”SOX法を見据えたデータベースセキュリティ”のレポート定期掲載についてのお知らせ
データベースセキュリティが求められる社会的背景
コンピュータの普及に伴い、リスクやセキュリティの考え方が変わってきました。そういった中で個人情報保護法が施行され、最近ではデータベースサーバのセキュリティ強化が求められるようになってきた流れを見ていきます。
データベースセキュリティが求められる法律的背景と各省庁からのガイライン
個人情報保護法、e文書法、SOX法等、それぞれの法律が目的とすることに対してはデータベース暗号化が非常に効果的なセキュリティ対策となります。また、金融庁の外郭団体であるFISC(金融情報システムセンター)、厚生労働省、といったところからは最近「データベースを暗号化する必要がある」というガイドラインが出されました。こういった法律やガイドラインの詳細について見ていきます。
データベースセキュリティに必要な技術要素
データベースサーバのセキュリティを高めるためには「暗号化」「ログ監査」「アクセス制御」という3つの技術要素があります。これらの技術要素の詳細とそれを実現するソリューションについて見ていきます。
SOX法に向けての内部統制強化におけるデータベースセキュリティ
SOX法においてデータベース暗号化が明示的に求められている訳ではありません。しかしながら、最近では「SOX法では企業はDBAが不正を起こし得る環境をリスクととらえ、そのリスクを軽減するコントロール(統制)を監査人に示す必要がある。」ということが言われるようになってきました。こういった流れとそれに対する対策について見ていきます。
データベースセキュリティと運用
以前から広く言われているように、システムの構築運用においては、「システム企画」「システム開発」「システム運用」というレベルでの「ITガバナンスの3権分立」が求められていました。最近では、「経営者(ITスポンサー)」「CIO・IT部門(IT提供責任者)」「事業責任者・事業部門(ITオーナー)」の3権分立が重要である、と言われ始めました。3権分立というのは社会における責任範囲の明確化に対して不偏な概念です。これらと我々が提唱しております、「アプリケーション開発」「業務運用」「システム運用」という3権分立を含めた流れを見ていきます。
連載一覧
筆者紹介
1957年生まれ。大手システムイングレーターにてシステム開発に携わる。インターネット普及を見据えて1995年に子供向けISP立ち上げに参画。データベースセキュリティを高める事業を推進すべく2000年に当社を設立し現在に至る。
システム運用管理側からの漏洩により100万件を超える大量漏洩事故が起きています。企業において、クライアントPCからの情報漏洩対策はかなり進んでいると言えます。サーバー側、特に全てのデータを格納するデータベースサーバに対するセキュリティ対策は今、盛り上がりを見せ始めています。
会社設立の経緯にもなるのですが、私が大手システムインテグレーターに在籍していた頃に病院関係や流通関係のお客様のシステムをメンテナンスすることがありました。その時に、私自身はデータの内容を見る必要がないメンテナンス業務をしているにも関わらず、データベースの内容が全て見えてしまう、ということに強い違和感を持ちました。特に病院においては、色々な方の疾病履歴まで見えてしまったのです。
レポートの中で詳細に触れますが、最近では金融庁の外郭団体や厚生労働省のガイドライン、米国カリフォルニア州法などでデータベース暗号化が推奨されていることもあり、データベースに格納する情報を暗号化する、というソリューションは確実に増えています。会社設立の経緯にもあります通り、データベースセキュリティに対する我々のアプローチは少し異なっております。我々の目標は、単にデータベースに格納する情報を暗号化するだけでなく、暗号化された状態を積極的に活用し、データの内容を見る必要がない運用・管理担当者にはデータの内容を見ることができない状態で業務を遂行する環境を作るお手伝いをする、ということです。
最近米国ではSOX法の監査におけるデータベースセキュリティということが指摘されるようになって来たということもあり、「SOX法を見据えたデータベースセキュリティ」と題したレポートを定期的に掲載していくことにいたしました。予定しているレポートの各章別概略を以下にご説明いたします。(この内容は状況によって変わる場合がありますので、あらかじめご了承願います)
コメント
投稿にはログインしてください