OSS DBにおけるデータ本位なセキュリティ・ソリューションの必要性

OSS-DB セキュリティソリューション

 

コストの削減が必要であるとして強く願い求められていることや、デジタルトランスフォーメーション(DX:Digital transformation)を背景として、オープンソースソフトウェア(OSSOpen Source Software)を効果的に利用する範囲が大きく広がっています。コストを削減するのと同時に欠かせないソフトウェアを制限されずに利用したり、組み合わせられることはOSSを評価できる大きなポイントとなりますが、セキュリティリスクにも対応しなければ計り知れないダメージを受けるリスクが隠れています。

 

日本におけるオープンソースデータベースの現状

データベースシステムについては、実際に成し遂げてきた功績を重視して、商用製品を使い続けてきた長い歴史がありますが、ここ最近になってから、PostgreSQLMySQLなどオープンソースのデータベースへの関心が一気に高まっています。これは商用データベースの高いコストに満足できないことなどが原因や動機となったとともに、これらオープンソースのデータベースが着々と進歩してよりすぐれたものになり、基本性能などが商用データベースと比べても見劣らなくなってきたからです。

 

またビッグデータを効果的に利用することが話題となり、関心を向けられたNoSQLのデータベースのほとんどがオープンソースのソフトウェアであることからも、データを蓄積して効果的に利用する領域において、オープンソースのソフトウェアを使用する取り組みが難しくなっているのかもしれません。かなり高度な可用性を要求しなければ、新規に組み立てて築くシステムのデータベースにオープンソース・ソフトウェアを選択しても、特にそのことが問題になるほど苦労することはないからです。

 

その一方で利用されている実績が増加しているとは言うものの、以前から存在する商用データベースをオープンソースに置き換えることを容易にすぐできる訳ではありません。多くの場合、データベースが変わることによって、その上で動作するアプリケーションも変更することになるからです。どれほどコンパチビリティが高いデータベースを選択したとしても、以前から存在する商用データベースとすべてが同一であるという訳にはいきません。その時々の状況に応じてふさわしいSQLに書き換えたり、ひょっとするとデータベースロックの動作が異なることからプログラムロジックを変更しなければならない状況も発生するからです。

 

もう一つ注意すべきことは移行後に正常な稼働を維持するために行われる管理作業を実施する体制です。オープンソースのデータベースを選んだ場合、ライセンスやサポートなどに必要な費用を軽減できますが、問題が発生した場合には自社内において、ある程度のことを解決できなければなりません。バグやパッチなどの情報も自分で収集しなければならず、いつ頃にパッチを適用すべきかも自ら判断する必要があります。選択したオープンソースのデータベースが将来的にどのように進化していくかを認識するために、自ら進んで開発コミュニティに一員として加わって行動をともにする必要があります。

 

商用からオープンソースへの移行について、少しネガティブに指摘してしまいましたが、移行をやめるべきだと言うつもりは毛頭ありません。商用製品と比較するとライセンスコストはあきらかに安くなることによって、その恩恵にあずかることは情報システム部門にとってはこの上なく大きなメリットとなります。

 

オープンソースのソフトウェアを選択した場合、程度の差はあってもITシステムの外部委託をやめる事前の心づもりをしておく必要があります。そのために選んだソフトウェアの知識やスキルを持つエンジニアを社内に確保したうえで、選択するオープンソース・ソフトウェアに対してレベルの高い技術力を持っているパートナー企業を見いだすことが大切です。すべてを自分たちでやろうとすれば、選んだ方法が正しいかどうかを判断するのも自分たちだけになってしまいます。適宜外部の目で評価してもらい、適切なアドバイスをもらえる存在を見つけておけば、新たなチャレンジでも安心感は大きくなります。

 

パートナーとしては、オープンソースのデータベースを効果的に利用しているコンサルティングサービスや、企業としても積極的にオープンソース・コミュニティに参加しているような企業が最適です。さらに対象となるオープンソース・ソフトウェアについて、その企業が積極的に情報発信しているかどうかもチェックポイントとなります。オープンソース・ソフトウェアのような領域においては、情報を発信している組織に対して最新の情報が集まってくる傾向にあるからです。

 

そして最後にひとつだけ付け加えたいのは、データベースの移行のきっかけがライセンスコストの削減という少し後ろ向きな理由だったとしても、できれば選ぶソフトウェアを利用したくなる積極的な理由が欲しいところです。わざわざ選んだソフトウェアですので、安いから仕方がなく使うのではなく特徴や良さを最大限に引き出し大いに活用するすることが、結果的にオープンソースのデータベースを安定し高い信頼性のもとに運用することにつながるからです。

 

OSS DBの種類と比較

ここからは無料で使えるOSS DBの製品を紹介します。

 

MySQL

MySQLOracle社が提供する世界で最もシェアされているOSS DBです。GoogleやYahooといったWeb上で公開されている情報を収集し、検索機能として提供するシステムでも使用されています。

