データベースセキュリティの現状を知る

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

データベースセキュリティの現状を知る

2009/10/20


 データベースにおけるセキュリティの弱点はどこか?現在の日本企業ではどこまでの対策がとられているのだろうか?今回は、データベース・セキュリティ・コンソーシアムDBセキュリティ安全度セルフチェックワーキンググループによる「データベースセキュリティ安全度セルフチェック統計データ」(2009年6月30日発行Ver 1.1)をもとに日本企業の現状を見てみよう。そこでますます明らかになるのは、アイデンティティ管理とログ管理の重要性だ。後半では、これらの対策において重要なポイントを紹介していく。

データベースセキュリティ


1

データで確認!データベースセキュリティ対策の現状

1-1

大半の企業がまだまだ対策が未整備

 データベース・セキュリティ・コンソーシアムは、データベースセキュリティの普及促進を図る目的で、ユーザとシステムインテグレータを中心に、データベースベンダ、セキュリティベンダで組織している業界団体だ。同コンソーシアムでは、データベース・セキュリティ・ガイドライン(PDF)の作成および公開や、それをもとにした「データベースセキュリティ安全度セルフチェック」サービスなどを提供している。
 同コンソーシアムでは、2009年2月〜6月までに安全度セルフチェックサービスを利用した企業・組織(121件)について統計資料をまとめている(PDF)ので、まずはこれをもとに日本の企業・組織のデータベースセキュリティの現状を確認しておこう。同資料では、安全度セルフチェックの結果を次のようにレベル分けしている。

A:

重要とされる対策は十分に実施されている状態。

B:

いくつかの重要とされる対策が実施できておらず、不足している対策実施の検討が望まれる状態。

C:

実施できていない重要とされる対策が多く、早急な対策実施の検討が必要な状態。

D:

セキュリティ対策ができておらず、抜本的な改善・対策実施の検討が必要な状態。

 このレベル分けに従って、利用企業・組織のレベル別パーセンテージを出したのが、右の図1だ。なんと約80%がレベルCまたはDに分類されている。もちろん不安があったからこそ安全度セルフチェックに臨んだと考えることはできるが、非常に危険な状態で運用されているシステムが多いことが推測される。特にレベルDは、同コンソーシアムが発行するデータベース・セキュリティ・ガイドラインが示す「必須」対策の半分以上ができていないというレベルであり、セキュリティ上大きな問題がある。

図1 安全度セルフチェック診断結果
図1 安全度セルフチェック診断結果
資料提供:データベース・セキュリティ・コンソーシアム

 なお、利用企業・組織をシステム構成別に見ると、Webアプリケーション(インターネット)のシステム構成が最も多く(40.5%)、次いでWebアプリケーション(イントラネット)(35.5%)、クライアント/サーバ(イントラネット)(21.5%)、メインフレーム(2.5%)の順に多い。これには絶対数の多寡以外にもWebアプリケーションを運用している企業・組織のほうがデータベース・セキュリティに関心が高いことがうかがえる。このシステム構成別に診断結果レベル別比率を見てみると、図2のとおりだ。

図2 システム構成別診断結果レベル別比率
図2 システム構成別診断結果レベル別比率
資料提供:データベース・セキュリティ・コンソーシアム

 ここから、利用率の順に診断結果レベルが高い現象が見てとれる。特にインターネット経由で利用するシステムのセキュリティ対策が進んでいるのは、インターネットからの脅威の種類と量がともに多いことと関連していよう。なお、メインフレームに関してはほとんど対策がされていないと見ることができるが、この件数はわずか3件であり、国内全体での実状が反映されているとはいいがたい。
 同様に利用企業・組織を業種別に見ると、情報サービス(ソフトウェア、情報処理)(21.0%)インターネット付随サービス業(13.4%)が多く、そのほかの業種はいずれも1割未満の利用率となっている。製造、卸売・小売業、金融・保険業、情報通信業、政府・行政など、様々な業種で利用されていることがわかる。続いて、用途別に見てみよう(図3)。

図3 用途別診断結果レベル別比率
図3 用途別診断結果レベル別比率
資料提供:データベース・セキュリティ・コンソーシアム

 金銭のやり取りが発生したり、顧客情報を保護したりする必要がある「保険・金融」、「ネットショッピング」のレベルが比較的高いところが特徴だ。「決済」に関してはいずれも「C」レベルだったが、対象数が5件と少ないため、これも一般化して考えると実状と異なる可能性がある。

セキュリティ情報局にご登録頂いた方限定で「データベースセキュリティの現状を知る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

データベースセキュリティ/データベースセキュリティの現状を知る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「データベースセキュリティ」関連情報をランダムに表示しています。

データベースセキュリティ」関連の特集


 前回の 「"データベース暗号"は本当に必要なのか?<1>」 では、<データベース暗号> で防ぐこと…



不正アクセス増加に伴い、セキュリティ対策の必要性は高まる一方!進化する“セキュリティ診断サービス”の…



 前回は、なぜ私たちJNSA情報セキュリティ対策マップWG(ワーキンググループ)が情報セキュリティ対…


データベースセキュリティ」関連のセミナー

日韓協力によるIoTグローバル展開、欧州・アフリカの事例 【大韓貿易投資振興公社】 締切間近 

開催日 4月25日(水)   開催地 東京都   参加費 無料

韓国と日本のそれぞれの強みを生かし、IoTのビジネスでグローバル展開をしている、韓国のベンチャー企業の事例と、KOTRA東京IT支援センターに入居しているユ…

「その他エンドポイントセキュリティ関連」関連の製品

ブラウザからの感染を防ぐ、リモートブラウザ分離ソリューションとは? 【アシスト】 これからのインフラ構築の“新標準”、「高セキュリティHCI」を解剖する 【トレンドマイクロ株式会社】 超高速秘密分散ソリューション 「SYMPROBUS Divide API」 【アクモス】
その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連
ブラウザからの感染を防ぐ、リモートブラウザ分離ソリューションとは? ハイパーコンバージドインフラで高セキュリティを実現するには? 電子ファイルを解読不能な断片に超高速で分散するクラウドAPIサービス。暗号化とは異なり、断片ファイルが漏えいしても解読は不可能。DR対策や複数人認証にも応用できる。

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003286


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