IT導入支援

会員限定

株式会社アクアシステムズ提供コンテンツ

2014年03月03日

アマゾン・クラウド利用者も必見!

背筋も凍る、本当にあったセキュリティの怖い話 クラウド時代を乗り切る処方箋

昨今、標的型攻撃やマルウェアの感染、意図的な内部犯行、あるいは人的な操作ミスなどによって、企業内の重要な情報が次々と漏えいし、社会的な問題になっている。もちろん企業も手をこまねいているわけではないが、ウイルス対策やファイアウォール、IPS/IDSの設置など、外からの攻撃については一定の対策を行っている一方で、企業の中のデータ、特にもっとも重要な情報が格納されているデータベースに目線を移すと、背筋も凍るようなセキュリティ対策で済ませているケースが少なくない。今後アマゾンに代表されるようなパブリッククラウドを利用し、社外にデータを保管するケースも増えていく中で、企業のデータはどのようにすれば安全に守りきることができるのだろうか。

えっ! それって本当? データベース・セキュリティのトンデモ話

photo

アクアシステムズ
Sales Division
マネージャー
安澤 弘子 氏

 セキュリティというと、サイバー攻撃や、ウイルス対策、ファイアウォールやIDS/IPSによる境界防御について頭に浮かべる人が多いかもしれない。もちろん、これらも重要なセキュリティ対策だが、ほとんど手付かずの対策もある。それがデータベースに関するセキュリティだ。

 「セキュリティリスクについてみてみると、実は最も重要な情報が蓄積されているはずのデータベースに対して、あまり目が向けられておらず、これが大きな穴になってしまうことが少なくありません」と警鐘を鳴らすのは、アクアシステムズの安澤弘子氏だ。

 ご存じのようにセキュリティに100%はなく、多層防御で考えていく必要があるが、一番重要な情報があるデータベースの部分が手薄になっているという現実は、にわかに信じがたいところもある。

 しかし情報セキュリティ・アドミニストレーターとして、数多くの現場を見てきた安澤氏は、愕然とするようなデータベースの本当にあった怖い話があるという。

「ある企業において、機密情報が詰まったデータベースにどうしても特権ユーザーでログインする必要があり、担当者にパスワードを聞くと、現場の担当でないので分からない、との答が返ってきました。そこで念のため、データベースをインストールした時の初期パスワードで試してみたところ、何とデフォルトのままで簡単にログインできてしまったのです」(安澤氏)

 また、こんな体験もあったそうだ。

「とある企業で、データベース・ユーザーの利用状況を調べていたのですが、数ヵ月もデータベースにログインすらしていないユーザーが数百人も存在していることに気づきました。不思議に感じてユーザーを確認してみると、すべてが退職者のアカウントだったのです」(安澤氏)

 セキュリティ意識の高まっている昨今ではさすがにここまでの企業はないかもしれないが、少し考えればこれらがいかに恐ろしいことか想像が付くだろう。

 もちろん、企業によっては専任のDBAがおらず、システム管理者が兼任しているケースがあり、データベース管理まで手が回らないとういう実情があるかもしれない。もしくは日本企業ならではの性善説に立った慣習かもしれない。しかし、それで機密情報が漏えいしてしまっては元も子もない。

 また、商用のデータベース以上に危険なのが、オープンソース系データベースだ。無償であるがゆえに、最初はセキュリティレベルを下げて、使いやすい設定で使い始め、その状態のまま利用を継続しているケースは少なくない。今やエンタープライズで、MySQLなどの利用も多くなっていることを考えれば、早急に管理対象とすべきだが、数が増えすぎて手に負えない、という状況に陥っているケースもあるだろう。

 さらに言えば、アマゾンをはじめとしたクラウドサービスも、今後はますます利用が増えるだろう。また、データベース機能をサービスとして提供する「DBaaS」(DataBase as a Service)と呼ばれる新たな利用形態も盛り上がりを見せ始めている。

 となれば、そのセキュリティ対策の重要性が一段と増すのはもちろん、オンプレミスとクラウドを横断的に管理する体制が求められる。このように今、多角的な面で、データベース・セキュリティに本腰を入れるべき時が来ているのである。

この記事の続き >>
商用とオープンソースの混在環境でどう管理する?
アマゾンクラウド上のデータベースをどう管理する?

この続きは会員限定です