WAPPLES

世界各国170,000のWebサイトを保護している信頼のWAF
セキュリティ専門家に頼らなくても使えるWAF
1台4役Intelligent WAPPLES

ペンタセキュリティのWAPPLESを導入するにあたり、お客様からよく頂いている質問をご紹介致します。

WAFとは?

OSIモデル中、アプリケーションレイヤ(通称、7レイヤ)で動作し、Http、Https プロトコルをベースとして通信するデータに対して、セキュリティ対策を行います。顧客のWebサーバにおいて、認証されていないアクセスやサイト改ざん等、Webアプリケーションの脆弱性に対する攻撃からサーバを守り、安全に運用されるようにします。

なぜWAFが必要なのですか?

インターネットを通じたWeb環境が発達すると共に、常に開放されているWebを利用した攻撃が標準化され、また汎用化しています。Webの特性上、ファイアウォールを設けても使用されるサービスポートは、常に開放していなければならないため、攻撃に対して、さらされてしまう問題があります。また、専用のハッキングツールなしにWebブラウザだけでも攻撃が可能であり、多様な攻撃方法が存在します。初心者も手軽に行うことができるため、その脅威は増え続けているのが現状です。ハッキング全体の75%がWebアプリケーションに対する攻撃であり、『300個サイトのWebを攻撃してみた結果、攻撃成功率が97%以上だった』というガートナーグループの発表は、Webアプリケーションセキュリティの脆弱性と共に、その必要性を示しています。

安全なWeb環境構築のために先行されるべき課題とは、セキュリティを考慮したWebアプリケーションの設計と構築にありますが、開発工数やスケジュールなどの理由で、セキュリティプログラミングが後回しにされる例は数多く、それに伴う頻繁なアプリケーションの更新や変更によって、アプリケーションそのものの脆弱性が日々増加し続けています。

WAFの期待效果は何ですか?

お客様のWebサーバに重要なコンテンツがあったり、また、会員の情報を保存している場合、必須と言っても言い過ぎではありません。どのようなWebサイトも、インターネット上に公開されている以上、グローバルなネットワーク環境と接続されています。攻撃者は、常に、脆弱性のあるサイトを探査しており、サイト改ざん、情報流出のリスクは、どのようなWebサイトにも存在します。WAPPLESの導入で、Webサイトに対する攻撃や偽造および改ざんを防げることはもちろん、攻撃による主要情報流出も防ぐことができます。また、WAPPLESのリアルタイムモニタリングや多様な統計分析を通じて、安くて便利にWebサーバを管理することができ、脆弱性修正にかかるコストの削減および侵入事故による影響を含め、TCOを削減することができます。障害対応機能を通じて24時間365日絶えずサーバを運用できます。

WAPPLESは、どう働きますか?

現在のハッキングの75%以上がWebアプリケーションのハッキングであり、セキュリティ機能の構築が急がれている状況です。サイトの改ざんや、個人情報および組織情報のような重要情報の露呈など、多様な方法のハッキングが行われており、現実に被害が発生しています。WAPPLESは、インテリジェント・ロジック分析Webアプリケーションファイアウォールであり、人間の思考回路と同一方式でWebトラフィックを分析し、攻撃性の可否を判断して対応します。管理者は、ルールに関するセキュリティレベルの設定を行うだけで、非常に効果的な運用が可能です。

WAFは、IPSやファイアウォールとは何が違うのですか?

75%以上のハッキングがWebアプリケーションレベルで発生しており、このWebアプリケーションレベルでセキュリティ対策を行うものがWAFです。ファイアウォール、IDS、IPSは、Webアプリケーションより下位段階のレイヤで攻撃を防ぎます。ファイアウォールは、リクエストポートを選別し、すべてのWebトラフィックに対して、HTTPポート:80番を、合法的であると判断し、IDSは、遮断機能がないためネットワーク層の弱点だけを分析します。IPS製品は、アプリケーションやコンテンツの中身を知ることはないため、SSL暗号化(エンコード)されている場合などトラフィックの処理が出来ません。IPS製品は、よく知られた類型の攻撃に対する保護だけが可能であるため、新しい類型の攻撃には対応出来ません。そのため、現在、求められているセキュリティとは、WAFの目的とするより高いレイヤに相当するアプリケーション層のセキュリティになります。

Web攻撃類型には、どのようなものがありますか?

