データベースこそ守りを固めよ!日本オラクルがSQL文法解析エンジンを備えたデータベースファイアーウォール新製品を提供開始 (1/2):EnterpriseZine(エンタープライズジン)
Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

データベースこそ守りを固めよ!日本オラクルがSQL文法解析エンジンを備えたデータベースファイアーウォール新製品を提供開始

2011/10/20 00:00

日本オラクルは10月18日、データべースセキュリティ製品「Oracle Database Firewall」の日本語版を11月9日から提供することを発表した。Database Firewallは、SQLインジェクションなどのインターネットを経由した不正アクセスや、内部関係者の不正行為などから機密情報を保護するデータベースファイアウォール製品。SQL文法解析エンジンを搭載し不正なSQL文を正確に検知できることや、既存のアプリケーションやデータベースに変更を加えずに設置できること、処理のオーバーヘッドがほとんどないことなどが主な特徴となっている。

まずはデータベースを守ること

日本オラクル テクノロジー製品事業統括本部 担当ディレクター CISSP-ISSJP 北野晴人氏
日本オラクル
テクノロジー製品事業統括本部
担当ディレクター CISSP-ISSJP
北野晴人氏

 発表にあたった日本オラクルのテクノロジー製品事業統括本部担当ディレクターCISSP-ISSJP 北野晴人氏はまず、「脅威と攻撃のトレンドは変化するものの、データベースに情報が格納されることは変わらない」とし、情報の格納場所であるデータベースの保護が重要であることを指摘。

 最近見られる具体的な攻撃パターンとして、アプリケーションの脆弱性を利用したSQLインジェクション、アプリケーションサーバの脆弱性を踏み台にしたOSやデータベースへの攻撃、標的型メールやUSBメモリを起点としファイアウォールなどの境界防御を迂回する新しいタイプの攻撃の3つを挙げた。

 情報を格納しているデータベースが保護されていない場合、これら攻撃により、企業の機密情報や顧客が漏洩することにもつながりかねない。

 Database Firewallは、データベースサーバーとアプリケーションサーバーの中間に設置することで、企業の内部へ侵入を許した場合にも、データベースからの情報流出を防ぐ製品となる。

 機能としては、アプリケーションサーバーから発行されるSQL文を解析し、不正なSQL文を制御する「ブロッキング」機能と、ネットワークスイッチなどに備わるポートミラーリングを利用して、ネットワークトラフィックを解析し、SQLコマンドのログを収集・管理する「モニタリング」機能の2つが提供される。

Oracel Database Firewallが提供する機能と設置例
[Oracel Database Firewallが提供する機能と設置例

 不正なSQL文を検出した場合の制御方法としては、Webアプリケーションファイアーウォールと同様に、ホワイトリスト方式とブラックリスト方式がある。事前に、ユーザーやアプリケーションからのアクセスに対して、許可/拒否するSQLを定義しておき、時間、日、曜日、ネットワーク、アプリケーションの要素を組み合わせて、アクセスの許可/拒否を制御する。

Oracel Database Firewallの定義画面。許可するSQL文を定義し(緑のマーク)、
それ以外のすべてを拒否する設定
Oracel Database Firewallの定義画面。許可するSQL文を定義し(緑のマーク)、それ以外のすべてを拒否する設定

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 齋藤公二(サイトウコウジ)

    インサイト合同会社 「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

バックナンバー

連載:DB Press

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5