データベースセキュリティツールは、近年サイバー攻撃で狙われやすいデータベースのセキュリティを高めるため、必要とされているセキュリティツールの一種です。本稿では、データベースセキュリティの現状を整理した後、おすすめのデータベースセキュリティツールを紹介し、その特徴を比較します。
- データベースセキュリティツールとは
- データベースセキュリティツールのおすすめ6製品徹底比較!
- データベースセキュリティツールの基本的な6機能
- まとめ
データベースセキュリティツールとは
データベースセキュリティツールとは、データベースのセキュリティを高めるために、アクセスログ管理やデータの暗号化などの機能を備えたツールのことです。
1 データベースのセキュリティの現状
データベースセキュリティの現状は、さまざまな問題があります。データベースの監査ログを適切に管理できていない、あるいはそもそも監査ログを取得していないため、不正アクセスに気づけないケースはその一例です。
他にも、適切なアクセス制御ができておらずデータベース管理者の使うDBA(データベース管理者)ロールで全てのデータにアクセスできてしまう問題も。さらに、データを暗号化していないため、システム開発者が本番環境からのデータをインポートして自由に閲覧できてしまうのも問題です。
2 狙われるデータベースと対策の必要性
データベースには、顧客の個人情報や社内情報など、重要かつ機密性の高いデータが保存されています。サイバー攻撃でも狙われやすく、内部犯行でデータを持ち出されるリスクもあり、データベース単体でのセキュリティ対策が急務です。
データベースセキュリティの対策方法としては、データベース操作の監査、適切なアクセス制御、そしてデータ暗号化の3種類が必要です。これらの機能を提供するデータベースセキュリティツールは、外部攻撃および内部犯行の対策を可能にする機能も提供します。
データベースセキュリティツールのおすすめ6製品徹底比較!
ここからは、データベースセキュリティツールのおすすめ製品を紹介するとともに、その特徴を比較します。自社の環境に適した製品はどれかを探してみてください。
「Guardium」
POINTデータベースサーバにエージェントをインストールするとともに、アプライアンス上にログを格納 して改ざんできないようにするデータベースセキュリティシステム。幅広い種類のデータベースに対応し、複数データベースの一括管理が可能です。
データベースセキュリティを高める機能は網羅しており、 本製品1つでデータベースの監査・アクセス制御・暗号化アクセスに対応できます。
コンプライアンス監査プロセスを自動化し、リアルタイムにアラートや不正アクセスブロック を実行。70種類以上の監査対応レポートテンプレートを提供しているので、取得したログを監査用に再編集する必要もありません。
「D'Amo」
POINTデータベースへのアドオン でアプリケーションやクエリへの影響を抑えつつ、カラム単位の細かなデータ暗号化を実現 するデータベースセキュリティツール。「Guardium」と組み合わせて利用することで、より強固なデータベースセキュリティを実現できます。
データ暗号化により懸念されるパフォーマンスの劣化も最小限に抑制。DBAとセキュリティ管理者の職責を分離、ユーザーへの権限設定による アクセス制御などもサポートします。
「Aegis Wall」NHN テコラス株式会社
POINTワークフロー制御による特権ID管理とアラート運用・権限制御などの機能によりデータベースセキュリティを高めるツール。複数データベースの特権IDを一元管理できる点が大きな特徴です。データベースセキュリティツールとして利用する場合は、 「Access Controller(AC)」プランを選択します。
データのマスキング や特権IDの認証機能(2要素認証やパスワード管理)にも対応。データ自体の暗号化機能はないため、他の製品と組み合わせるとより強固なセキュリティを実現できます。
「ProtectDB」タレスDIS CPLジャパン株式会社
POINTさまざまなデータ暗号化とアクセス制御に特化したデータベースセキュリティツール。 データのライフサイクル全体をセキュアに保護 し、データベースのセキュリティを高めます。データベース内のファイルまたはカラム単位での暗号化、アプリケーション層での暗号化、バッチ処理・オンライン処理中の暗号化などが可能です。
また、暗号化だけでなく鍵・アクセスポリシー・構成定義を一元管理 する仕組みで、セキュリティ管理の効率化もサポートします。
「トークナイゼーションマネージャー」タレスDIS CPLジャパン株式会社
POINT機密データ(銀行の口座番号やマイナンバーなど)を暗号化して一元管理するとともに、トークン化して保護する仕組みのデータベースセキュリティツール。機密データを代理の値(トークン)に置き換え、さらに 機密データは暗号化して中央のトークンコンテナに保管します。
特に機密性の高いデータに対して、さらにセキュリティを高めたい場合に検討したい製品です。
「MyDiamo」ペンタセキュリティシステムズ株式会社
POINTOSS(オープンソース)のデータベースに特化 したデータ暗号化ツール。データベースのアドオン形式なので、アプリケーションやクエリおよびパフォーマンスへの影響を最小限に抑えつつ、カラム単位のきめ細かな暗号化・復号化をサポートします。
データのマスキング にも対応。カラムだけでなくアカウント別にも暗号・復号権限の設定が可能です。個人用の無償ライセンスを提供 しているため、自由に試せます。
データベースセキュリティツールの基本的な6機能
データベースセキュリティツールは、データベースの監査・暗号化・アクセスログ管理などを実現する機能で構成されています。ここで紹介する基本機能の中で、各製品はどの機能を提供しているかを確認しましょう。
1 アクセスログ管理
データベースにアクセスするユーザーの操作ログを取得する機能です。基本的にどのデータベース製品でもログを取得する機能はありますが、社内にあるデータベースのログを一元管理することで、不審なアクセスの早期発見をサポートします。対応データベース製品、ログを取得できるデータベース数などを確認しましょう。
2 暗号化
不正アクセスは、データベースの中だけではなく、バックアップデータや通信データに対しても発生する可能性があります。これらのデータは可能な限り暗号化しておくことで、万が一データを盗まれた場合でも悪用を防止できます。
また、開発環境に本番環境のデータを流用する際は、データの中身を開発者に見せないよう、マスキングする処理も必要です。
3 権限管理
DBAロールのように、全ての権限を与えるような権限管理は避け、状況に応じて最低限の権限を与えるような権限管理も必要です。職責に必要な操作権限とアクセスできるデータの種類権限管理を行える機能があるかどうかも確認しましょう。
4 ファイアウォール
データベースセキュリティツールの中には、ファイアウォール機能を提供するものもあります。ファイアウォールとは、許可されていないポートへの攻撃を防止するセキュリティ機能の一種です。
5 不正アクセス検知
データベースのアクセスログ・操作ログより不審なアクセスを検知して、管理者に通知する機能です。不正アクセスの検知方法としては、アクセスポリシーを予め設定しておいて、違反したアクセスを検知する等の方法があります。
通知手段としては、メールや管理画面へのメッセージ表示などがあります。不正アクセスの検知手段や通知方法は製品ごとに特徴があるので、自社のニーズに合っているものはどれかを比較検討してください。
6 監査対応
データベースの監査に必要な機能を提供します。収集したログを改ざんされないように保全して証拠として扱えるようにする機能や、定期的なレポーティング機能、リアルアイムな不正アクセス検知&通知などは、監査対応に必要な機能です。
まとめ
データベースセキュリティツールの導入は、データベースを一元管理し、サイバー攻撃や社内外からの不正アクセスから守るのに有効です。現状のデータベース管理を整理して、ロールなどの見直しを実施するとともに、自社に合った機能を持つ製品を選びましょう。