この機能を利用して特権ユーザによるデータアクセスを制御することによって、データ漏洩・破壊を防ぐことができます。

一般ユーザのデータ領域をレルムというデータベース内部の仮想的な領域に分割して扱うことによって、特権ユーザからのアクセスを制限することができます。また、特権ユーザ以外のユーザの特定データへのアクセスも曜日・時間帯に応じて制御が可能となるため、よりセキュリティを強固にすることができます。

【Oracle Database Vault機能】

データベース　権限の最適化

発見的統制の実現

発見的統制とは、「誰がいつ何のデータにアクセスしたか」に関する証跡（ログ）を残すことです。

アイデンティティとアクセスの管理の章でご紹介したとおり、「しかるべき人物のアクセスのみをデータベースが受け付ける状態」が理想と言えます。加えてデータベースに対して「誰がいつ何のデータにアクセスしたか」を定期的に監視することも非常に重要です。

仮に不正なアクセスが発生した場合、当該のユーザからデータベースに対してどのようなアクセスがあったのか、漏洩したと考えられるデータはどの程度の範囲であったかを把握することは、訴訟問題に発生した際に、自らの立場を正しく証明するためにも非常に重要なことです。

Oracle Database 12cからは統合監査機能が実装され、従来型の監査機能より低負荷で機能強化された監査をおこなうことができます。他にもサードパーティのデータベース監査ツールを導入することによっても、発見的統制の実現が可能となります。

【Oracle Databaseの監査機能】

Oracle Database　監査機能

さいごに

データベースに格納されたデータを安全に取り扱うための機能として権限設定とOracle Database Vault、発見的統制の実現のためのOracle Databaseの監査機能をご紹介しました。これらの機能の利用を検討してはいかがでしょうか。

全2回にわたってお話ししたデータベースセキュリティに関する本記事がお役に立てれば幸いです。

DBセキュリティウェビナーのご案内

企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは？

以下の観点で、クラウドならではのセキュリティ対策の活用法をお伝えします。

約20分の本ウェビナーでサクッとポイントを確認してみませんか？
オンデマンドでいつでもご視聴いただけます！

・クラウドコンピューティングのサービスモデル（IaaS、PaaS、SaaS）の違いと責任分界点
・クラウド環境の堅牢性は何で示されるか
・クラウド環境ならではの脅威
・Oracle Cloudに備わるデータベースセキュリティ

データベースセキュリティの基本を理解したい方、これからOracle Databaseのクラウド化を検討される方など、セキュリティ対策を担当する方にオススメです。

講師：渡邊敦（本記事の執筆者）

オンデマンドウェビナーの視聴はこちらから

執筆者情報

渡邊敦

ビジネスインフラ技術本部データベース技術統括部

2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案／啓蒙活動も担当し、二足の草鞋で活躍中。

■本記事の内容について
　本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。

■商標に関して
　・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
　・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
　　文中の社名、商品名等は各社の商標または登録商標である場合があります。