Web攻撃の種類は、数えきれないほど多く、毎日新しい攻撃が考え出されています。主要Web攻撃には、SQL Injection、Cross Site Scripting、File Uploadなどの攻撃があります。SQL Injectionは、Webサーバのデータベースを改ざんする目的でSQL構文を改ざんし、Webサーバに転送する攻撃であり、Cross Site Scriptingは、他のユーザのブラウザ上において悪意的なコードを実行させる目的で、Webサーバにclient side scriptをアップロードする攻撃です。また、Webサーバで実行可能である.exe、.jsp、.phpなどのファイルをユーザがWebサーバにアップロードして、悪意的なコマンドを実行するファイルアップロード攻撃があります。

シグネチャーベース方式のWAFの限界は何ですか?

既存のWAF主要動作原理は、Intrusion Prevention System(IPS)から派生したシグネチャーベース方式でした。具体的には、知られた攻撃パターン(Black List)とアクセスが許可されるパターン(White List)を予め管理者が登録しておき、Webトラフィックをアプリケーションレベルで分析することで、その内容が登録されたパターンと一致するかどうかを比較し攻撃可否を判断する方式です。これは改ざん攻撃と新しい攻撃に適切に対処できないため安全ではなく、毎日、リストアップデートおよびポリシー変更を行わなければなりません。どのような管理者も安定的にセキュリティ対策を実行することができないのです。

ハードウェア一体型WAFの良い点は何ですか?

ソフトウェアとしてサーバにインストールされるWAFは、サーバに負荷がかかるため、Webサービス自体が遅くなることがあり、検知負荷による誤検知が発生する可能性があります。一方、ハードウェア一体型WAFは、Webサーバに一切負荷を与えないため、Web攻撃を、安全かつ素早く検知することができます。

WAF導入の際に速度低下がありますか?

理論的には、速度が低下する場合はありますが、WAF導入の際に、Webサーバの負荷を加重させるGarbageTrafficを予め削除し、Webサーバリソースを一定に保持するため、現実的にお客様が使用する時は、さらに速い速度が体感できます。

* Garbage Trafficは、全体Trafficの20%くらいになります。

WAPPLESが他のWAF製品より良い点は?

単純パターン比較であるWAFは、無限の組み合わせが可能なSQL Injection攻撃に対して、全てを防御することはできません。なお、パターン比較は、誤検知が多く、常にアップデートしなければならないため、運用時間の経過と共に遅くなるという問題が発生します。これに比べて、WAPPLESは、Web攻撃に対する検知が、ポジティブセキュリティモデル基盤のアクセスコントロール、入力値検査による攻撃の遮断、Webクライアント検証による異常アクセス遮断などを3重で行い、、また、クッキー及びHiddenフィールドなどの重要情報の暗号化によりセキュリティ性に優れています。
独自に開発したCOCEP論理演算加速エンジンやハードウェア一体型装備を使用することで、 これまでのWAFより性能を向上させており、Watch dog機能やBypassモードをサポートすることはもちろん、多重検知技法の採用でFalse Positiveを防ぎ、高い安定性を確保しています。その他に設定やダッシュボード基盤(dashboard-based)GUIなどの自由で柔軟な画面構成を提供し、直感的で便利な管理が行えます。

WAPPLESの主要Webセキュリティ機能は何ですか?

OWASP Top 10の脆弱点、国家情報院の8つの脆弱点に関しての攻撃を防御するだけではなく、知られていないワーム攻撃及び異常アクセスを遮断します。また、管理者が攻撃に備えて、多様な対応方法を選択できる能動的Webセキュリティ機能を提供します。自動学習機能やポジティブポリシーによるアクセスコントロールの提供はもちろん、ダッシュボード及び各種統計、ログをグラフ及びチャートで分析して提供する、便利で強力な管理ツールを提供します。そして、SSL復号化のサポート及びインライン方式、プロキシ方式の柔軟なネットワーク構成をサポートして、冗長化構成も可能です。即座の障害対応のためのWatch dog機能および障害が発生した場合に正常なWebサービスを保障するためのBypassモードを提供し、障害時の運用ログ記録を行います。

WAPPLESは、外部からの攻撃をどのように検知しますか?

