SOX法を見据えたデータベースセキュリティ

5. データベースセキュリティと運用

概要

個人情報保護法、e文書法、日本版SOX法等に対応するデータベースセキュリティについて

1. 情報という言葉の定義

(ア)
情報とは”情けに対して報いる行い”を情報と言うのだと思います。コンピュータはデータを処理します。このデータを上手く利用し、データの提供者に報いる事が出来る行為を情報処理と言うのだと思います。つまり、誰でもがデータを見る必要は無いのです。

2. 現在のシステム管理

(ア)
データベース管理、アカウント管理、セキュリティ管理、アプリケーション管理と言うような4つの管理をたった1人の管理者が行っている。と言うのが実態ではないのでしょうか?1人ではなくても行おうと思えば何時でも1人で全ての管理が出来るのではないのでしょうか?データベースシステムの起動停止、新たなテーブル作成、データのバックアップからロード等々、何でも出来るのでは無いのでしょうか?この様な管理の場合のリスクとして考えられるのがデータの不正操作、情報の漏えいです。私が以前(10年以上前)にSEをしていた時納品したシステムでデータが消えると言うトラブルが発生した事があります。原因は会社を辞めた管理者が、”データを自動的に消す”爆弾プログラムを仕掛けていた事が後の調査で判明した事があります。この様な事例は稀かもしれませんが非常に大変な事に成りました。

3. システム管理のあるべき姿

(ア)
データベース管理者の業務は、データベースの起動停止などの業務をこなしていただき事が主たる業務ですので、実際のデータに対するアクセスは不要ですので暗号化されているデータは復号化する必要はありません。
(イ)
アカウント管理者の業務は、データベースユーザの作成や変更ですので、実際のデータに対するアクセスは不要ですので暗号化されているデータは復号化必要はありません。
(ウ)
セキュリティ管理者の業務はアクセス制御ですので、アクセスの経路や範囲などの設定及び管理ですので、実際のデータに対するアクセスは不要ですので暗号化されているデータは復号化必要はありません。
(エ)
アプリケーション管理者の業務は新たに開発したアプリケーション(SP等々)を登録したりアクセス権をアプリケーションに与えたりする事が主たる業務ですので、実際のデータに対するアクセスは不要ですので暗号化されているデータは復号化する必要はありません。

4. システム開発

(ア)
アプリケーション開発は自社内で行われたりコンピュータメーカーやソフトハウスに発注して作成される事が一般的かと思います。アプリケーション開発の流れは企画、基本設計、詳細設計、プログラム設計、プログラム開発、単体テスト、結合テスト、総合テストといった所が一般的な流れかと思います。この流れの中で本番データをあえて必要とする部分を考えると”総合テスト”になりますが、本番データを組み替えたりすれば十分可能ですし、又自動的にデータを作る事も可能ですので全く必要ないとも言えます。

5. システム利用者

(ア)
ここでは本当の情報しか必要ありません。営業の方はお客様の情報、人事部の方は人事情報が無いと話しに成りません。しかし、全員が情報全てが必要かというと必用はありません。東京の営業マンが大阪の営業マンが担当しているお客様の情報を見る必要がありますか?ほとんどありません。東京の営業は東京のお客様の情報が必要で、大阪の営業マンは大阪のお客様の情報が必要なのです。しかし、全国の営業を束ねていらっしゃる本部長などは全ての情報が必要に成ります。この様に職務分掌により情報のアクセス権を変える必要があります。
(イ)
業務運用に来て初めて情報という言葉を使わせていただいております。感の良い方ならサッシがついているかと思いますが、例えば、お客様から提供されたお客様の情報をお客様の為に使える人はお客様に良い御社の製品を提供する営業の方だけなのです。ですから情に報いる事が可能なのかと思います。

6. 三権分立

(ア)
上記までの説明で、システム運用やアプリケーション開発という業務内容も全く違うシチュエーションに本番データが不要な事がご理解できたかと思いますが、SOX法が登場して三権分立が加速する事になります。何故ならば、”ITを誰が何の目的でどのように使うのかをはっきりさせること”つまり”職務分掌”が重要な要素となってきます。ガイドラインには”ITを”と記載されていますが”ITを利用し情報を誰が何の目的でどのように使うのかをはっきりさせること”が正確な文書のような気がいたします。何故ならば、情報を利用する必要のある人が効率的に利用できるようにする事がITの目的だからです。
つまり、システム開発者、システム管理者、システム利用者の職務分掌を考えればシステムの三権分立は必然性だといえます。この事を実現する為にもDBセキュリティは重要なインフラ技術と成ってきます。
セキュリティと言うとコストと考える方が多いですが欧米での調査ではIT統制を成功させた企業は株価が平均27.6%上昇しIT統制をしない企業は‐5.7%も下がったと言う調査結果があります。これからはDBセキュリティは投資とお考えいただければ幸いです。

あとがき

最後までつたない文章を読んでいただき感謝いたします。 又、本投稿を掲載いただいたSys-Docのスタッフの方々、ありがとうございます。
サーファーゲート社はシステムに関係する方々が安心してシステムの運用が出来る事を望んでDBセキュリティeサイファーゲートを作成してまいりました。皆様のインフラ技術として少しでもお役に立てれば幸いです。

連載一覧

コメント

筆者紹介

サイファーゲート株式会社 代表取締役 石﨑 利和

http://www.ciphergate.co.jp

info@ciphergate.co.jp

1957年生まれ。大手システムイングレーターにてシステム開発に携わる。インターネット普及を見据えて1995年に子供向けISP立ち上げに参画。データベースセキュリティを高める事業を推進すべく2000年に当社を設立し現在に至る。

システム運用管理側からの漏洩により100万件を超える大量漏洩事故が起きています。企業において、クライアントPCからの情報漏洩対策はかなり進んでいると言えます。サーバー側、特に全てのデータを格納するデータベースサーバに対するセキュリティ対策は今、盛り上がりを見せ始めています。

会社設立の経緯にもなるのですが、私が大手システムインテグレーターに在籍していた頃に病院関係や流通関係のお客様のシステムをメンテナンスすることがありました。その時に、私自身はデータの内容を見る必要がないメンテナンス業務をしているにも関わらず、データベースの内容が全て見えてしまう、ということに強い違和感を持ちました。特に病院においては、色々な方の疾病履歴まで見えてしまったのです。

レポートの中で詳細に触れますが、最近では金融庁の外郭団体や厚生労働省のガイドライン、米国カリフォルニア州法などでデータベース暗号化が推奨されていることもあり、データベースに格納する情報を暗号化する、というソリューションは確実に増えています。会社設立の経緯にもあります通り、データベースセキュリティに対する我々のアプローチは少し異なっております。我々の目標は、単にデータベースに格納する情報を暗号化するだけでなく、暗号化された状態を積極的に活用し、データの内容を見る必要がない運用・管理担当者にはデータの内容を見ることができない状態で業務を遂行する環境を作るお手伝いをする、ということです。

最近米国ではSOX法の監査におけるデータベースセキュリティということが指摘されるようになって来たということもあり、「SOX法を見据えたデータベースセキュリティ」と題したレポートを定期的に掲載していくことにいたしました。予定しているレポートの各章別概略を以下にご説明いたします。(この内容は状況によって変わる場合がありますので、あらかじめご了承願います)

バックナンバー