EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

今こそデータベースセキュリティを見直す時期 インパーバが語る Imperva Japan 本城 学氏/中田 太氏インタビュー

edited by Security Online   2021/06/01 10:00

弱い日本企業の担当者権限

 データベース監査で直面する課題について本城氏に聞くと、段階によって異なるようだ。導入前だと漠然とした疑問が多くなる。国内企業に多く見られる。一方、北米を中心に何らかの製品導入が進んだ企業では、実践的な課題が増えてくる。

 導入前に見受けられる一般的な課題を本城氏の経験で挙げてもらうと、対象となるアプリケーションやデータベース構造が把握できず実務ですべきことが不明、オペレーション監視とセキュリティ監査の混同、範囲やスコーピングが定まらないなど、未知ゆえの戸惑いが多いようだ。本城氏は「JSOXだと基本的に財務諸表を組み立てるものを対象にすればいいですが、GDPRだと個人情報保護が目的なので個人情報が含まれればあらゆるものが対象となります。そのためディスカバリーだけでも大変な労力が要ります」と話す。

 常時監視と定期的レビュー体制をいかにつくるかも課題となる。本城氏は「私見も含みますが」と前置きした上で「監査とは職務を分離して相互けん制するべきであり、社内の担当者が自ら確認するなどセルフアセスメントは許されない世界です」と言う。そうした理想に対して、現実は人員やコストで制限がありギャップが生じているところも少なくない。まだ理想に到達するまで道半ばなのかもしれない。

 一方、いくつかの製品を使い始めると、今度は現実的な課題が降りかかってくる。本城氏が海外のプロダクトチームから聞いたところによると、クラウドへの移行が進むなかクラウドサービスで必要な機能が未対応であることや、肥大化するログの保持が課題に挙げられるという。データが増えればシステムの性能を保つこと、あるいは実務に支障がないようにデータを圧縮または削減することも課題になる。

 海外では不正検知に効果を発揮するユーザーの振るまいを分析するUEBA(User and Entity Behavior Analytic)、インシデント発生時に自動または効率的に対応できるようなSOAR(Security Orchestration, Automation and Response)やプレイブック機能を持つ製品の需要が高まっているという。また導入済み製品やツールが増えてくると、それらを統合または連携して使いたいという欲求も出てくる。例えばSplunkのGUIに統合したいとか、ServiceNowと連携したいとか、業務システムとREST APIでつなぎたいなどだ。

 日本と海外の違いについて、同インパーバ 中田太氏は「海外ではCISOにサイバーセキュリティに関する権限を集中させていますが、日本では社内でバランスをとるためかCISOは強い権限を持っていません。しかしサイバーセキュリティ、特に重要な情報があるデータベースでは責任者が強い権限を持って進めていくべきエリアです」と、日本でCISOが主導力を発揮しにくいことについて懸念を示した。


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5