SOX法を見据えたデータベースセキュリティ

1. DBセキュリティが求められる社会的背景

概要

個人情報保護法、e文書法、日本版SOX法等に対応するデータベースセキュリティについて

1-1 コンピュータの歩みとセキュリティ

皆さんもご存じの通り、最近ではblogやSNSなどの普及もあり、コンピュータに知識がない人でもコンピュータに日常的に触れるようになってきました。しかし、1970年代~1980年代当時はコンピュータと言ってもまだまだ汎用機の時代で、コンピュータを導入している会社も大手企業中心でした。コンピュータで処理される業務も今のように広範囲ではなく、人事給与、財務会計、販売管理、在庫管理といった業務が多く、今のようにワープロや表計算などはほとんどありませんでした。コンピュータの価格も当時は非常に高価で、1台1億円前後の物が多かった時代でした。このような状態ですからコンピュータは専用のコンピュータルームに厳重に保管され、コンピュータの運用管理者はごく限られた人たちが行っていました。この時代のコンピュータはある意味”金庫”でした。
しかし1995年にインターネットが日本に上陸し、時を同じくWindows95が販売され、この10年でPCがごく普通に使われるようになりました。誰でも、何時でも、何処にいてもPCを使い色々な情報にアクセスでき、世の中はとても便利になりました。この便利さと引き換えに、見られたくない、見せたくない情報にもアクセスされる不便さも手に入れてしまいました。

皆さんの家の玄関に鍵がかかっていることは当たり前と思います。
家と同じように、コンピュータにも鍵が必要になって来たのです。

    • コンピュータセキュリティの歴史
    • 1986年 「Brain」というウイルスが登場。
    • 1987年 アンチウイルスソフトが開発。
    • 1992年 ウイルスを作るツールキットが登場。
    • 1995年 マクロウイルスが登場。
    • 1996年 インターネットの普及によりファイヤーウォールが売れ始める。
    • 2000年 ワームなどの被害拡大
    • 2005年 SQLインジェクションの被害が発生し始める。
    • 2006年 Winny問題発生。

コンピュータセキュリティは新しい課題ですが、コンピュータにとって重要な課題です。

1-2 個人情報保護が必要とされる社会的背景

昨今、個人情報漏洩のニュースが非常に増えてきています。2005年4月に個人情報保護法が施行されたからでしょうか?何故、個人情報保護法が出来たのでしょうか?個人情報保護法の目的には下記のような事が書かれています。

(目的)

第一条  この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

ちょっと難しい事が書かれていますが、インターネットの普及に伴い、情報のコピーが簡単に出来るようになりました。便利になった反面、迷惑メール、オレオレ詐欺などに漏洩した個人情報が使われるようになりました。こういった状況から個人の権利利益を保護することが個人情報保護法の目的です。当然のことですが、個人情報を取り扱う人たちは、保有している情報をきちんと管理し悪用されないようにする必要があります。
本末転倒のような気がいたしますが、個人情報保護法が施行される前と比べて、個人情報の売買価格が高くなったそうです。それは流通が減ってきたからと言われています。
“性弱説”という説が世の中にはあります。この説は犯罪は人間みんなが弱い生き物だから発生すると言う説です。今の日本は終身雇用制が崩れ、会社への帰属意識が低くなってきています。この様な状況で、高く売れる個人情報が目の前にあったら?人間は弱い動物です。つい出来心と言う事も有ります。この様な時代において、社員を不幸にしない、会社を不幸にしないためにもコンピュータセキュリティは重要な技術なのです。

1-3 データベースセキュリティが求められる社会的背景

クライアントPCのセキュリティ対策は、Virus対策ソフト、データの持ち出しや印刷の禁止、利用者の教育‥‥等々、かなり充実した対策が行われるようになって来ました。サーバーへのセキュリティ対策としては、FireWallやIDS(侵入検知)など外堀を埋める的なセキュリティ対策は以前から色々と行われて来ました。しかしながら、サーバーにアクセスすることができれば、データベースの内容は丸見え、というのが現状です。セキュリティの最後の砦として全ての情報を格納するデータベースに対するセキュリティ対策強化が今求められています。

連載一覧

コメント

筆者紹介

サイファーゲート株式会社 代表取締役 石﨑 利和

http://www.ciphergate.co.jp

info@ciphergate.co.jp

1957年生まれ。大手システムイングレーターにてシステム開発に携わる。インターネット普及を見据えて1995年に子供向けISP立ち上げに参画。データベースセキュリティを高める事業を推進すべく2000年に当社を設立し現在に至る。

システム運用管理側からの漏洩により100万件を超える大量漏洩事故が起きています。企業において、クライアントPCからの情報漏洩対策はかなり進んでいると言えます。サーバー側、特に全てのデータを格納するデータベースサーバに対するセキュリティ対策は今、盛り上がりを見せ始めています。

会社設立の経緯にもなるのですが、私が大手システムインテグレーターに在籍していた頃に病院関係や流通関係のお客様のシステムをメンテナンスすることがありました。その時に、私自身はデータの内容を見る必要がないメンテナンス業務をしているにも関わらず、データベースの内容が全て見えてしまう、ということに強い違和感を持ちました。特に病院においては、色々な方の疾病履歴まで見えてしまったのです。

レポートの中で詳細に触れますが、最近では金融庁の外郭団体や厚生労働省のガイドライン、米国カリフォルニア州法などでデータベース暗号化が推奨されていることもあり、データベースに格納する情報を暗号化する、というソリューションは確実に増えています。会社設立の経緯にもあります通り、データベースセキュリティに対する我々のアプローチは少し異なっております。我々の目標は、単にデータベースに格納する情報を暗号化するだけでなく、暗号化された状態を積極的に活用し、データの内容を見る必要がない運用・管理担当者にはデータの内容を見ることができない状態で業務を遂行する環境を作るお手伝いをする、ということです。

最近米国ではSOX法の監査におけるデータベースセキュリティということが指摘されるようになって来たということもあり、「SOX法を見据えたデータベースセキュリティ」と題したレポートを定期的に掲載していくことにいたしました。予定しているレポートの各章別概略を以下にご説明いたします。(この内容は状況によって変わる場合がありますので、あらかじめご了承願います)

バックナンバー