データベースのセキュリティ対策が必要な5つの理由

データベースのセキュリティ対策が必要な5つの理由



情報漏えい対策、マイナンバーへの対応、ビッグデータ/IoTへのセキュリティ対策など、企業が実施すべき情報セキュリティ対策は年々、重要なものになってきています。しかし、十分なセキュリティ対策、セキュリティ運用が実施できている企業がまだまだ少ないのが現状だといえるのではないでしょうか?

2014年の大量個人情報流出事件以降、機密データを守るための対策=「外部」からの情報漏えいを防ぐという考えから、「内部」からの情報漏えいを防ぐという考えに移りつつあります。

以下では、情報漏えい事故が起きる原因を、内部リスクや、データベースサーバーの特性という観点からお話します。


1)社員教育、ウィルス対策だけでは不十分

あなたは、企業のセキュリティ対策といって何を思い浮かべますか?

社員一人一人のパソコンの端末管理、情報の持ち出し禁止や、ウィルス対策、ハッカーからのアクセス防御、定期的な社員教育、、これらはどれも、セキュリティ対策としてやっておかなければならないことですし、当然多くの企業が取り組んでいることでしょう。

しかし、情報漏えい事件は後を絶ちません。

記憶に新しい大手通信教育会社による「内部従業員による顧客情報の大量流出事件」では、業務委託されていたシステムエンジニアが社内のデータベースサーバーへアクセスし、顧客データ2,070万件を入手。外部の名簿業者へ売ってしまったという事件でした。以降、多くの企業が「内部による情報漏えい」に対しての危機感を抱いています。

その一方、「うちの社内教育は完璧だ」「うちの人間が情報を盗むわけがない」と思っている管理者も少なくないはずです。

果たしてそうでしょうか。


2)内部による情報漏えいリスク

2014年9月にデータベース・セキュリティ・コンソーシアムが調査したデータベースエンジニア(DBA)1,000人を対象としたアンケートによると、「将来、データベースに格納されている情報をこっそり売却するかも知れない。」への問いに、およそ10%もの人が「そう思う」「ややそう思う」と回答しました。


さらに、「情報セキュリティ上の脅威について」への問には「管理者あるいは悪意を持った内部者による不正操作」と回答した人が38%もいる結果となりました。


このアンケート結果から「内部による情報漏えい」のリスクは十分あると言えるのではないでしょうか。


3)大量のデータを保管しているデータベースサーバー

なぜデータベースサーバーが狙われるのでしょうか。それは、データベースサーバーが企業の大切な「情報資産」が大量に入っている「金庫」の役割をしているからです。

例えば、ECサイト事業をおこなっている会社であれば、インターネット上で入力したクレジット情報などの個人情報は全てデータベースサーバーに格納されます。それに伴う顧客リストもです。さらに、データの種類は顧客情報だけでなく、社員の個人情報や給与情報などありとあらゆるデータが格納されています。


4)データベースにアクセスできる人は、誰でもデータが抜き出せる

あなたの会社では、データベースに「誰が」「いつ」アクセスをし、「何の」作業をしているのか、すべてのアクセス履歴を把握している人はいますか?

SQLという言語を入力するだけで、データベースにアクセスできる人(システムチームや、DMなどを送る我々マーケティングチーム、給与データを扱う人事部も含まれます)であれば数時間で大量のデータを簡単に抜き出すことが可能です。金庫から資産(データ)を取り出すのは容易なんです。


5)個人情報が流出した際のリスク

個人情報が流出した際、損害賠償請求という金銭的なリスク面だけでなく、原因の調査や公表、被害者や多くの顧客からの問合せ対応などに追われ、業務への支障が及ぼしたり、企業への信用やブランド価値をも脅かすものとなります。このリスクは業務全般に関わることですが、顧客の個人情報が直接保管されているデータベースこそ、セキュリティ対策を行う必要があります。


結論

・従来のセキュリティ対策は最低ラインで対応するべきである
・外部の脅威と同時に、内部の脅威も考えなければならない
・データベースサーバには大量のデータが入っているが誰でもアクセスできる

企業の情報セキュリティ対策は取り組む範囲が広く、どこから手を付ければ良いか判断が難しいかと思います。自社が本当に守らなければならないものは何か、精査した上で取捨選択していくことが情報セキュリティ対策の第一歩ではないでしょうか。