 

PostgreSQL

PostgreSQLはカリフォルニア大学バークレー校で新しく実用化されたデータベースをベースとしており、全世界のプログラマによって発展しているOSS DBです。商用製品と比べてみて能力が同程度の性能と信頼性を有しているために人気を集めています。とりわけ日本国内における市場占有率は高く、業務用システムとして導入されています。

 

MariaDB

MariaDBMySQLから分かれてMariaDB Foundation が中心になって開発しているOSS DBです。MySQLとのコンパチビリティをそのまま保ちつづけながら、機能を向上させるために特有な機能が追加されています。

 

MongoDB

MongoDBはServer Side Public License (SSPL)で提供されている、ドキュメント指向型のOSS DBで、MongoDB Inc.が開発とサポートしています。世界各国で数多くの企業へ導入されており、日本国内でもNoSQL(SQL以外のデータベース)の市場占有率はトップの割合となっています。

 

無料で使用できるOSS DBは、導入するための必要な費用を大幅に削減できますが、自社において対応できる能力を求められる側面もありますので、導入する前に製品の特徴をしっかり把握することによって最適なOSS DBを選びましょう。

 

OSS DBに必須とされるデータ本位なセキュリティ対策

ネットワークを対象としたセキュリティ対策に加えて、昨今ではデータ本位の保護、つまり暗号化への注目が高まっており、ドライブ全体からファイル単位へと進化を遂げてきています。小さな範囲で暗号化することによって、データの取扱いが容易となるために復号して活用する際にも小回りが利きますので、ファイル単位の次に注目を集めているのがデータ単位よりも小さな範囲での暗号化ソリューションです。

 

これまでの日本企業においては「ドライブ全体を暗号化することが安全」という意識が強く、最近ではファイル単位の暗号化が主流になっており、導入企業が増えてきていますが、『ファイル全体を暗号化するから簡単』という理由で採用しているケースも多くなっています。『簡単』ということは大きなメリットですが、そのことがファイル暗号化を選んだ唯一の理由であるとしたら、セキュリティという目的からかけ離れてしまいます。

 

ファイル単位での暗号化は利用する方法によっては大きなリスクを発生してしまうこともあります。例えば、まとめて複数のファイルを暗号化する場合、機密性が低いファイルを復号するためには、機密性が高いファイルも複数のファイルに含まれていた場合は、同時に復号することになるため、必要な度を超えて無駄なリスクが発生することになってしまいます。

 

また復号したデータを利用した後は時間をおかず速やかに再暗号化すべきですが、ルーティンワークにおいては『また使うから』と、そのまま放置してしまう傾向になってしまいがちです。長時間、復号されたデータを後始末せずに置くということだけで漏洩のリスクは高まることになり、未解放のメモリに平文状態の機密情報が残ってしまうケースも考えられます。

 

「データおよび鍵の暗号化」「それらへのアクセス制御」「アクセスログの監査」の機能がすべて揃うことによって、はじめてセキュアな暗号化といえるのです。アクセスを制御することから監督して検査することまでをきめ細かな運用が可能となるため、何のデータに誰がアクセスしたかをはっきりと特定して、不正行為を抑止することで暗号化に必要なパワーを必要最低限まで抑えられるため、システム全体のパフォーマンス劣化も防げます。また機密性を「何のカラム」に対して高めるべきなのかを、いろいろの要素を含めて情報管理者がよく考えたうえで、手順どおりに暗号化を進めるためにセキュリティ意識を高める効果もあります。

 

MyDiamoの紹介

OSS DBを専門にして開発された暗号化プラットフォームである「MyDiamo」は、価格が安く手に入れやすいことに加えて多様性に満ちた特長を具備しています。DBの選択したカラム単位で暗号化できることによって、暗号化する対象を明瞭にできるため、DB全体やデータファイルを無条件に暗号化することと比較して、パフォーマンスへの影響が少ないという効果も得られます。

 

また、DBのユーザに対して与えられる作業権限の分離を実現できるため、社員の個人データなどといった情報を人目に触れるようにしてしまうこともありません。暗号化に留まらず、アカウント毎のアクセス制御機能、ログの偽造防止機能、監査機能といったセキュリティ対策に欠かせないファンクションが「MyDiamo」には暗号化機能を基盤として組み込まれています。

 

数少ないOSS DBのセキュリティ・ソリューションの中でも、既に多くの実績を築いている「MyDiamo」は日本国内における採用も着実に伸びています。インターネットを経由してデータベースやサーバなどの各種リソースを利用するサービスが拡大することによって、仮想環境をひとまとめにして提供するサービスも増加しているため、DBのセキュリティ対策として低コストで機能が優れている「MyDiamo」を付加価値として組み込むことは競争優位性の向上につながるのではないかと考えています。

 

OSS DB向けの透過型暗号化ソリューション、MyDiamoの詳細はこちら