SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

DB Online Monthly Special

Ask Tomのトム・カイトが語るデータベースセキュリティ「DBAがセキュリティ課題に取り組むべし」


トム・カイト氏は、米国オラクル・コーポレーションの数少ないアーキテクトの1人。同社の主力製品であるデータベースの仕様を決めるといった、重要な仕事を担うエンジニアだ。こういったアーキテクトは、オラクルの中でもほんの一握りの存在であり、さらに彼は"Ask Tom"というサイトを10年以上の長きにわたり運営していることでも有名だ。Ask Tomは、世界中から寄せられるOracleに関する技術的な質問に、カイト氏自らが回答するというもの。そのため、彼の存在は、Oracleに携わる世界中のエンジニアからもよく知られている。そんなカイト氏が来日し、国内のORACLE MASTER Platinum資格を有するエンジニア向けに、特別セミナーが開催された。

Ask Tomのトムカイトがデータベースのセキュリティを語る

Ask Tomのトム・カイト氏
Ask Tomのトム・カイト氏

 トム・カイト氏は、米国オラクル・コーポレーションの数少ないアーキテクトの1人。同社の主力製品であるデータベースの仕様を決めるといった、重要な仕事を担うエンジニアだ。

 こういったアーキテクトは、オラクルの中でもほんの一握りの存在であり、さらに彼は"Ask Tom"というサイトを10年以上の長きにわたり運営していることでも有名だ。

 Ask Tomは、世界中から寄せられるOracleに関する技術的な質問に、カイト氏自らが回答するというもの。そのため、彼の存在は、Oracleに携わる世界中のエンジニアからもよく知られている。

 そんなカイト氏が来日し、国内のORACLE MASTER Platinum資格を有するエンジニア向けに、特別セミナーが開催された。その中の1つが、データベースを取り巻くセキュリティの話題だ。

 カイト氏がオラクルに入社したのは、1993年、このころセキュリティはあまり重要ではなかったと言う。当時はインターネットもまだ普及しておらず、データベースにアクセスするには、マシンが置いてあるビルに行かなければならなかった。つまり、外部からクラッキングする方法そのものが、ほとんど存在しなかったのだ。

 2011年になると、セキュリティはデータベースにおいてもトッププライオリティになる。1993年当時は100GBもあれば大規模なデータベースだったが、いまでは100TBあってもそれほど強大ではない。データベース容量が大きくなった分だけ、「センシティブな情報がよりたくさんデータベースに格納されている」(カイト氏)。そして、実際にそれらを狙った攻撃も増えているという。

 SQLインジェクションは、攻撃の中でも「一番簡単なもの」(カイト氏)だという。アプリケーションの弱みを攻撃し、結果的にはデータベースから重要なデータを盗む。ここ最近の「情報が盗まれた犯罪のほとんどで、SQLインジェクションが使われている」(カイト氏)。

 SQLインジェクションによる攻撃は、データベースのレイヤではセキュリティ対策が施されていないことが前提だ。アプリケーションからデータベースに接続さえできれば、そのアプリケーションのユーザーIDを使ってデータベースにさまざまなコントロールができてしまう。

 「防衛方法が、アプリケーションレイヤにしか施されていないと、アプリケーションが突破されればデータベースに対し何でもできてしまう」とカイト氏。とはいえ、このSQLインジェクションをアプリケーションで感知するのは難しい。そして、アプリケーションを書いているエンジニアの多くが、構築したアプリケーションでSQLインジェクションが可能となっていることを知らないとのこと。

 また、SQLインジェクションのような外部からの脅威に加え、最近では内部の脅威が取りざたされている。「iPodに数GBのデータをデータベースからダウンロードし持ち出すといったことが簡単に行え、そういうことが起こってもわからないケースも多々ある」(カイト氏)。

 DBAの権限を持っていれば、直接データベースに接続できてしまうというわけだ。

 カイト氏によれば、外部、内部の脅威に対応するには多層防御の策が必要だという。1つの対策を突破され侵入されても大丈夫なよう、複数の対策を施すべしというわけだ。そして、データを暗号化しておけば、たとえ盗まれてもそのデータが使えないようにできる。

次のページ
Oracleにはたくさんのセキュリティ対策機能がある

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
DB Online Monthly Special連載記事一覧

もっと読む

この記事の著者

谷川 耕一(タニカワ コウイチ)

EnterpriseZine/DB Online チーフキュレーターかつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリスト...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3556 2012/02/10 18:13

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング