ラック、SQLインジェクションなどに備えるデータベースセキュリティ対策のレポートを公開

　ラックは12日、SQLインジェクションなど、データベースセキュリティの対策レポート「事故前提社会のデータベースセキュリティ～データベースによるWebサイトセキュリティの実際～」を発表した。

　本レポートは、ラックの研究機関であるサイバーリスク総合研究所のデータベースセキュリティ研究所が、SQLインジェクションの検知・調査や「情報漏えい緊急対応サービス」を通して得た情報を基に、Webシステムにおけるデータベースのセキュリティ対策をまとめたレポート。

　ラックのセキュリティオペレーションセンターJSOC（ジェイソック）が検知している統計によると、Webアプリケーションの脆弱性を悪用する「SQLインジェクション」の攻撃数は、2008年12月のピーク時に1日あたり約120万件もの攻撃（過去最多）が行われた。この攻撃で多くのWebサイトが、Webアプリケーションの欠陥を突かれるなどの被害に遭ったという。

　ラックによれば、今後は事前の予防対策だけで安全を確保することは困難になることが予想され、万が一の事態をあらかじめ想定した対応策を用意しておくことが重要だと指摘。従来からの侵入検知システム（IDS/IPS）やWebアプリケーションファイアウォール（WAF）などを利用した、ネットワークやアプリケーションの防御策に加え、Webシステムを支えるデータベースにも異変や被害を早期に検知する仕組みを講じる必要があると主張している。

　本レポートは、実際の攻撃コードの実行例や具体的な対策方法について12ページ程度にまとめたものになっている。ラックのWebサイトにて会員登録後（無料）、ダウンロードできる。