日本オラクルは10月18日、データべースセキュリティ製品「Oracle Database Firewall」の日本語版を11月9日から提供することを発表した。Database Firewallは、SQLインジェクションなどのインターネットを経由した不正アクセスや、内部関係者の不正行為などから機密情報を保護するデータベースファイアウォール製品。SQL文法解析エンジンを搭載し不正なSQL文を正確に検知できることや、既存のアプリケーションやデータベースに変更を加えずに設置できること、処理のオーバーヘッドがほとんどないことなどが主な特徴となっている。
-
- Page 1
まずはデータベースを守ること
テクノロジー製品事業統括本部
担当ディレクター CISSP-ISSJP
北野晴人氏
発表にあたった日本オラクルのテクノロジー製品事業統括本部担当ディレクターCISSP-ISSJP 北野晴人氏はまず、「脅威と攻撃のトレンドは変化するものの、データベースに情報が格納されることは変わらない」とし、情報の格納場所であるデータベースの保護が重要であることを指摘。
最近見られる具体的な攻撃パターンとして、アプリケーションの脆弱性を利用したSQLインジェクション、アプリケーションサーバの脆弱性を踏み台にしたOSやデータベースへの攻撃、標的型メールやUSBメモリを起点としファイアウォールなどの境界防御を迂回する新しいタイプの攻撃の3つを挙げた。
情報を格納しているデータベースが保護されていない場合、これら攻撃により、企業の機密情報や顧客が漏洩することにもつながりかねない。
Database Firewallは、データベースサーバーとアプリケーションサーバーの中間に設置することで、企業の内部へ侵入を許した場合にも、データベースからの情報流出を防ぐ製品となる。
機能としては、アプリケーションサーバーから発行されるSQL文を解析し、不正なSQL文を制御する「ブロッキング」機能と、ネットワークスイッチなどに備わるポートミラーリングを利用して、ネットワークトラフィックを解析し、SQLコマンドのログを収集・管理する「モニタリング」機能の2つが提供される。
不正なSQL文を検出した場合の制御方法としては、Webアプリケーションファイアーウォールと同様に、ホワイトリスト方式とブラックリスト方式がある。事前に、ユーザーやアプリケーションからのアクセスに対して、許可/拒否するSQLを定義しておき、時間、日、曜日、ネットワーク、アプリケーションの要素を組み合わせて、アクセスの許可/拒否を制御する。
この記事は参考になりましたか?
- この記事の著者
-
齋藤公二(サイトウコウジ)
インサイト合同会社「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
