SOX法を見据えたデータベースセキュリティ

2. データベースセキュリティが求められる法律的背景と各省庁からのガイライン

概要

個人情報保護法、e文書法、日本版SOX法等に対応するデータベースセキュリティについて

個人情報保護法、e文書法、SOX法等、それぞれの法律が目的とすることに対してはデータベース暗号化が非常に効果的なセキュリティ対策となります。また、金融庁の外郭団体である金融情報システムセンター(FISC)、厚生労働省、といったところからは最近「データベースを暗号化する必要がある」というガイドラインが出されました。

(ア) データベースセキュリティが求められる法律的背景

各法律の目的の1つは”情報を有効に活用する事”が目的だと思います。しかし、このデータを不正に利用する事がデジタル社会では簡単に行われる様に成ってしまいました。
この為、どの法律にもセキュリティと言う項目があるのだと思います。 セキュリティの中にも色々なレベルが有り、

    1. ネットワークの暗号化
    2. ファイアーウォール
    3. ウィルスなどの検知
    4. モニタリング(ログ含む)
    5. 認証
    6. ファイルの暗号化

上記に記載したセキュリティはどの会社も何らかの形で導入されているかと思います。
しかし、現実社会のセキュリティと比較すると、

    1. ネットワークの暗号化は現金輸送車
    2. ファイアーウォールは門番
    3. モニタリングは監視カメラ
    4. 認証は受付の本人確認
    5. 手提げ金庫(ファイルの暗号化)

上記のような対比になるかと思います。ほかにも細かくあげれば様々なセキュリティはありますが、代表的なセキュリティ技術は上記に上げた5つかと思います。
しかし、ここで肝心のセキュリティが抜けています。金庫がありません。現金輸送車が現金を集め監視カメラに映りながら門番のチェックを通過し受付を通過し現金を机の上に出して仕事が終了する事が有りえるでしょうか?絶対ありえません。大金庫にしまうはずです。
情報は企業活動にとって重要な収益を上げる為の元です。現金と言っても過言では無いはずです。この情報は、皆さんがお使いのPCからデータベースに格納されます。 又、データベースにはリアルなお金の記録もあります。このお金の記録が改ざんされるとありもしないお金が発生すると言った貨幣偽造に等しい結果に成る可能性があります。
しかし、今のデータベースはデータベースの知識さえあれば誰でも、データを見ることが出来ます。つまり金庫になっていません。この為、データベースセキュリティと言う金庫が必要に成ってきます。

(イ) 各省庁からのガイライン

傾向としては国が作成した法律を各省庁が所轄の業界に対し業界の言葉を使用したガイドラインを作成し、更に第三セクターや業界の協会などが対策基準解説書等にて細かく取決めるといった様に成っています。

アメリカの法律
今は未だカリフォルニア州法ですが2003年7月1日に施行されたSB1386では個人情報が漏洩しても、漏洩したデータが暗号化されている場合は公表義務は免除され、同等な法律がワシントン州をはじめ全米20州でも施行される予定となっており、さらに連邦レベルでの法律化も検討されています。

金融情報システムセンター(FISC)
2006年3月発行の「コンピュータシステムの安全対策基準・解説書 第7版」では、 “蓄積データの漏洩防止策を講じること。不正コピーや盗難の際にも、データの内容が分からないようにするために、重要なデータについては暗号化することが望ましい。特に個人データやECにおいて蓄積されるデータについては暗号化・パスワード設定等の対策を講ずることが必要である。”と有ります。

国際カード5社
Visa,Master, AmericanExpress, Diners, JCBは2004年に策定した「PCIデータセキュリティスタンダード」は”暗号化は最後の情報保護手段で、たとえ誰かが他のすべての保護メカニズムを破りデータにアクセスしても、暗号を破らなければデータを読み取ることはできない。防御に関する詳しい原則を次に示す。”と有り具体的には”カード会員情報は、次のいずれかの手段を使用して、それが格納された場所で読み取り不可能な状態にする。”と記載され”強力な暗号”を使用することが条件になっています。

厚生労働省
2005年3月に発行した医療情報システムの安全管理に関するガイドラインでは、”保存主体の医療機関等のみがデータ内容を閲覧できることを技術的に担保できること。外部保存受託機関に保存される個人識別に係わる情報の暗号化を行い適切に管理すること、あるいは受託機関の管理者といえどもアクセスできない制御機構を持つこと。”と有ります。

 

この様にデータベースのセキュリティが各団体から強く望まれています。

連載一覧

コメント

筆者紹介

サイファーゲート株式会社 代表取締役 石﨑 利和

http://www.ciphergate.co.jp

info@ciphergate.co.jp

1957年生まれ。大手システムイングレーターにてシステム開発に携わる。インターネット普及を見据えて1995年に子供向けISP立ち上げに参画。データベースセキュリティを高める事業を推進すべく2000年に当社を設立し現在に至る。

システム運用管理側からの漏洩により100万件を超える大量漏洩事故が起きています。企業において、クライアントPCからの情報漏洩対策はかなり進んでいると言えます。サーバー側、特に全てのデータを格納するデータベースサーバに対するセキュリティ対策は今、盛り上がりを見せ始めています。

会社設立の経緯にもなるのですが、私が大手システムインテグレーターに在籍していた頃に病院関係や流通関係のお客様のシステムをメンテナンスすることがありました。その時に、私自身はデータの内容を見る必要がないメンテナンス業務をしているにも関わらず、データベースの内容が全て見えてしまう、ということに強い違和感を持ちました。特に病院においては、色々な方の疾病履歴まで見えてしまったのです。

レポートの中で詳細に触れますが、最近では金融庁の外郭団体や厚生労働省のガイドライン、米国カリフォルニア州法などでデータベース暗号化が推奨されていることもあり、データベースに格納する情報を暗号化する、というソリューションは確実に増えています。会社設立の経緯にもあります通り、データベースセキュリティに対する我々のアプローチは少し異なっております。我々の目標は、単にデータベースに格納する情報を暗号化するだけでなく、暗号化された状態を積極的に活用し、データの内容を見る必要がない運用・管理担当者にはデータの内容を見ることができない状態で業務を遂行する環境を作るお手伝いをする、ということです。

最近米国ではSOX法の監査におけるデータベースセキュリティということが指摘されるようになって来たということもあり、「SOX法を見据えたデータベースセキュリティ」と題したレポートを定期的に掲載していくことにいたしました。予定しているレポートの各章別概略を以下にご説明いたします。(この内容は状況によって変わる場合がありますので、あらかじめご了承願います)

バックナンバー