データベースセキュリティの現状を知る

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

データベースセキュリティの現状を知る

2009/10/20


 データベースにおけるセキュリティの弱点はどこか?現在の日本企業ではどこまでの対策がとられているのだろうか?今回は、データベース・セキュリティ・コンソーシアムDBセキュリティ安全度セルフチェックワーキンググループによる「データベースセキュリティ安全度セルフチェック統計データ」(2009年6月30日発行Ver 1.1)をもとに日本企業の現状を見てみよう。そこでますます明らかになるのは、アイデンティティ管理とログ管理の重要性だ。後半では、これらの対策において重要なポイントを紹介していく。

データベースセキュリティ


1

データで確認!データベースセキュリティ対策の現状

1-1

大半の企業がまだまだ対策が未整備

 データベース・セキュリティ・コンソーシアムは、データベースセキュリティの普及促進を図る目的で、ユーザとシステムインテグレータを中心に、データベースベンダ、セキュリティベンダで組織している業界団体だ。同コンソーシアムでは、データベース・セキュリティ・ガイドライン(PDF)の作成および公開や、それをもとにした「データベースセキュリティ安全度セルフチェック」サービスなどを提供している。
 同コンソーシアムでは、2009年2月〜6月までに安全度セルフチェックサービスを利用した企業・組織(121件)について統計資料をまとめている(PDF)ので、まずはこれをもとに日本の企業・組織のデータベースセキュリティの現状を確認しておこう。同資料では、安全度セルフチェックの結果を次のようにレベル分けしている。

A:

重要とされる対策は十分に実施されている状態。

B:

いくつかの重要とされる対策が実施できておらず、不足している対策実施の検討が望まれる状態。

C:

実施できていない重要とされる対策が多く、早急な対策実施の検討が必要な状態。

D:

セキュリティ対策ができておらず、抜本的な改善・対策実施の検討が必要な状態。

 このレベル分けに従って、利用企業・組織のレベル別パーセンテージを出したのが、右の図1だ。なんと約80%がレベルCまたはDに分類されている。もちろん不安があったからこそ安全度セルフチェックに臨んだと考えることはできるが、非常に危険な状態で運用されているシステムが多いことが推測される。特にレベルDは、同コンソーシアムが発行するデータベース・セキュリティ・ガイドラインが示す「必須」対策の半分以上ができていないというレベルであり、セキュリティ上大きな問題がある。

図1 安全度セルフチェック診断結果
図1 安全度セルフチェック診断結果
資料提供:データベース・セキュリティ・コンソーシアム

 なお、利用企業・組織をシステム構成別に見ると、Webアプリケーション(インターネット)のシステム構成が最も多く(40.5%)、次いでWebアプリケーション(イントラネット)(35.5%)、クライアント/サーバ(イントラネット)(21.5%)、メインフレーム(2.5%)の順に多い。これには絶対数の多寡以外にもWebアプリケーションを運用している企業・組織のほうがデータベース・セキュリティに関心が高いことがうかがえる。このシステム構成別に診断結果レベル別比率を見てみると、図2のとおりだ。

図2 システム構成別診断結果レベル別比率
図2 システム構成別診断結果レベル別比率
資料提供:データベース・セキュリティ・コンソーシアム

 ここから、利用率の順に診断結果レベルが高い現象が見てとれる。特にインターネット経由で利用するシステムのセキュリティ対策が進んでいるのは、インターネットからの脅威の種類と量がともに多いことと関連していよう。なお、メインフレームに関してはほとんど対策がされていないと見ることができるが、この件数はわずか3件であり、国内全体での実状が反映されているとはいいがたい。
 同様に利用企業・組織を業種別に見ると、情報サービス(ソフトウェア、情報処理)(21.0%)インターネット付随サービス業(13.4%)が多く、そのほかの業種はいずれも1割未満の利用率となっている。製造、卸売・小売業、金融・保険業、情報通信業、政府・行政など、様々な業種で利用されていることがわかる。続いて、用途別に見てみよう(図3)。

図3 用途別診断結果レベル別比率
図3 用途別診断結果レベル別比率
資料提供:データベース・セキュリティ・コンソーシアム

 金銭のやり取りが発生したり、顧客情報を保護したりする必要がある「保険・金融」、「ネットショッピング」のレベルが比較的高いところが特徴だ。「決済」に関してはいずれも「C」レベルだったが、対象数が5件と少ないため、これも一般化して考えると実状と異なる可能性がある。

セキュリティ情報局にご登録頂いた方限定で「データベースセキュリティの現状を知る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

データベースセキュリティ/データベースセキュリティの現状を知る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「データベースセキュリティ」関連情報をランダムに表示しています。

データベースセキュリティ」関連の特集


“内部からの情報漏洩対策”連載第2弾は「アクセス制御」に注目。システムやワークフロー上でポリシー外の…



情報漏洩の大半が内部犯行によるデータベースの不正使用が原因。実際の事件を教訓に、DBセキュリティへの…



 前回はサイバー攻撃の脅威を防ぐためには、解消すべき隙(脆弱性)を認識し、対策することが必要であり、…


「その他エンドポイントセキュリティ関連」関連の製品

Webシステム ファイル持ち出し防止 「ファイルプロテクト for IIS」 【ハイパーギア】 接続先ネットワークの制限/デバイスの利用禁止 秘文 Device Control 【日立ソリューションズ】
その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連
Windows Server OSでIISを利用したWebシステムに連携。ファイルはそのままでユーザがファイルを参照するタイミングに持ち出し禁止や印刷禁止のPDFをオンデマンド生成する。 デバイスやWi-Fiの利用を制限し、エンドポイントからの情報漏洩を防止。
スマートフォン、USBメモリなど様々なデバイスの利用を制限。
Wi-Fi制御、VPN利用の強制機能も搭載。

「その他エンドポイントセキュリティ関連」関連の特集


 前回は、脆弱性を狙った攻撃への対策として仮想パッチという技術を説明したが、今回は具体的にどのような…



2007年度は前年比57.0%増の出荷金額71.9億円、2008年度は43.7%増の103.8億円と…



 前回は、企業の情報システムが抱える「脆弱性」について詳しく述べた。今回は、企業がWebサイトを安全…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003286


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