データベース導入とセキュリティ対策

企業におけるデータベース導入のメリットと課題

現在企業・会社組織において、データベースシステムによってなんらかの機密性のある情報を保持しているのは当たり前になりました。巷では「Oracle」「MySQL」「MariaDB」「PostgreSQL」といった、有償製品から無償のオープンソースまで様々な製品が出回っています。多くの企業が利用、もしくは導入の必要性を少なからず感じているデータベースですが、今回は2回に分けて、データベースの活用や導入時の課題となること、そして安全に運用していくためのプラットフォームの構築等についてまとめてみたいと思います。

データベースを活用してできることとは？

ビジネスの現場で頻繁に活用されるデータベースですが、主に次の５つの活用法があります。

・データの管理・共有

・データの分類・検索

・基幹ソフト・システムとの連携

・ブラウザでの直感的な利用

データベースでは、膨大なデータの管理や共有が可能です。散らばった大量のデータを検索・抽出・共有することで、情報を活用できるようになります。また必要なデータの検索、データのグループ化・編集が容易にできます。多くのデータベースではExcelやAccessといった各種ソフトウェアや基幹システムと連携させ、社内の顧客データや売上等のデータの詳細な分析も可能です。ブラウザでの直感的な利用で必要な情報を必要な人がスピーディーに抽出できるようになります。データベースを活用することで、例えば顧客をセグメントに応じて管理し、今後の戦略を立てることやCRMの材料にすることに役立てられます。

複数のテーブル間で関連付けを行うデータ管理方式を「リレーショナル・データベース（Relational Database：RDB）」と呼びますが、分析に用いるデータベースはほとんどがこのRDBです。リレーショナル・データベースはイギリスの計算機科学者エドガー・F・コッド氏によって提案されたモデルで、データの関係性によって構造を定義し、関係性を持つ組を「グループ」として扱うことでデータを整理する、という特徴を持ちます。こうしたRDBはウェブサーバ用のデータ管理システムとしてもよく利用されています。

データベースはデータを蓄積していきますが、蓄積されたデータを活用してくことで、便利なウェブシステムが開発できたり、今後のマーケティング戦略に活用したり、顧客情報や売上などのデータ管理を効率的に行えるといったメリットがあります。

データベース導入の課題

TechTargetジャパンが2016年に行った「データベースに関するアンケート調査」によると、「データベースの選定時に注意するポイント」の項目では、「運用管理のしやすさ」（57.4％）、「導入・保守コスト」（55.5％）といったポイントへの比重が圧倒的に高く、続いて「データの処理性能」「可用性・安全性」「セキュリティ対策」と続いています。

データベースの選定時に注意するポイント

引用：https://members.techtarget.itmedia.co.jp/tt/members/deu/develop/dbs2016/index.html

既にデータベースを導入している企業へのアンケート結果をみてみると、「導入・保守コストが高い」(33.0%)、「社内担当者のスキルが足りていない」(30.1%)、「運用管理に手間がかかる」(28.7%)といった課題が上位にあげられています。データベースの導入にはコスト面と運用管理における課題が大きくしめているのが分かります。

データベースを運用する上での課題

コスト面で考えればオープンソースの「MySQL」「PostgreSQL」「MariaDB」「MongoDB」といったデータベースシステムは魅力的です。これらのオープンソースを使いこなせば、初期費用やライセンスフィーといった更新費用を抑え手軽に社内にデータベースシステムを構築できるメリットがあります。機能面でもこれらオープンソースのデータベースがどんどん進化し、基本機能や性能などが商用データベースと遜色なくなってきています。一方で、有償製品と比較すると、自社でシステム開発しなければいけなかったり、管理ツールやバックアップにおいて自ら適切なツールを選択し動作確認をしなければならなかったりといったサポート面での課題もあると言われています。

仮に「Oracle」やマイクロソフトの「SQL Server」といった商用データベースであっても、運用に際しては製品をそのまま使うだけでセキュリティが保たれるわけではありません。機密データの保護には、適切なアクセス権の設定や、ファイアウォールなどによる外部からの攻撃の遮断、また万一データが搾取されてしまった場合に備えてデータの暗号化といった綿密なセキュリティ対策を講じる必要性があります。結局どちらを選ぼうと運用面での課題は残ります。

いずれにしても従来はデータベースシステムに関して、実績を重視し商用製品を使い続けてきた企業等もここ最近になり、PostgreSQLやMySQLなどオープンソースのデータベースへの関心が一気に高まっています。やはりデータベースの導入に際してネックになるコストがセーブできるのが大きいのに加え、最近ではビッグデータ活用が話題となり、注目を集めたNoSQLのデータベースのほとんどがオープンソースのソフトウェアであることも敷居をさげていると言われています。

データベース「セキュリティ対策」の低さ

前項ではコスト面に加えて、運用管理への課題があげられていました。これらの運用と管理で一番重要となるのは「セキュリティ対策」です。基本的に次のようなセキュリティポイントをきちんと押さえておく必要があります。

・機密情報の特定

・アクセス制御

・情報の暗号化

データベースに格納しさえすれば安全と考えてしまうのはナンセンスで、残念ながらデータベースにデータを入れるだけでは十分に安全とはいえません。最低でもデータベースの運用においてはこうしたポイントを押さえて管理していく必要があります。

まずは機密情報の特定によって、保護されねばならない重要な情報は何なのかを分析し、特定する必要があります。重要データについては、バックアップはもちろん、適切なアクセス制御をしいてむやみに誰でもアクセスできないようにする必要があります。承認された特定のユーザーと管理者だけが個人情報などへアクセスでき、権限をもった特定のユーザーだけがそれらのデータへの操作が行えるようにする必要があります。そしてそれらの秘匿情報や機密情報は堅牢なアルゴリズムを使用して、そのデータを暗号化しておくべきです。

しかし以前クラウドのセキュリティリスクレポートでもお届けしましたが、日本国内の企業におけるデータの暗号化対策は非常に低い結果となっていて、そうした「セキュリティ意識の低さ」はデータベースにおいても同様の結果となっています。「データベースセキュリティ」対策率は「まだ20％」といった数字を日本oracleも2017年時点で発表しています。機密的なデータを格納している以上、データとは企業の財産であり、また顧客の個人情報といったプライバシーを守らなければいけない重要なデータとなります。特に個人情報は流出すると、社会問題や信用問題に発展し、また金銭的に損害の発生してしまう事態に陥っていまします。