［世界］【Aberdeen調査】
データベースのセキュリティ強化には管理者の監視が不可欠

すでに47％の企業がDBAの行動を監視。職務分掌を実施している企業は61％に

（2008年12月16日）

　米国の調査会社Aberdeen Groupはこのほど、データベース管理者（DBA）を慎重に監視することがデータベースのセキュリティを強化する最良の方法だとする調査リポート「Protecting the Database」を発表した。

　大手企業を中心とした世界各国の120社を対象に行われた今回の調査では、各種データベース・セキュリティ・プラクティス導入状況とデータ侵害事案の発生頻度の間に相関関係があることを突き止めている。

米国Aberdeen GroupのWebサイト

　例えば、セキュリティの「ベスト・プラクティス」を採用している企業は、こうした手段を導入していない企業に比べ、データ喪失事案の発生件数が8％少なく、監査で各種の不備を指摘される件数も10％少ない。

　セキュリティが良好に確保されていると評価された企業で最も特徴的だったのは、DBAに対する厳格な管理を実施しているという点だった。これらの企業では、「DBAを何らかのかたちで監視する」「複数のDBA間で職務分掌を行う」「特定の種類のデータベース・アクセスをブロックまたは制限する」などの対策を実施している。

　そして、こうしたデータベース・セキュリティ対策が、ある程度確立していることも判明した。すでにDBAの行動を監視している企業は全体の47％、DBA間で職務を分掌している企業は61％、侵入を検知するためデータベース・アクセスを監査している企業も59％に上っている。

　Aberdeenのデレク・E.ブリンク（Derek E. Brink）氏は、「多くの企業は自社のデータベースを、社内に存在する機密情報の3分の2近くを格納する重要なリポジトリだと見ている。そのため、特権を有するDBAの動きを監視している企業にデータ喪失事案の発生件数が少ないという今回の調査結果は予想どおりのものだ」と述べたうえで、「セキュリティ・マネジメントやリスク・マネジメント、コンプライアンス、コストなどの側面から見て、DBAを監視するメリットは非常に大きい」と主張する。

　データベース・セキュリティ・ベンダーで、今回の調査のスポンサーでもある米国Impervaのマーク・クレイナク（Mark Kraynak）氏は、「Aberdeenの調査リポートは、特権を持つ内部スタッフの行動を監視していない組織が抱えるリスク、およびデータベースを使うユーザーの行動を監視することでもたらされるメリットを明確化し、定量化した」と評価している。

　またAberdeenは、データベースのセキュリティに不安を抱いている企業に対し、いくつかの提言も行っている。その中には、「共有デフォルト・データベース管理アカウントを確実に削除する」「異常なリクエストを検知するためアドホック・クエリを監視する」「ディベロッパー特権を制限する」などの対策が含まれている。

(John E. Dunn／Techworld.com)