データベースのセキュリティで情報を保護することの意義
RDBMSにおける情報保護、いわゆるデータベース・セキュリティは2004年、個人情報保護法の完全施行を前にして多くの漏洩事件が明るみに出た時期を大きなターニングポイントとして、速くて止まらず管理しやすければ良いというだけはなくセキュリティが確保されているということが同時に強く求められるようになったと言えるだろう。
内部犯行による意図的な情報漏洩事件について考えるときにやっかいな問題のひとつは「情報を盗んでも窃盗ではない」ということであるが、この問題を解決する方法の一つとして期待されているのが不正競争防止法の改正である。2009年4月に改正案が国会で可決・成立しており、2011年に入って実際の検挙事例も出てきた。この不正競争防止法では「不正の利益を得る目的」で「営業秘密を記録した媒体等を横領する行為、無断で複製する行為」が処罰対象となるとされ、情報を盗む行為自体を直接的に処罰することが可能になると考えられている。
しかし不正競争防止法を適用するためには「営業秘密の三要件」(秘密管理性・有用性・非公知性)を満たすように、情報が「営業秘密」としてしっかり保護されている必要がある。この三要件における秘密管理性を満たすためには、デジタルデータとして取り扱っている企業の機密情報に対してITシステムの内部でしっかりセキュリティ対策を実施しておかなければならない。このとき情報を格納する「金庫」そのものであるデータベースのセキュリティ対策は非常に重要な役割を果たすと言える。
こうした課題を解決していくために、これから4回にわたってオラクルのデータベース・セキュリティを解説していく。1回目の今回はアクセスコントロール、2回目はログ取得と監査機能、3回目として暗号とその高速化技術、そして最終回では新しいトピックとしてOracle Database Firewallを取り上げるのでご期待頂きたい。
