SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2023 春の陣

2023年3月14日(火)10:00~16:00

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

DB Online Monthly Special

データベース暗号化の「真実」とトークナイゼーションの「嘘」(前編)


数々の情報漏えい事件が相次ぐ中、企業はデータベース(以下DB)のセキュリティ見直しが即急の課題となっている。DBセキュリティと言えばWeb/Appの脆弱性対応やDBそのものの暗号化、適切なアクセス制御などが挙げられるが、その中でもDBの暗号化についてはその技術的な障壁から敬遠され、一般的には正しい暗号化とは何なのか、何をすればよいのかが理解されないまま、暗号化の考慮ないし導入が検討されている。情報漏えいに対する抜本的対策であるDB暗号化に関する正しい知識と運用ができなければ、効果的な情報漏えい対策を取ることなどできない。本記事ではデータベース暗号化にまつわる真実と、それに取って代わると言われ始めているトークナイゼーション(Tokenization)の嘘について、それぞれの技術的な違いと正しい「使いどころ」について解説する。

データベース暗号化の「真実」

暗号化を取り巻く現状

 ここ数年情報漏えいに対する報道は耐えることがない。ソニーの一件を受け、トップダウンでDBセキュリティの見直しを求める企業が多く見られる。当方も暗号化製品ベンダーで務めており、このような企業からよく相談を受ける立場にいるのだが、相談を受けたユーザの中には「大企業ですが恥ずかしながら暗号化していませんでした」というケースや、「暗号化はパフォーマンス落ちるからできればやりたくない」と逃げ腰なユーザなど様々だ。

 とは言え、ここ最近DBセキュリティを取り上げた記事は多く、DBセキュリティが多段防御必須であることは認識され始めているようだ。機密情報が格納されているDBを中心として、考慮すべきポイントはいくつかある。

 以下は当方が活動しているDBSC DB暗号化WGにて発表したDB暗号化ガイドラインからの抜粋になるが、DB自体を取り巻くものとして、「Webアプリケーション」、DBAなどが利用する「管理端末」、DBそのものもしくはバックアップデータに対する「物理アクセス」、また暗号鍵を管理する「鍵管理デバイス」などがある。

 それぞれのポイントでは固有の「リスク」があり、それに対して適切な手立てを取る必要がある。

DBセキュリティの影響システムモデル(DBSC DB暗号化ガイドラインより抜粋)
DBセキュリティの影響システムモデル(DBSC DB暗号化ガイドラインより抜粋)

 一般的にはWebアプリケーションにおいては、SQLインジェクションによる不正なSQL文実行が最も危険かつ有名な攻撃手法である。これらは外部からの直接的な攻撃であるため、どの企業においても率先して手を打ってきた経緯がある。WAFなどのソリューションやアプリケーション自体の定期的なパッチがその具体的な対策である。

 しかし脆弱性を突いた攻撃はイタチごっこであり、新しい攻撃手法が発見される度に対応していたのでは情報漏えいは止められないし、いわゆるアノニマスな攻撃に100%対応可能なソリューションなんて存在しない。やはりデータ自身が漏洩した際のインパクトを考え、データ自体を暗号化し、漏えいしても解読不能にすることが抜本的な対策であると言える。これは外からの攻撃だけでなく、物理的なデータの漏洩(HDD抜き取り等)にも効果を発揮するのは言うまでもない。

次のページ
暗号化すればいいのか?

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
DB Online Monthly Special連載記事一覧

もっと読む

この記事の著者

髙岡 隆佳(タカオカ タカヨシ)

ゼットスケーラー株式会社 エバンジェリスト&アーキテクト   セキュリティ業界で18年の経験を活かし、製品やソリューションに捉われない、セキュリティ投資の方向性について啓蒙活動を実施。2019年よりゼットスケーラーのエバンジェリスト&アーキテクトとして、国内大手企業に対して...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3597 2012/02/10 18:18

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2023年3月14日(火)10:00~16:00

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング