SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Now

SQLを文法解析して不正アクセスを防ぐ~Oracle Security Forum Report


日本オラクルは9月28日、自社主催イベント「Oracle Security Forum ~今、何が起きているのか?変化する脅威に対応するセキュリティ~」を開催。同社のシニアエンジニアCISSP西村克也氏が、データベースのセキュリティをテーマに、最近のSQLインジェクションの動向と、SQLインジェクション攻撃を防ぐためのソリューションとして「Oracle Database Firewall」の機能や特徴についてデモを交えて紹介した。Database Firewallは、米国で今年2月に発表された新製品で、SQLに特化したファイアーウォールともいうべき特徴を持つ。

SQLインジェクションが脅威でありつづける理由

 Database Firewallは、米国で今年2月に発表された新製品で、SQLに特化したファイアーウォールともいうべき特徴を持つ。

日本オラクル シニアエンジニアCISSP西村克也氏
日本オラクル 
シニアエンジニア CISSP
西村克也氏

 西村氏はまず、近年のSQLインジェクションの動向として、2006年頃から被害がではじめた比較的古い攻撃でありながら、引き続き最も多い攻撃の1つであるとし、2010年は「ガンブラー」とともにインターネットの二大脅威であったことを紹介。

 実際、LACの調査によると、2010年上半期に確認されたウェブ系攻撃103件のうちSQLインジェクションは35件と、クロスサイトスクリプティングの38件につぐシェアを占めている。「クレジットカード情報などの盗難事故は継続しており、情報を盗むだけでなく、ウイルス頒布や受動的攻撃といったほかの攻撃の足がかりとして使われることも多い」という。

 その一方で、IPAの調査資料「IPA Web Application Firewall読本」によると、SQLインジェクション対策は遅れがちであり、脆弱性を発見したとしても、修正までに1カ月以上の時間を要しているという。その原因としては、「すでに開発者がいない、仕様が分からない」などの技術的な問題、「膨大に増えるWebサイトをすべてチェックできない」などの運用的な問題、「Webサイトの長期停止による機会損失や膨らみ続ける改修費用」などのコスト的な問題があるようだ。

 また、内部や外部からの不正アクセスを早期に検知するという点では、ログをとることが重要だが、実際には活用が進んでいないという現実もある。その理由としては、そもそもデータベースの監査ログの機能を知らない、データベースパフォーマンスへの影響を懸念している、どのログを取得すべきか監査条件が絞り込めない、ログを保存する領域が膨大になる、ログをモニタリングしていないなどが挙げられるという。

 こうした背景のもと、SQLインジェクションは、今日もなお、インターネット上の脅威でありつづけている。そこで、データベース側でSQLインジェクションに対抗する手段として、注目してほしいのがDatabase Firewallだという。

次のページ
不正なSQL文を遮断するファイアーウォール製品

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Now連載記事一覧

もっと読む

この記事の著者

齋藤公二(サイトウコウジ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3515 2012/02/10 18:04

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング