SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Why Oracle?

Oracle Database Vaultって本当に必要ですか? データを守るためよりもむしろメンバーを守るためにこそいるのです

ヤフーオークションをはじめ、さまざまな人気オンラインサービスを展開しているYahoo! JAPAN。そのYahoo! JAPANを運営するのが、ヤフー株式会社だ。同社のシステム統括本部 インフラ技術本部は、Yahoo! JAPANのさまざまなサービスに対し、ITリソースを適切に配布し運用する役割を担っている。

24時間監視し監査の体制を整えるだけでは十分ではない

 新たなサービスを立ち上げたいのでサーバーやデータベースが欲しいという要求があれば、社内クラウド的にITリソースを割り当てて提供する。

尾崎弘宗氏
尾崎弘宗氏

 割り当てるITリソースのうち、データベースはOracle DatabaseとMySQLが利用されている。用途や扱うデータの重要性などに応じ、どちらかを適宜選択するのだ。その結果、2012年10月の時点でOracleが150、MySQLが50ほど稼働している。これらデータベースで扱われるデータには、きわめて慎重に取り扱うべき個人情報も当然含まれる。

「個人情報を扱うデータベースについては、重要データを暗号化し、物理的にも隔離された専用のセキュアルームからしかアクセスできないようになっています。当然ながら、24時間365日しっかりと監視も行われています」と語るのは、システム統括本部 インフラ技術本部 インフラ技術2部 DBMS技術リーダーの尾崎弘宗氏。

 セキュアルームからのみのアクセスで、さらには24時間の厳重な監視がなされていても、データベース管理をする立場のエンジニアであれば、データベースにアクセス可能なユーザー権限を持っている。

管理者であれば管理者権限という「特権」を持っているので、機密情報にもアクセスできるのは当たり前だろう。しかしながら、しっかりとした監視体制を敷きながら、「管理者はアクセスできる」という事実そのものが、Yahoo!JAPANでは問題だというのだ。

 仮に、尾崎氏がYahoo! JAPANが保持する膨大な個人情報にアクセス可能な人物だと悪意のある第三者に分かってしまうと、そのことを利用し個人情報を不正入手しようとするかもしれない。そんなことは、日本では滅多に起こらないだろうが、世界をみれば珍しくはないだろう。管理者の立場にある人がきわめて高い正義感とモラルの持ち主だったとしても、たとえば家族に危害を与えると脅され、個人情報を不正に入手することを強要されることだってあり得ない話ではないのだ。

次のページ
Oracle Database Vaultを導入したのはメンバーを守るため

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Why Oracle?連載記事一覧

もっと読む

この記事の著者

谷川 耕一(タニカワ コウイチ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/4350 2012/11/19 00:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング