SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

DB Press

データベースこそ守りを固めよ!日本オラクルがSQL文法解析エンジンを備えたデータベースファイアーウォール新製品を提供開始


日本オラクルは10月18日、データべースセキュリティ製品「Oracle Database Firewall」の日本語版を11月9日から提供することを発表した。Database Firewallは、SQLインジェクションなどのインターネットを経由した不正アクセスや、内部関係者の不正行為などから機密情報を保護するデータベースファイアウォール製品。SQL文法解析エンジンを搭載し不正なSQL文を正確に検知できることや、既存のアプリケーションやデータベースに変更を加えずに設置できること、処理のオーバーヘッドがほとんどないことなどが主な特徴となっている。

まずはデータベースを守ること

日本オラクル テクノロジー製品事業統括本部 担当ディレクター CISSP-ISSJP 北野晴人氏
日本オラクル
テクノロジー製品事業統括本部
担当ディレクター CISSP-ISSJP
北野晴人氏

 発表にあたった日本オラクルのテクノロジー製品事業統括本部担当ディレクターCISSP-ISSJP 北野晴人氏はまず、「脅威と攻撃のトレンドは変化するものの、データベースに情報が格納されることは変わらない」とし、情報の格納場所であるデータベースの保護が重要であることを指摘。

 最近見られる具体的な攻撃パターンとして、アプリケーションの脆弱性を利用したSQLインジェクション、アプリケーションサーバの脆弱性を踏み台にしたOSやデータベースへの攻撃、標的型メールやUSBメモリを起点としファイアウォールなどの境界防御を迂回する新しいタイプの攻撃の3つを挙げた。

 情報を格納しているデータベースが保護されていない場合、これら攻撃により、企業の機密情報や顧客が漏洩することにもつながりかねない。

 Database Firewallは、データベースサーバーとアプリケーションサーバーの中間に設置することで、企業の内部へ侵入を許した場合にも、データベースからの情報流出を防ぐ製品となる。

 機能としては、アプリケーションサーバーから発行されるSQL文を解析し、不正なSQL文を制御する「ブロッキング」機能と、ネットワークスイッチなどに備わるポートミラーリングを利用して、ネットワークトラフィックを解析し、SQLコマンドのログを収集・管理する「モニタリング」機能の2つが提供される。

Oracel Database Firewallが提供する機能と設置例
[Oracel Database Firewallが提供する機能と設置例

 不正なSQL文を検出した場合の制御方法としては、Webアプリケーションファイアーウォールと同様に、ホワイトリスト方式とブラックリスト方式がある。事前に、ユーザーやアプリケーションからのアクセスに対して、許可/拒否するSQLを定義しておき、時間、日、曜日、ネットワーク、アプリケーションの要素を組み合わせて、アクセスの許可/拒否を制御する。

Oracel Database Firewallの定義画面。許可するSQL文を定義し(緑のマーク)、
それ以外のすべてを拒否する設定
Oracel Database Firewallの定義画面。許可するSQL文を定義し(緑のマーク)、それ以外のすべてを拒否する設定

次のページ
SQL文法解析エンジン

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
DB Press連載記事一覧

もっと読む

この記事の著者

齋藤公二(サイトウコウジ)

インサイト合同会社「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3525 2012/02/10 18:07

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング