EnterpriseZine(エンタープライズジン)テクノロジーでビジネスを加速するための実践Webメディア

テーマ別に探す

Oracle Database Vaultって本当に必要ですか? データを守るためよりもむしろメンバーを守るためにこそいるのです

  • このエントリーをはてなブックマークに追加
2012/11/19 00:00

ヤフーオークションをはじめ、さまざまな人気オンラインサービスを展開しているYahoo! JAPAN。そのYahoo! JAPANを運営するのが、ヤフー株式会社だ。同社のシステム統括本部 インフラ技術本部は、Yahoo! JAPANのさまざまなサービスに対し、ITリソースを適切に配布し運用する役割を担っている。

24時間監視し監査の体制を整えるだけでは十分ではない

 新たなサービスを立ち上げたいのでサーバーやデータベースが欲しいという要求があれば、社内クラウド的にITリソースを割り当てて提供する。

尾崎弘宗氏
尾崎弘宗氏

 割り当てるITリソースのうち、データベースはOracle DatabaseとMySQLが利用されている。用途や扱うデータの重要性などに応じ、どちらかを適宜選択するのだ。その結果、2012年10月の時点でOracleが150、MySQLが50ほど稼働している。これらデータベースで扱われるデータには、きわめて慎重に取り扱うべき個人情報も当然含まれる。

「個人情報を扱うデータベースについては、重要データを暗号化し、物理的にも隔離された専用のセキュアルームからしかアクセスできないようになっています。当然ながら、24時間365日しっかりと監視も行われています」と語るのは、システム統括本部 インフラ技術本部 インフラ技術2部 DBMS技術リーダーの尾崎弘宗氏。

 セキュアルームからのみのアクセスで、さらには24時間の厳重な監視がなされていても、データベース管理をする立場のエンジニアであれば、データベースにアクセス可能なユーザー権限を持っている。

管理者であれば管理者権限という「特権」を持っているので、機密情報にもアクセスできるのは当たり前だろう。しかしながら、しっかりとした監視体制を敷きながら、「管理者はアクセスできる」という事実そのものが、Yahoo!JAPANでは問題だというのだ。

 仮に、尾崎氏がYahoo! JAPANが保持する膨大な個人情報にアクセス可能な人物だと悪意のある第三者に分かってしまうと、そのことを利用し個人情報を不正入手しようとするかもしれない。そんなことは、日本では滅多に起こらないだろうが、世界をみれば珍しくはないだろう。管理者の立場にある人がきわめて高い正義感とモラルの持ち主だったとしても、たとえば家族に危害を与えると脅され、個人情報を不正に入手することを強要されることだってあり得ない話ではないのだ。


  • このエントリーをはてなブックマークに追加

おすすめ記事

過去の人気記事ランキング

著者プロフィール

  • 谷川 耕一(タニカワコウイチ)

    DB Online チーフキュレーター。 ブレインハーツ取締役。AI、エキスパートシステムが流行っていたころに開発エンジニアに、その後雑誌の編集者を経て、外資系ソフトウェアベンダの製品マーケティング、広告、広報などを経験。現在は、オープンシステム開発を主なターゲットにしたソフトハウスの経営とライターの二足の草鞋を履いている。

この記事に登録されているタグ

All contents copyright © 2006-2014 Shoeisha Co., Ltd. All rights reserved. ver.1.5