日本オラクルは2015年4月9日、10日の2日間にわたって「Oracle CloudWorld Tokyo 2015」を開催した。これに合わせて来日した米オラクルのデータベースセキュリティ プロダクトマネジメント シニアディレクターのポール・ニーダム氏に、「データ」を中心としたセキュリティ対策の在り方について尋ねる機会を得た。

「ポイントは二つある。まず、セキュリティはなるべくデータの近くで実施すること。もう一つは、『これだけで大丈夫』という素晴らしい解決策などというものはないということ。アクセス制御や暗号化など複数の手段を組み合わせ、多層的な防御を実現していくことが重要だ」（ニーダム氏）

基本を押さえておけば、情報漏えい対策はそれほど難しくないと語った米オラクルのデータベースセキュリティ プロダクトマネジメント シニアディレクターのポール・ニーダム氏

日本では、昨年発生したベネッセコーポレーションでの情報漏えい事件のインパクトが記憶に新しい。同氏は、この一件もさることながら、情報漏えい事件は日本に限らず世界中でたびたび発生しており、「政府機関や防衛関連だけでなく、あらゆる分野の企業で情報漏えいに対する注意の意識が高まっている」という。

ニーダム氏は、漏えいの原因は大きく二つあると述べた。一つは、認証に用いられるクレデンシャル（認証に用いられるIDやパスワードなどの情報）の悪用だ。米Verizonの調査でも、外部の攻撃者が、権限を持つ内部関係者のクレデンシャルを盗み出して悪用するケースが多いと報告されているという。もう一つは、SQLインジェクションだ。

そして最もターゲットにされるのは、肝心のデータが保存されている「データベース」だ。だが、「多くの企業は、境界型セキュリティやエンドポイントセキュリティといった部分には注力しているのに、コントロールが欠如しているため、必要なセキュリティレベルが得られていない」とニーダム氏は指摘した。

基本を押さえておけばマイナンバー対応は難しくない

例えば米カリフォルニア州では、情報漏えい対策法（Security Breach Notification Law）によって、暗号化していないデータが流出してしまった場合、企業はその旨を顧客に通知しなければならないとされた。このように、セキュリティやプライバシーに関するさまざまな法規制を遵守する意味からも、漏えい対策は待ったなしという状況だ。

こうした動きを追い風に、「うちには重要なデータはない、だから漏えい対策は自社には関係のないこと」とする企業の風潮も変わり始めているという。「この1年ほど、顧客と話していて風向きが変わってきたのを感じている。日本でもじきにマイナンバー制度が始まることから、顧客の関心は高まっている」とニーダム氏。「日本オラクルと連携しながら支援している」という。

マイナンバーに関してはさまざまな「対応ソリューション」が打ち出され、大げさに受け取られがちだが、データをどのようにコントロールするかというポイントさえ押さえておけば、それほど心配する必要はないというのがニーダム氏の意見だ。

「マイナンバー対応といっても実はそんなに難しい話ではない。セキュリティは開発プロセスの一部であるべきであり、戦略立案、分析、開発、テスト、そして展開という全てのフェーズにおいてセキュリティを組み込んでおけばいい」という。

具体的には「誰がデータにアクセスできるべきか」「どこにデータを置くべきか」といった事柄を整理し、アーキテクチャを構築する際の基盤にすることが肝心だと同氏は説明した。逆に言えば、この部分を明確にし、それをデータアクセス時のコントロールという形で実施できていれば、慌てて右往左往する必要はない、ということだ。

「予防」「発見」「管理」全てのフェーズで統制を

ニーダム氏は合わせて、同社が「予防」「発見」「管理」という三つのフェーズにまたがり、統制（コントロール）に基づく防御の提供に取り組んでいることを説明した。

漏えいを防ぐための「予防的統制」に関して文字通り鍵となるのは「暗号化」だ。このとき、認証をバイパスされるリスクに備え、鍵管理も含めて取り組む必要があると同氏は指摘した。加えて、内部関係者による不正を防ぐ「データベースへのアクセス制御」も不可欠だ。「先に述べた通り、盗まれたクレデンシャルが情報漏えいの大きな原因になっている。そこで、デフォルトで高い権限でデータベースにアクセスされることを防ぐ」（同氏）。

また予防的統制の一環として、これまであまりフォーカスされてこなかったが、必ずしも見える必要のないデータ、特にプライバシーに関するデータを必要に応じてマスクする「データリダクション」やデータの「匿名化」、データの「マスキング」といった手法によって、「パートナーによる開発環境やテスト環境においてもデータを保護できる」とした。

二つ目の発見的統制は、いわゆる「監査」に代表される取り組みだ。「事後に、誰が何をしたかを確かめる監査データを取りまとめ、安全な形で蓄積していく仕組みが必要だ」（ニーダム氏）。このため、OSやディレクトリといったプラットフォーム側のデータに加え、SQL文の内容まで確認できるデータベースファイアウォールの情報も組み合わせ、全体を把握できる仕組みが必要だとした。これは、コンプライアンス上も有効な手法だという。

最後の「管理」は、機密データの検出と特権管理、鍵管理、構成情報のスキャンといった要素から構成される。特に「Oracle KeyVault」では、データベースを暗号化する際の肝心の「鍵」を、エンタープライズ全体にまたがって一元的に管理するとした。

こうした一連の制御、具体的にはアクセス制御や暗号化といったセキュリティ機能は、同社の場合、「Oracle Database 12c」をはじめとする製品で、透過的に提供しているという。

「どんなデータを持っているか」が最初の一歩

とはいえニーダム氏は、漏えい対策の基本はシンプルなものだと強調した。

「『データベースのセキュリティに関して何から始めればいい？』とよく質問を受けるが、まずは、どんなデータを持っているかを把握することが第一歩。それが明らかになれば、どんな統制によってどう守るかをエンタープライズ全体で標準化し、ロードマップを明確化していける」（同氏）。

同氏のオススメは、データの重要度を4段階に分け、制御をマッピングしていくというやり方だ。パッチの適用やセキュアな構成を行うというレベルをベースラインに、扱うデータの性質に応じて、コントロールを追加していく。例えば、プライバシーに関わるデータを扱うならば暗号化やマスキングといった手段を、より機密性の高いデータについてはアクセス制限やSQLトラフィックの監視も、そしてさらに、非常にセンシティブなデータが対象となる場合は、特権管理も含めたよりレベルの高いアクセスコントロールを、といった具合だ。

ちなみにオラクルでも、はじめからセキュリティ機能を取り入れるという取り組みを推進している。今回の取材はデータベースにフォーカスしたもので、Javaなどその他のプロダクトについては触れていないが、「オラクルの開発者も全て、セキュアコーディングに関するトレーニングを受けている。もうコードは書いていないが、私自身もトレーニングを受講している。新しい脅威に応じて、トレーニング内容もアップデートしている」という。「セキュリティ はオラクルのDNAに含まれている」と強調するニーダム氏。こうしたスタンスは、業種を問わずどの企業にとっても重要なものなのかもしれない。