インテリジェント論理分析エンジンであるCOCEPを搭載しており、 単純なシグネチャーベースの分析ではなく、アプリケーション階層のロジック分析を行います。すべての攻撃に対して攻撃類型別の核心メカニズムを遮り、パターンに頼らないルール方式でWeb攻撃を検知します。最適化された26個の検知ルールによる正確なトラフィック分析およびポジティブ+ネガティブセキュリティモデルの結合構成を通じて、HTTP区分分析及び攻撃検知を最適化します。

WAPPLESの攻撃検知ルールとは?

WAPPLESのCOCEPエンジンは、26個のルールで構成されています。それぞれのルールは、多様な攻撃の種類に対する論理的分析を基に、各々の攻撃に対応できるメカニズムで構成されており、それぞれのルールに内在されている10個以上の条件で論理的分析および対応を行います。各条件は、許可リスト方式(blacklist)および遮断リスト(whitelist)を併用あるいは個別に使用し、各条件を統合したルールにより知能的かつ総合的な攻撃性判断を行います。

従って、WAPPLESは、各ルールの適用可否および対応レベルを決めるだけで、簡便にセキュリティポリシーを設定できますし、このように設定されたポリシーはアプリケーションの修正や攻撃方式の発展がある場合にも修正する必要がない長期運用のpolicyになります。人がDBに直接パターンを登録する既存のWAFとは違うWAPPLESは、攻撃論理分析と判断を自ら実行することができます。

WAPPLESはどのような方法で管理しますか?

WAPPLESは、WAPPLESに構築された各Webサイトに対する独自のポリシー設定や設定および閲覧が可能な運営者、閲覧だけ可能な閲覧者など、管理者権限分離機能を利用した個別管理をサポートします。なお、PLS (Policy and Log Sync)設定およびWAPPLES MSを利用して複数のWAPPLESを統合的に管理できます。また、暗号化通信の遠隔管理およびアップデートサーバでの最新バージョンのWAPPLESのアップデートをサポートします。

WAPPLES一台あたり何台のサーバを管理することができますか?

CPS及びTPS、そして、使用するWAPPLES製品により、管理サーバの台数が決定されます。WAPPLES-50(登録数2)を除いて、ライセンス上の制約は、ありません。

WAPPLESは、一年に何回ほどアップデートされますか?

目安として、年におよそ2回ほどリリースをしております。このアップデートは、機能の追加、不具合の修正、検知ロジックの精度の向上を含む機能的なアップデートになります。お客様のリクエストによるパッチの場合、状況によってさらに多くアップデートを行うこともあります。

WAPPLESのインストールにかかる時間は?

「事前インストール調査書」を作成していただければ、予め設定してインストールすることが可能になるため、基本ポリシーまでインストールするのに2時間以内で完了できます。因みに、インストールにかかる時間は、ネットワーク状況により流動的です。物理的な設置を行う際のサービス停止時間は、約1分前後です。

WAPPLESが攻撃の種類別に検知する方法は?

WAPPLESの主要な機能は、Webサーバに対する外部からの各種攻撃を検知して遮断することです。そのため、多様なルールシステムを利用して、数多いWeb攻撃を検知するエンジンを持っています。WAPPLESの攻撃検知ルールシステムは、HTTP通信スタンダードを予め検査するHTTP Request Validation、シグネチャーベースで対処できないWeb攻撃を検知するための攻撃手法分析、一般的正規表現式を使ったシグネチャーベース、ユーザ入力値を暗号化・復号化できるInput Parameter Validation、そしてURLのアクセス許可リストをポリシー設定で管理するPositiveセキュリティなど大きく分けて5種類があります。

WAPPLESはどのようにレスポンスパケットおよびリクエストパケットを全部モニタリング

インライン方式でサーバの前端にWAPPLESを設置する場合、サーバに入るレスポンスパケットおよびサーバから出るリクエストパケットを全てモニタリングすることができます。また、プロキシ方式で、コンテンツをスキャニングする機能をレスポンスパケットだけでなくリクエストパケットにも適用し、外部に出る全てのトラフィックの検査を行うことで、個人情報流出の可能性を検知して遮断することができます。

WAPPLESインストール時に既存ネットワーク構成に変更は必要ですか?

