データベース管理者の10人に1人は情報を売却するかもしれない
昨年、大規模な顧客情報流出事案が発生し、世間を騒がせたことはまだ記憶に新しいのではないでしょうか。
数百万件、数千万件という単位での情報流出というのは、ほとんどのケースでデータベースへの不正アクセスが原因であると思われます。
セキュリティ対策は様々な視点から行わなければなりませんが、ファイヤーウォールや不正侵入の検知、防御といった外部からの侵入対策が優先的に取り組まれる傾向にあります。
いまどきファイヤーウォールを設置していない企業というのはないと思いますが、ファイヤーウォールをひとたびすり抜けてしまうと、正規のユーザーとして自由自在に振舞われることもありますので、そういった事態になったとしても被害を最小限に抑える仕組みが必要となります。
今日までの大規模情報流出事案は、企業内部の特権ユーザー(データベース管理者:DBA)がデータベースに「正当な手段で」アクセスして、情報を大量に抜き出したというものでした。
データベース・セキュリティ・コンソーシアム(DBSC)が昨年実施した意識調査『「DBA 1,000 人に聞きました」アンケート調査報告書』によりますと、10人に1人は将来、情報を売却するかもしれない、と回答しています(「将来、データベースに格納されている 情報をこっそり売却するかも知れない。」に対して、「そう思う」「ややそう思う」が計10.7%、「どちらともいえない」が13.4%)。
出展:データベース・セキュリティ・コンソーシアム実施 『「DBA 1,000 人に聞きました」アンケート調査報告書』
この背景としては、DBAとしての業務が正当に評価されていない、給与等の処遇に満足していない、といった意識があるようですが、「どちらともいえない」という回答も含めるとほぼ4人に1人が情報の売却可能性を明確に否定していないというのは驚くべきことと言えるのではないでしょうか。
ちなみに、「将来、データベースを壊して業務妨害することがあるかも知れない。」「将来、データベースに格納されている情報をこっそり改ざんするかも知れない。」「将来、データベースのユーザ名やパスワードを他人に教えるかも知れない。」についてもほぼ同様の回答傾向となっています。
情報流出対策については、もはや性善説に立脚するのは危険であると言わざるを得ません。
システムの改修に時間を要する、他に高い優先順位のシステム投資がある、情報システム部門のメンバーを疑うようで気が引ける、といったことで後回しにしていては、何か起こったときに後悔することになりかねません。
対策としてはデータベースのアクセスログを取得し、不正と思われるアクセスがあったら即座に遮断して、監査部門に通報する、といったものがあります。
各社からソリューションが提供されていますので、未着手の企業は一度検討してみてはいかがでしょうか。
そういったソリューションのひとつ、IBM InfoSphere Guardiumの概要を私が解説した動画があります。よろしければご参照ください。