企業や組織において、データの重要性はますます高まっています。例えば、業務で発生するデータを蓄積・整理してビッグデータとして、データサイエンスによって新たな知見を得るという利用方法があり、DXの実現の鍵の一つといえるでしょう。
一方、データの流出や漏えいのリスクの高さも広く知られるようになってきました。ニュースを見ていても、多大な損害が発生しているケースは少なくありません。
企業のデータベースに格納された大量のデータは、サイバー攻撃の格好の餌食であるのと同時に、攻撃を受けた際には甚大な被害が予想されます。
本記事ではデータベースセキュリティについて、概要、必要性、実施すべき内容や注意点について解説します。
また、企業におけるDXやデータ活用の際に情報セキュリティと掛け合わせて相乗効果を生む方法をまとめたPDF資料を無料で配布しています。ぜひご活用ください。
データベースセキュリティとは
データベースセキュリティとは、言葉の通りデータベースに関するセキュリティ対策のことを意味しています。
企業のデータベースには、重要な情報がふんだんに含まれています。データの流出や漏えいが起きてしまうと、企業や組織の信頼は失墜し、損害賠償にもつながりえるものです。
データベースに格納されている情報に対しては、利用できるユーザーを限定する、ユーザーがアクセスできる範囲を限定するといった利用上の制限が必要となります。また、サイバー攻撃による流出や漏えいを防ぐためにも暗号化などの、ITによる仕組みを利用した対策も実施します。
あらためてデータベースとその重要性の確認
データベースとは、データの構造的な集合という意味を持っています。一般的にはデータベースはコンピュータ上に構築するものであり、データを効率的に格納・抽出するために利用するソフトウェアのこともデータベース管理システム(DBMS)と呼びます。
ITシステム、アプリケーション、サービスにおいて、情報の保持を行うために広く利用されている仕組みです。
データベースには、あらゆるデジタルデータが格納できます。情報を文字列として項目ごとに登録する場合もあれば、ファイルなどの形式で格納しているケースもあります。格納する内容も様々で、企業の機密情報や個人情報などをまとめて管理している場合も少なくありません。データベースにまとめて格納してあることで、ITシステム上などで利用しやすい状態となっており、情報資産としての価値も高まります。
データベースは重要な情報を大量に格納できるため、サイバー攻撃を受けた場合に被害が大きくなる傾向があるため、しっかりセキュリティ対策を施す必要があります。
データベースセキュリティの必要性
データベースおよびデータを収集する仕組みは、ITシステムやアプリケーション、サービスにおいては幅広く利用されています。データを長期的に保存したい場合に利用し、例としてはIDとパスワードの保持などがあげられます。
近年ではDXや業務のデジタル化に伴い、利用するデータの量は膨大になっています。
また、一時的に利用した後に破棄されるデータは少なく、多くは保存され、ETLなどを用いたデータ分析基盤を通しビッグデータ、データウェアハウスなどに格納されて新たな利用が行われます。
これらの情報には重要な内容も多く含まれます。例えば、クレジットカード番号などの決済に関わる情報やマイナンバー。これらの情報は、価値が高く、流出や漏えいが発生した場合には甚大な被害につながるリスクも隣り合わせです。このリスクへの対策がデータベースセキュリティの必要性につながります。
さらには、コンピュータの利用環境の変化に対しても、セキュリティ確保への対応を必要とするものです。クラウドとオンプレミスの混在も一般的で、データベースもネットワークを介して利用するケースが増加、こうした環境変化にも考慮が必要です。
サイバー犯罪の手口の複雑化、中でも内部不正による被害は拡大傾向にあります。データベースのアクセス権限を設定することで防げたと思われるケースも多々存在しています。
データベースという情報資産そのものへのアクセスのタイミングでセキュリティチェックを行う方式は、セキュリティの大きな潮流であるゼロトラストシフトの一環でもあります。今後の企業や組織にとって、重要な取り組みといえるでしょう。
データベースからの情報漏えい事例
NTT西日本関連子会社での900万人分の個人情報流出
2023年10月、顧客からの問い合わせにより発覚し、NTT西日本関連の子会社にて900万人分の個人情報が流出しました。NTT西日本社長が謝罪する事態にまで発展しており、大きく報じられています。
元派遣社員による内部不正から情報が流出したとみられ、ダウンロードした個人情報をUSBメモリにて外部に持ち出したと発表されました。該当の元派遣社員がデータベースへのアクセスができる状況にあったために起きた問題といえるでしょう。
福岡の病院で個人情報など最大5万人分が閲覧可能な状態に
2023年7月、福岡の病院が最大5万人分の個人情報などが閲覧可能な状態にされてしまったサイバー攻撃被害を公表し、謝罪しました。情報には患者の氏名、住所、病名、投薬内容などが含まれています。
職員の端末がサポート先から遠隔操作され、データベース内の情報が閲覧可能にされてしまいました。この病院では、問題発覚後より高度なセキュリティのデータベースをもつシステムに移行しています。
全日空のマイレージクラブ会員情報の流出
2021年3月、全日本空輸はマイレージ会員の情報およそ100万人分が流出したことを発表しています。この情報は複数の航空会社に予約システムなどを提供するスイスSITA社のデータベースに対する不正アクセスが発端とされています。
自社の保有するデータを外部に預けた際にも、データベースに対するセキュリティの確保が必須であることを示す事例となっています。
データベースセキュリティの今
データベースセキュリティ対策としては、下記の方法が挙げられます。
暗号化
データベースに格納されたデータを暗号化する技術です。
暗号解読のための鍵(多くの場合はパスワード)を持っていなければデータの中身を確認できません。
多要素認証
