まずはデータベースを守ること
テクノロジー製品事業統括本部
担当ディレクター CISSP-ISSJP
北野晴人氏
発表にあたった日本オラクルのテクノロジー製品事業統括本部担当ディレクターCISSP-ISSJP 北野晴人氏はまず、「脅威と攻撃のトレンドは変化するものの、データベースに情報が格納されることは変わらない」とし、情報の格納場所であるデータベースの保護が重要であることを指摘。
最近見られる具体的な攻撃パターンとして、アプリケーションの脆弱性を利用したSQLインジェクション、アプリケーションサーバの脆弱性を踏み台にしたOSやデータベースへの攻撃、標的型メールやUSBメモリを起点としファイアウォールなどの境界防御を迂回する新しいタイプの攻撃の3つを挙げた。
情報を格納しているデータベースが保護されていない場合、これら攻撃により、企業の機密情報や顧客が漏洩することにもつながりかねない。
Database Firewallは、データベースサーバーとアプリケーションサーバーの中間に設置することで、企業の内部へ侵入を許した場合にも、データベースからの情報流出を防ぐ製品となる。
機能としては、アプリケーションサーバーから発行されるSQL文を解析し、不正なSQL文を制御する「ブロッキング」機能と、ネットワークスイッチなどに備わるポートミラーリングを利用して、ネットワークトラフィックを解析し、SQLコマンドのログを収集・管理する「モニタリング」機能の2つが提供される。
不正なSQL文を検出した場合の制御方法としては、Webアプリケーションファイアーウォールと同様に、ホワイトリスト方式とブラックリスト方式がある。事前に、ユーザーやアプリケーションからのアクセスに対して、許可/拒否するSQLを定義しておき、時間、日、曜日、ネットワーク、アプリケーションの要素を組み合わせて、アクセスの許可/拒否を制御する。
