まずはデータベースを守ること
![日本オラクル テクノロジー製品事業統括本部 担当ディレクター CISSP-ISSJP 北野晴人氏](http://ez-cdn.shoeisha.jp/static/images/article/3525/3525_1.jpg)
テクノロジー製品事業統括本部
担当ディレクター CISSP-ISSJP
北野晴人氏
発表にあたった日本オラクルのテクノロジー製品事業統括本部担当ディレクターCISSP-ISSJP 北野晴人氏はまず、「脅威と攻撃のトレンドは変化するものの、データベースに情報が格納されることは変わらない」とし、情報の格納場所であるデータベースの保護が重要であることを指摘。
最近見られる具体的な攻撃パターンとして、アプリケーションの脆弱性を利用したSQLインジェクション、アプリケーションサーバの脆弱性を踏み台にしたOSやデータベースへの攻撃、標的型メールやUSBメモリを起点としファイアウォールなどの境界防御を迂回する新しいタイプの攻撃の3つを挙げた。
情報を格納しているデータベースが保護されていない場合、これら攻撃により、企業の機密情報や顧客が漏洩することにもつながりかねない。
Database Firewallは、データベースサーバーとアプリケーションサーバーの中間に設置することで、企業の内部へ侵入を許した場合にも、データベースからの情報流出を防ぐ製品となる。
機能としては、アプリケーションサーバーから発行されるSQL文を解析し、不正なSQL文を制御する「ブロッキング」機能と、ネットワークスイッチなどに備わるポートミラーリングを利用して、ネットワークトラフィックを解析し、SQLコマンドのログを収集・管理する「モニタリング」機能の2つが提供される。
![[Oracel Database Firewallが提供する機能と設置例](http://ez-cdn.shoeisha.jp/static/images/article/3525/3525_2.jpg)
不正なSQL文を検出した場合の制御方法としては、Webアプリケーションファイアーウォールと同様に、ホワイトリスト方式とブラックリスト方式がある。事前に、ユーザーやアプリケーションからのアクセスに対して、許可/拒否するSQLを定義しておき、時間、日、曜日、ネットワーク、アプリケーションの要素を組み合わせて、アクセスの許可/拒否を制御する。
![Oracel Database Firewallの定義画面。許可するSQL文を定義し(緑のマーク)、それ以外のすべてを拒否する設定](http://ez-cdn.shoeisha.jp/static/images/article/3525/3525_3.jpg)