いいえ。WAPPLESは既存のネットワーク構成上で容易にインストールできるように設計されています。WAPPLESはインライン方式やプロキシ方式、HA方式などの様々な構成を利用して、柔軟なネットワーク構成を提供します。

WAPPLESの設置位置はどこですか?

ファイアウォール – IDS、IPS – WAF – Webサーバの順で構成されますが、設置台数によりWAFの前端もしくは後端にスイッチが物理的に接続されます。ただし、一般的に、検知対象のWebサーバにより近い配置を推奨しております。

HAモードはどのような状況で必要ですか?

障害が生じた時にも正常にサーバのセキュリティ・サービスを提供するため、WAPPLES2台およびL2/L3スイッチを利用して構成するHA構成(Active-Standby)が可能であり、トラフィックが多い場合には、WAPPLES2台をHAモード(Active-Active)で構成することもできます。また、ネットワークが既に冗長化されて構成されている場合は、単体の2台のWAPPLESを個々のネットワークに設置して、PLS(Policy and Log Sync)機能を使用して統合管理することができます。

WAPPLESが、ロギング、モニタリング、レポーティング機能全てをサポートしますか?

はい。WAPPLESはロギング、モニタリング、レポーティング機能を全てサポートします。WAPPLESは、基本的なWebログだけでなく、システムのステータス、検知ログ、監査ログ、ダッシュボードなどを理解しやすい形で提供します。WAPPLESは、集約的で継続的なバックアップ、或いは、第3の分析ツールの利用のためにSyslogを提供します。また、WAPPLESは、定期的に管理者にWebログおよび検知ログを分析したレポートを提供します。

WAPPLESに障害が発生した場合、Webサービスも停止されますか?

Watch dog機能を利用して、WAPPLES の起動プロセスの状態を継続的に確認し、障害発生時にも、ソフトウェアBypass及びハードウェアBypassを行うことで、正常なWebサービスの継続運用が可能になり、サイトのアクセス不能を防ぐことができます。また、継続的な検知機能の維持を求められる場合は、WAPPLESを複数台設置する冗長構成を推奨します。

購入後、DDos検知などのモジュールを追加することは可能ですか?

別途のモジュールの追加なしに、WAPPLESルールの一つであるSuspicious Accessを利用して、トラフィックのモニタリングを行い、正常なトラフィックを区分できますし、DDos攻撃などの異常アクセスがある場合には、それを検知して該当接続を遮断することはもちろん、UserDefineルールを利用して管理者が検知パターン及びレギュラーエクスプレッションを登録することも可能です。また、最新バージョンでは、ブルートフォース攻撃に対する対応機能を含まれており、実際のセキュリティニーズに応じて、エンジンと機能は改良されております。

D’Amo

情報漏洩の根本的対策、DBセキュリティソリューション最も根本的、かつ信頼性のあるセキュリティ対策、
データベース暗号化プラットフォーム D’Amo

ペンタセキュリティのD’Amoを導入するにあたり、お客様からよく頂いている質問をご紹介致します。

D’Amoって何ですか?

データセキュリティ及びアクセスコントロールソリューションで、データベースに保存された重要な情報に対し、アクセスコントロール及び暗号化を行う製品です。D’Amoは、データベースの使用を許可されたユーザを細分化し、重要なデータを保護するために、データベースを使用している既存のアプリケーションを修正しないで、暗号化を適用することができるという特徴を持っています。データベース内のアクセスコントロール機能を提供し、まず、DBユーザ単位のログイン権限コントロールをクライアントIP別、許可時間帯別、アクセスアプリケーション別に行うことができます。次に、暗号化カラムに対し、DBユーザ別、クライアントIP別、アクセスアプリケーション別に暗復号化権限を付与し、データを安全に保護することができます

また、暗号化カラムに対して監査機能を提供し、どのユーザがどのコンピューターでどのような操作をしたのかを確認することができます。また、セキュリティが必要な重要な情報のみを選択的に暗号化し、システムの性能低下を最小化、システム管理者やDBA権限を持つユーザもデータを見ることができないようにすることで、セキュリティ性を高めたDBセキュリティ専門管理ツールです。

D’Amoを導入するとどのような効果がありますか?

