今年のIOUGデータ・セキュリティ・サーベイでは、特にデータベース・セキュリティの状況に焦点を当て、2013年に実際にどのように分野で先進的な組織と遅れている組織のパフォーマンスを分析しています。この調査では、データベース・コンテンツの機密性または制限の識別、静止時または移動中のデータの暗号化、および本番データベースの不正アクセスまたは改ざんの監視という3つの基本的な保護を完了している企業を「リーダー」と呼んでいます。対照的に、遅れをとっているのは、これらの分野のいくつかでパフォーマンスが不十分な企業です。調査結果によると、回答者の約22パーセントがリーダー、約20パーセントがラガード、残りはミッドレンジに分類されました。
意外なことに、先進的な組織は、データ侵害を経験する可能性が、遅れている組織の3分の1に過ぎないと報告しています。このような組織の日常的なデータベース・セキュリティ慣行へのアプローチを調査することは、私たち全員をデータベース・セキュリティ・プロトコルにおいてより最適な結果へと導く貴重な教訓を提供します。
1.機密データがどこにあるかを理解していること
組織が社内の機密データの所在を明確に把握しない限り、その情報の保護と管理に的を絞って取り組むことは困難です。IOUGの調査によると、現在約70%の組織が、どのデータベースに機密情報や規制情報が含まれているかを明確に把握していると回答しています。これは、3年前と比べて大幅に改善されています。2010年の調査では、このような回答を自信を持ってできる組織は半数強でした。このことは、管理体制を整えるためだけでなく、管理体制を整えた後に、外部組織がそのようなインシデントを特定し、警告するのを待つのではなく、組織がより積極的に違反を特定できるようにするためにも重要です。
「オラクルのデータベース・セキュリティ製品管理ディレクターであるロクサーナ・ブラデスク氏は、次のように述べています。「データ漏洩がニュースメディアや第三者によって発見され、通知されることを望む人はいません。このようなコントロール・メカニズムがあれば、少なくともデータ漏洩が発生したかどうかを自分で調べることができます。
2.頻繁な監査
データベースへのアクセス方法を監査する組織は増えていますが、監査の頻度はまだ増やす必要があります。2010年の調査では、データ・セキュリティ監査を月に1回以上実施できた企業はわずか15パーセントでしたが、現在ではその割合は23パーセントにまで上昇しています。
この点で、先進企業は後発企業に対して大きな優位性を獲得しており、先進企業の33%が監査サイクルを1ヶ月以内としているのに対し、後発企業で同じ頻度を達成できたのはわずか8%でした。
IOUGの調査責任者であるユニスフィア・リサーチ社のリサーチ・アナリスト、ジョセフ・マッケンドリック氏は、現実には監査そのものが単なる体裁を整えたものに過ぎない可能性が高いと警告。
例えば、ある匿名の回答者は、調査の過程で、「高特権ユーザーのアクセスは監査しているが、彼らが何をしたのかは正確に把握していない」と話していました。言い換えれば、誰がいつデータベースにアクセスしたかを正確に知ることは可能ですが、ほとんどの場合、彼らが何をしたかは正確にはわかりません。この点で、追加の監査プロトコルを実装する必要があります。"
3.データベースのアクティビティとシステムの変更を監視します。
セキュリティにおいて監査は重要ですが、潜在的な問題を検出し、壊滅的なデータ侵害を防ぐには、継続的なモニターより効果的です。残念ながら、あらゆる種類の不正行為を検知するために必要な実用的なソリューションとテクノロジーを備えている組織はごくわずかです。調査によると、不正なデータベースへのアクセスや変更を24時間以内に検出できる能力を持つ組織は、調査対象の37%に過ぎません。「関連する保護対策やスキルが不足している組織の数は膨大です。「ベンダーには、データベースにセキュリティ・ポリシーを組み込み、データベースに向けられたすべての活動を監視できることが期待されています。