データベースへのアクセス時のユーザー認証において、IDとパスワードのみの認証ではなく、複数の認証方法を組み合わせた多要素認証が取り入れられるケースも増えました。
所有物や生体による認証を組み合わせることで利用するユーザーを制限することができます。
アクセス制御
データにアクセスできるユーザーを制限する機能はもともと存在していましたが、近年ではその利用が浸透しつつあります。あらかじめ管理者によりアクセス制限を設定しておくことで、必要以上のデータアクセスを制御できます。
総合的なセキュリティ確保
データベースのセキュリティ対策と言っても、対策する対象は、マルウェア感染や不正アクセス、ITシステムの不正操作と言った数多のサイバー攻撃です。
企業や組織が総合的なセキュリティを高めていれば、データベースへのアクセスも防ぐことが可能です。
データベースのセキュリティでまず対応すべき内容
データベースのセキュリティ確保には、まずセキュリティポリシーを定め、ポリシーに沿って対策を実施することがスムーズです。
セキュリティポリシーの策定とポリシーに沿った対策
セキュリティポリシーは、企業や組織のセキュリティ対策における方針や行動指針をまとめたものです。
セキュリティ対策を実施するにあたり、守るべき情報資産の範囲、どのような攻撃を想定するか、どのように守るかといった基本的な考え方を示し、基本方針、対策基準、組織内のルール、セキュリティ確保の体制、運用規定などを定めます。
このセキュリティポリシーが定められていない場合には、その策定から着手する必要があります。セキュリティポリシーは組織の事業や規模、扱う情報などにより異なるため、自組織に沿ったポリシーを作ることが必要です。
LRMでは、情報セキュリティの策定・運用ポイントをサンプル付きでまとめたPDF資料を無料で配布しています。ぜひご活用ください。
技術的な対策(製品側の機能の活用)
セキュリティポリシーで守るべき情報資産や想定される攻撃、守り方などが分かれば、それらの攻撃への対策に利用できる製品の選定・導入を行いましょう。一般的に想定される攻撃に対しては、セキュリティベンダーなどが対策となる製品を提供しています。セキュリティポリシーに沿った対策としてマッチする製品を選ぶことから始めましょう。
データベース向けのセキュリティ対策の場合、データベース製品に付属する機能としてセキュリティ機能が提供されている場合も多いです。そこまで重要な情報を扱っていない場合、そうした機能で十分な可能性もあります。
データベースを利用するアプリケーションの対策(インジェクション対策などセキュアプログラミング)
データベースの利用に関しては、アプリケーション(システム、サービス)からのアクセスも存在しています。特にWebアプリケーションの場合には外部からアクセスが可能で、アプリケーション内ではデータベースの情報を参照・更新していることが非常に多いです。
このアプリケーションの操作・処理において、アプリケーション製作者が意図していない操作を外部からの利用者が実施し、データの搾取や改ざんを行う攻撃としてSQLインジェクションがあります。Webの入力項目に対し、不正なSQL(データベース操作のための命令)が実行されるような入力を行うものです。
このような攻撃に対しては、アプリケーション側で操作を無効化するようプログラミングする、セキュアプログラミングが必要となります。アプリケーションの開発者や運用管理者と対策状況を把握して取り組みます。
アクセス制御と監査
多くのデータベース製品はデータベースにアクセスするユーザーやユーザーに対してアクセス可能な範囲を制限するための機能を持っています。この機能を利用して、どのユーザーにどれだけのアクセスを許可するかを定めて運用することも重要です。データベースにおいても、最小権限の原則に従い、必要最小限のアクセスのみを許可するべきです。
また、このアクセス制御の運用を行いながら、実際のアクセスの履歴を取得し、不審なアクセスがないかどうかを継続的に監査することも対策となります。システムの監視とも関わっており、あわせてデータベースへのアクセスも監視対象とできればより効率的です。
こうしたルールや情報セキュリティポリシーを作成し、それに則って取り決めましょう。
フィッシング対策、アンチウイルスソフトや通信暗号化などの総合的セキュリティの確保
データベースの周辺でのセキュリティ対策と同時に、より広範に総合的なセキュリティ対策を行うことも重要です。アクセスできるユーザーの制限をしても、権限が大きいユーザーのアクセス情報が流出・漏えいしてしまってはセキュリティは確保できません。
外部に攻撃の糸口を与えないためにも、接続情報やデータの外部送信を防ぐため、フィッシングへの対策、アンチウイルスソフトの導入、通信の暗号化など基本的な対策を抜け漏れなく実施することが大切です。
データベースのセキュリティを実施するうえでの注意点
データベースのセキュリティでは、大きく下記の3点に軸をおいて対策を実施します。
- 予防(予防的統制)
- 検出(発見的統制)
- 管理(構成管理)
自社の利用するデータベース製品の特性、データの特性、コスト、費用対効果など総合的な考慮を行って対策にあたります。
また、セキュリティ対策一般に言えることですが、すべてのセキュリティ対策を100%こなすことは、コスト・リソースの面から考えて、ほぼ不可能です。
しっかり、自社にとって必要なセキュリティ対策は何か、それにはどれだけの費用対効果があるのか、その対策対象はどれだけ危険なのかを見極め、優先順位をつけて対策にあたりましょう。
まとめ
企業や組織のデータベースには、業務で利用する個人情報や機密情報が膨大に含まれます。
情報が漏えいした場合、甚大な被害や信用失墜は避けられません。データベース製品の機能による対策、利用に関する組織のルール、アクセスの制御などの手法を用いて、データベースのセキュリティ確保を行いましょう。
また、企業におけるDXやデータ活用の際に情報セキュリティと掛け合わせて相乗効果を生む方法をまとめたPDF資料を無料で配布しています。ぜひご活用ください。