顧客DBにおける重要な情報を安全に保護することで、データの信頼性を向上させると同時に、個人情報保護法を遵守します。これにより企業は、情報保護基盤の確立、企業イメージの向上、収益の増大という一石三鳥の効果を得られます。

D’Amoにはどのような機能がありますか?

データベースにおける機密データのカラム単位の暗号化
データベースユーザのログイン権限及びアクセス権限の設定を行うことで、許可されたユーザのみがデータベースにアクセスできるようにする機能
暗号化データに対するアクセスログの記録及び照会機能
監査資料のレポート機能(グラフ化、報告書形態)

D’Amoはどのように私の情報を保護しますか?

D’Amoは暗号化だけではなく、アクセスコントロール、監査、レポーティング機能までを実施する統合DBセキュリティソリューションです。まず、データの暗号化を通じて情報を保護することができ、次に、アクセスコントロールを通じて情報を保護することも出来ます。アクセスコントロールは2段階に分けて安全に処理されます。まずは、ログインアクセスコントロールで設定されたポリシー(IPアドレス、サービス名、時間帯)によって望ましくないアクセスを遮断し、次に、暗号化されたカラムにアクセスした際、同じくセキュリティポリシー(IPアドレス、サービス名)を通じて必要な場合のみアクセスを許可します。
Oracleデータベースを基盤にした監査機能は、ポリシーの設定や変更、削除について記録するポリシーログに対してだけではなく、暗号化カラムにアクセスする場合にも詳細に記録を残します。この記録に基づき、非正常なアクセスが試み続けられた場合の履歴を取得することができます。

Oracleと一緒に提供されるDBMS_OBFUSCATION_TOOLKITを使用することもできると思うのですが、なぜ敢えてD’Amoを使用しなければならないのですか?

DBのデータを暗号化するということは、単純に、特定データのみを暗号化するというような簡単な作業ではありません。実際、データを暗号化する時には、重要な情報が安全に管理されるように処理しなければならず、また、該当情報を参照する既存アプリケーションが正常に作動するようにするために、様々な処理を行わなければなりません。このような作業は単純に暗号化ツールキットを使用する範疇を遥かに超えることとなり、それに付随する様々な技術的問題を解決しなければなりません。
D’Amo(DP)は、データに対する暗号化を必要としていながらも人員不足、専門知識不足、時間不足等の多くの制約事項を抱えている組織のために、データの暗号化を迅速かつ効果的に実現できるように作られたソリューションです。D’Amoは、シンプルかつ堅牢で、より効率的な暗号化を通じてOracleのセキュリティ性を向上させます。
D’Amoはユーザ環境において、使いやすいGUIを提供することでデータの暗号化を容易にします。D’Amoがデータベース内の様々な種類のデータ(char/date/number)に対する暗号化を支援するのに対し、OracleのToolkitはraw/string/lobデータのみを暗号化の対象にしています。 また、OracleのToolkitがDES56bitと3DESのみ使用するのに対し、D’AmoはSEED,AES, DES, 3DES等の様々な国内外標準に見合った暗号化アルゴリズムをサポートしています。

Oracle10g(または以降)サポートされる暗号化機能とD‘Amoの暗号化機能にはどのような差がありますか? (- システムAdminとセキュリティポリシーAdminを個別に管理することができますが、 この部分はD’Amoと特に違いがないのではありませんか?)

