ヤフーオークションをはじめ、さまざまな人気オンラインサービスを展開しているYahoo! JAPAN。そのYahoo! JAPANを運営するのが、ヤフー株式会社だ。同社のシステム統括本部 インフラ技術本部は、Yahoo! JAPANのさまざまなサービスに対し、ITリソースを適切に配布し運用する役割を担っている。
24時間監視し監査の体制を整えるだけでは十分ではない
新たなサービスを立ち上げたいのでサーバーやデータベースが欲しいという要求があれば、社内クラウド的にITリソースを割り当てて提供する。
割り当てるITリソースのうち、データベースはOracle DatabaseとMySQLが利用されている。用途や扱うデータの重要性などに応じ、どちらかを適宜選択するのだ。その結果、2012年10月の時点でOracleが150、MySQLが50ほど稼働している。これらデータベースで扱われるデータには、きわめて慎重に取り扱うべき個人情報も当然含まれる。
「個人情報を扱うデータベースについては、重要データを暗号化し、物理的にも隔離された専用のセキュアルームからしかアクセスできないようになっています。当然ながら、24時間365日しっかりと監視も行われています」と語るのは、システム統括本部 インフラ技術本部 インフラ技術2部 DBMS技術リーダーの尾崎弘宗氏。
セキュアルームからのみのアクセスで、さらには24時間の厳重な監視がなされていても、データベース管理をする立場のエンジニアであれば、データベースにアクセス可能なユーザー権限を持っている。
管理者であれば管理者権限という「特権」を持っているので、機密情報にもアクセスできるのは当たり前だろう。しかしながら、しっかりとした監視体制を敷きながら、「管理者はアクセスできる」という事実そのものが、Yahoo!JAPANでは問題だというのだ。
仮に、尾崎氏がYahoo! JAPANが保持する膨大な個人情報にアクセス可能な人物だと悪意のある第三者に分かってしまうと、そのことを利用し個人情報を不正入手しようとするかもしれない。そんなことは、日本では滅多に起こらないだろうが、世界をみれば珍しくはないだろう。管理者の立場にある人がきわめて高い正義感とモラルの持ち主だったとしても、たとえば家族に危害を与えると脅され、個人情報を不正に入手することを強要されることだってあり得ない話ではないのだ。
この記事は参考になりましたか?
- Why Oracle?連載記事一覧
-
- Oracle Databaseは常にエンジニアの細かい期待にも答え、ときに予想を上回る進化...
- システムは今後こうあって欲しいというソリューション、それがOracleのエンジニアドシステ...
- Oracle Database Vaultって本当に必要ですか? データを守るためよりもむ...
- この記事の著者
-
谷川 耕一(タニカワ コウイチ)
EnterpriseZine/DB Online チーフキュレーターかつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリスト...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
