日本で導入進まない「データベース暗号化」
日本企業による大規模な情報漏えい事故が後を絶たない中、その対策としてデータ暗号化ソリューションを導入する企業が増えている。機密情報や個人情報が含まれるデータを暗号化しておけば、万が一その流出を許してしまったとしても第三者が内容を読み取ることはできないため、情報漏えいを防ぐことができる。実際にファイルを暗号化したりPCのディスクを暗号化したりするようなセキュリティ製品の導入数は年々増えている。
ただし「データベースの暗号化」にまで踏み込む日本企業は、まだ少数派のようだ。データ暗号化ソリューション「D'Amo(ディアモ)」の開発元として知られるペンタセキュリティシステムズの美濃部崇氏によれば、海外と比べてサーバーやデータベースに係るセキュリティ対策が後回しにされる傾向があるという。
「欧米や弊社の本国である韓国でも、企業のITセキュリティというとまずサーバー管理の在り方が問われますが、多くの日本企業はPCなどエンドポイント端末に対するセキュリティ対策は積極的に進める一方、一般社員の目に見えないところで動いているサーバーやデータベースへの対策は疎かになる傾向があります。特にデータベースに関しては、システム管理の現場においても暗号化の導入を積極的に検討されている例は少ないのではないでしょうか」(美濃部氏)
データベース管理者が最も優先すべきミッションは、データベースの“安定稼働とパフォーマンスの確保”だ。そのため、データベースの暗号化製品を導入することで、この両方に対してネガティブな影響を及ぼす可能性が少しでもあると、どうしても消極的になりがちだ。
もちろん、セキュリティに対して無頓着というわけではない。事実、多くの企業がデータベースのログ監査やアクセス制御といった対策は講じている。しかし、もう一歩先、漏洩が発生した場合の被害を防ぐ“データ保護対策”にまで踏み込んでいる例は少ない。こうした状況に対して、美濃部氏は次のように警鐘を鳴らす。
「トップダウンで物事を進める欧米企業とは異なり、現場力を重視する日本企業は、これまで事業部門ごとに最適なシステムを導入する傾向があります。結果的にデータが社内のあらゆる場所に散在する状況が生まれ、どこに・どのような個人情報や機微なデータが存在するのか、IT部門やセキュリティ担当者でさえ把握することが困難となり、企業のセキュリティ対策の大きな弊害となっています」(美濃部氏)
そのため、本来はこうした事業部門とITシステムを俯瞰できるような立場にある意思決定層こそが、リスク管理の観点で組織のデータを集約化し、保護すべきデータとは何か識別する必要があると、美濃部氏は強調した。