Oracle10gより、Transparent Data Encryption(以下、TDE)をサポートしているのは事実です。TDE機能はデータ暗号化をサポートし、export/import機能を使用する際、暗号化されたデータ処理ができます。
しかし、暗号化されたテーブルに対して適切なSELECT権限さえあれば、別途の復号化権限がなくても暗号化されたデータを自動で復号化する事ができてしまいます。つまり、DB運用管理者はSELECTコマンドを通じて、該当DBの暗号化されたデータを自由に復号化して確認することができるということです。万一、DBAのアカウントとパスワードが漏洩(ハッキングやその他諸々) すれば、重要な情報が流出してしまうという短所があります。また、韓国内の公共機関と金融関連企業において広く採用されている、韓国製のアルゴリズムであるSEEDアルゴリズムのサポートができません。この機能を利用するためには、Oracle購入時に別途、追加で1CPUあたり2万ドルの費用が掛かります。
D’Amoを使用する場合、暗号化されたデータにアクセスするためには、基本的に該当テーブルにSELECT権限がなければならず、別途の復号化権限付与を通じて、望ましいアカウントのみデータを確認できるようにすることが可能です。また、特定IPでのみ処理を可能にするアクセスコントロールも、内部的に行っています。そのため、DBA権限があるユーザも暗号化されたデータを照会するためには、セキュリティ管理者を通じて別途権限を得なければなりません。更にD’Amoは、ユーザの利便性を追求したGUIを用いて複数のデータベースやインスタンスを統合的にセキュリティ管理を行うことができ、DB運用者とセキュリティ管理者の職務を、明示的に分離することができます。

D’Amoを設置してシステムを運用すると、既存のプログラムに影響がないですか?

D’Amoを設置して重要なデータを暗号化したとしても、既存プログラムには同一のテーブル名とカラム名でデータベースにアクセスが可能ですので、何の追加作業をしなくても、そのまま使用することができます。

D’Amo構築時、準備しなければならないことはありますか?

D’Amoは、会社の最重要データに対する最終防衛ラインであるとお考え下さい。どのようなデータを暗号化し、どのようなデータを暗号化しないのかについての確実な計画が必要となります。また、どのような暗号化アルゴリズムを用いるのかも、事前に決めておく必要があるでしょう。

データの暗号化はどうしても必要ですか?アクセスコントロールのみでは、データベースセキュリティが実現できませんか?

必ずしも暗号化する必要はありません。ログインアクセスコントロールでも実現可能です。データベースにアクセスすることができるプログラムや時間、アクセスIPを設定して、その他の場合にはアクセスできないようにすることで、データを安全に保管することができます。 しかし、データの暗号化とアクセスコントロールを同時に設定することで、より堅牢なデータベースセキュリティが実現可能になります。

暗号化したカラムに対するアクセスコントロールは、どのように実現されていますか?

暗号化カラム毎に、DBユーザ、アクセスプログラム名、アクセスIP別に許可を与えることができます。アクセスが可能なプログラムとIPのみを制限的に許可し、安全にデータを保管することができます。

暗号化したカラムに対して、復号化権限のないユーザが検索(問い合わせ)をした場合、どのように分かりますか?

復号化権限のないユーザに対して、データベースセキュリティ管理者は、D’Amoコンソールを通じて様々な方法で結果を表示することが出来ます。
DBMSのエラーをリターンする場合、特定の文字をリターンする場合(例、######)、暗号化された値自体をリターンする場合とそれぞれ設定することができます。

indexが適用されたカラムに対しても、暗号化を適用することができますか?

もちろん適用できます。データベースセキュリティ管理者は、D’Amoから提供されるindex支援機能を用いて、indexが適用されたカラムを暗号化することが出来ます。また、一定の条件に基づき、trigger、PK/FK、Materialized View、Defaultカラム等に対しても暗号化することが可能です。

データを暗号化した場合、データベースの性能には何の問題もありませんか?

もちろん、データベース内の全てのデータを暗号化すると、多大な性能問題を引き起こすでしょう。全てのデータを暗号化するのは無意味であり、不必要な性能低下を引き起こすため、重要なデータのみを暗号化することを推奨いたします。

暗号化を適用した後にデータをバックアップする場合、バックアップには何の問題もありませんか?

何の問題もありません。暗号化されたデータが含まれた全てのオブジェクトをバックアップした後、再び復旧する場合、D’Amoが設置された場所に、同一のキーセットも適用されば、以前の状態のまま復旧されるので問題になることはありません。しかし、別途のスクリプトを用いてテーブル単位でバックアップする場合には、変更されたテーブル名でバックアップを行わなければなりません。

DBAパスワード紛失時でも、データ流出被害を最小化することができますか?