半数以上の組織が、特権ユーザーのアクティビティ、ログインの失敗、チェックインなどのアクティビティに対する監視メカニズム実装していますが、その他の領域における標的型監視はまだ一般的ではありません。例えば、機密性の高いテーブルやカラムへの書き込みを一貫して追跡している企業は全体の37%に過ぎず、機密性の高いテーブルやカラムへの読み取りを一貫して追跡している企業は全体の31%に過ぎません。
4.暗号化によりデータベースの内容を漏洩から保護します。
たとえデータベースが最先端の制御・監視メカニズムを備えていたとしても、強固な暗号化スキームがなければ、その投資はすべて無駄になりかねません。問題なのは、データ・コンテンツを偽装したり暗号化したりしなければ、攻撃者がデータベース・プラットフォーム自体を完全に迂回して、データベースが使用するデータ・ストレージ・ファイルに保存された情報にアクセスできる可能性があることだと、ブラデスクは警告しています。
"したがって、データ暗号化メカニズムが導入されない限り、攻撃者がデータベースを迂回する迂回攻撃活動を回避する方法はありません。"と彼女は説明します。データ暗号化は、データベースの効果的なセキュリティ管理を実現するための唯一の方法であり、データベース・セキュリティの真の基盤であると言えます。"
IOUG の調査によると、データベースの暗号化は過去 5 年間で着実に成長しています。2008年には、データベースの一部またはすべてに暗号化を採用していると答えた企業は57%にすぎませんでしたが、現在ではその割合は70%にまで上昇しています。
5.コントロールによるアプリケーションのサイドアタックの防止
前回の記事と同様に、データベースのセキュリティ保護において豊富な経験を持つ組織は、アクセス元が純粋であること、つまり、関連するアクセスアプリケーションを使用してデータベースに保持されている情報へのアクセスのみを許可することの重要性を理解しています。
「自分のデータベースは、相手がそのアプリケーションを通さない限り、他人がアクセスできないようにしたいものです。
IOUGの調査報告書によると、この分野での先進企業と遅れている企業のパフォーマンスには10%の差があります。アドホックツールやスプレッドシートを使ってユーザーがデータベースから直接データにアクセスできるようにしている企業は先進企業の28%に過ぎませんが、遅れている企業の38%はこれを認めています。
6.高特権ユーザーのアクセスプロセスを管理します。
スーパーユーザーアカウントは、データベースの富を解き放つ鍵を握っているため、データベースの内容が漏洩しないように注意深く管理する必要があります。スーパーユーザーアカウントには、データベース管理者が使用する管理者アカウントだけでなく、開発者がデータベースを使用するプログラミングインターフェイスを簡素化するために、高レベルのデータベース特権を与えられたアプリケーションアカウントも含まれます。
「より多くの組織がデータ資産を監視し、スーパーユーザーをタグ付けする措置を講じています。「しかし、ほとんどの組織では、高特権ユーザーのオンライン上の活動を完全に監視することはまだ困難です。
この分野では、先進企業と後発企業の間に大きな隔たりがあります。上位企業の約半数が、昇格した権限を持つユーザーによる機密情報の改ざんを防止するための対策を導入していると回答しているのに対し、後発企業では22%にとどまっています。特権ユーザーの管理策を導入している企業は全体の34%で、このような予防策を導入している企業が4分の1以下だった2010年よりも約10%増加しています。
7.本番データベースでのみ本番データを処理します。
採点品質保証や開発などの分野におけるデータベース・セキュリティ・プログラムのアキレス腱は、本番データの行き当たりばったりの散布でした。強力なデータベース・セキュリティ・プログラムでは、プロダクション・データは常に包括的なコントロール・メカニズムを備えたデータベース環境に置かれ、同じレベルのセキュリティに欠ける他の一般的な環境にさらされないことが要求されます。
IOUGの調査によると、調査対象となった企業の約半数が、データセンターの外でリアルタイムの生産データを利用しています。
「さらに、近年データ・セキュリティに対する意識が高まっているにもかかわらず、この調査が導入された2008年以降、ビジネス環境からリアルタイムのデータが流出する事例が後を絶ちません」とマッケンドリック氏。