もちろん、第3者による予期ぬ不正な攻撃を受けることでDBスーパー管理者のパスワードが流出した場合には、企業内の重要な情報が流出し甚大な被害を及ぼす可能性があります。 しかしD’Amoは、例えDBAであっても、暗号化されたカラムに対するアクセス権限がない場合には、データに対するアクセスを遮断することで、そのような大量データ流出時にも被害を最小限に抑えることができます。

D’Amoには復旧機能がありますか?

D’Amoでは、暗号化を解除する復旧機能をいつでも実行することができます。復旧機能は、D’Amoで変更したスキーマ定義等を元に戻し、データを平文に戻します。このため、暗号化実行後でも、暗号化前のテーブルスキーマとデータに戻すことができます。これは、管理コンソール上から暗号化の実行と同様に、暗号化の解除も容易に実行することができます。

アクセス制御機能は、すでにアプリケーション側で、他のセキュリティソリューションから制御されていて、操作ログも取得しています。D’Amoが提案しているアクセス制御機能は、既に実装されていますが…

アプリケーション側でユーザレベルのアクセス制御は実施されていると思いますが、D’Amo が実現することは、データベースのセキュリティプラットフォームの実装になります。フロントのアプリケーション側で、いくらセキュリティを担保しても、その根幹となるデータベースのセキュリティが疎かである場合には、常に情報漏えいのリスクが存在します。アプリケーション側でのアクセス制御は、悪意のある外部ユーザーからのデータ漏えいは防止できても、内部からのDB情報漏えいは防止できません。

IT部門のDBの専任者が、すでにユーザ権限を設定し、ログも取得しているはずです。敢えて、暗号化する意味が分かりません。

DB管理者が、アクセス権限の設定や動作ログを取得し、運用管理されていることは間違いないと思います。ただし、一般に、DB管理者が組織や業務上のセキュリティを意識して運用管理しているわけではありません。DB管理者の主な業務は、日々の情報システムの安定稼働にあります。
データを暗号化することは、企業セキュリティの根幹の手法であり、世界共通の数学的手法によるセキュリティ対策です。アクセス制御の実装に共通技術はないため、迂回される可能性が潜在的に常々存在します。
そのため、昨今では、法制度に暗号化が明記される例が増えています。実用的な企業のセキュリティ対策として、データの暗号化を軸に、適切なアクセス制御やログ収集、外部攻撃対策等を検討されることをご提案いたします。

昨今の事例にあったように、暗号化しても、権限を持つ者が意図的に情報を抜き出した 場合には、仕方がないと思います。結局、内部の者が悪意を持ったら、DB暗号化ソリューションも無用の長物ではありませんか?

どんなにセキュリティ対策をしても、特権をもっている担当者が意図的に情報を持ち出したら、確かに事故は発生します。この場合、事故発生後には、次のことが組織に問われるかと思います。
– 特権の所有者は、本当に適切な担当者であったのか?
– 不必要な業務データのアクセスを、インフラ側のシステム担当者に与えていなかったか?
– また、機密性のある業務データ(秘匿情報)は、DBシステム上で明確に分類されていたか?
– 権限の付与は、適切な承認プロセスを経たものであったか?

データの暗号化は、上記のように、企業セキュリティを考える上での組織上の脆弱性を洗い出すきっかけとなり、まず最初に検討すべき項目であると考えます。また、上記のような問題は、DBのアクセス制御だけでなく、暗号化鍵に関するアクセス制御と監査対策の面でも考慮する必要があります。

最近は、システム上脆弱性があるにも関わらず、セキュリティ対策が検討されておらず、個人情報の漏えい事件があった場合、企業の在り方や企業倫理を問われる傾向にあります。いくらセキュリティ対策を実施しても情報漏洩事件は発生し、いたちごっこのようでセキュリティ対策は無意味なのではないかという消極的な考え方から、企業としての在り方を考え、ビジネスを守るという観点からリスクを減らす継続的なセキュリティ対策が求められています。