こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
これまで、社内に専用サーバーを構築して運用を行うオンプレミス型が一般的でしたが、サーバーのクラウド化が進む中で、データベースのクラウド化も加速の一途を辿っています。以前のように、データベースは「ファイアウォールの内側にあるから安全」ではなく、「侵入、攻撃をうけている」という前提で警戒が必要になります。この記事では、クラウド前提でのデータベースのセキュリティレベルのポイントを紹介します。
そもそもデータベースのセキュリティは何を意識するか
何を、どこまでやるかの指標が存在しない
現在、ITシステムが考慮すべき法律や規則は、様々存在します。例えば、クレジットシステム開発では常に話題となりPCI DSSでは「重要なサーバー(DB含)の日次ログレビュー」と定義され、JSOXでもログについての定めがあることや、ログだけでなくアクセスコントロールなどセキュリティについての要求もあります。ただし、これらはあくまで対象を提言しているもので程度の是非は具体的には定められていません。実際のところ、クレジットシステム開発では、QSA(Qualified Security Assessors:認定審査機関)の経験があるコンサルの方と相談しながら決めていくことも多くあります。結果的にセキュリティの知識が身につくのは関わった方など限られることがほとんどです。その上で、何らかしらのツールを用いてデータベースを監視していくとなると、データベースへのログイン成否、セッション、特定クエリなどはセキュリティ対象から外せません。※ここでいう特定クエリとはDML(Select、Insertなど)や、DDL(Create/Drop tableなど)、DCL(Grant access、Revokeなど)を指します。
データやテーブルの操作に加えて、権限を昇格させていないか、同じユーザーが別の場所からログインしていないかなど、攻撃や不正の兆候として注意すべきものになります。セキュリティの観点では、データベースサーバーはWebサーバーと異なり、ファイアウォールの内側にあるので、安心と考えられていましたが、アタックサーフェス(攻撃対象となる場所)が拡大しているため、侵害や侵入されていることを前提に警戒する必要があります。昨今は、DXやクラウド利用で「データ活用の高まり」いわゆる場所の共同利用が増えてきているため、防御の見直しが必要となります。
データベースセキュリティ導入前の疑問と導入後の課題が存在
データベースセキュリティに着手しようにも、対象となるアプリケーションやデータベース構造が把握できず実務ですべきことが不明、オペレーション監視とセキュリティ監査の混同、スコープが定まらないなど、未知ゆえの戸惑いが多く見られることがあります。これは、先に述べた何をどこまでという指針が具体的に指示されているものが少ないことが要因と言えます。また、セキュリティについては常時監視と定期的レビュー体制をいかにつくるかも課題となります。とはいえ、現実は人員やコストで制限がありギャップが生じているところも少なくありません。セキュリティ知見のレベルがあがり、技術者が常に意識するデファクトスタンダードに到達するには、まだ先だとも思えるところです。
一方で、上記の導入前をクリアし実際に使い始めると、今度は現実的な課題が降りかかります。クラウド移行が進むなか、クラウドサービスで必要な機能が未対応であることや、肥大化するログの保持が課題になります。データが増えれば性能を保つこと、あるいは実務に支障がないようにデータを圧縮または削減することも課題です。
NIST サイバーセキュリティフレームワーク(CSF)の適用
これまでの内容を踏まえると、ツール導入でセキュリティの堅牢化を目指すことも1つの手段であるが、やはり先人が確立したものに乗っかることも大事なことと言えます。ここでは、グローバルスタンダードになりつつある、サイバーセキュリティのフレームワークであるNIST CSFの適用について触れたいと思います。
NIST CSFのConformance Packsと呼ばれるものを利用し、幅広いAWS上のセキュリティについてチェックすることができ、且つチェック項目を調べながら進めることで、セキュリティの知見が深まることも期待できます。PCI DSSは、クレジットカード情報および取り引き情報の保護を目的にしたシステムや内部不正対策に対してのフレームワークですが、NIST CSFは、より人、組織、サーバ攻撃対策に対するフレームワークになります。項目は、デフォルトテンプレートで45個あり、これら全てをチェックし、準拠することで相応のセキュリティは網羅的に担保できる考え方です。
クラウド型データベースのメリット
クラウド型のメリットデメリット
コンピュータ全体が広くクラウドへシフトする中、当然のようにデータベース管理もクラウドへと移行しつつあります。従来は、データベース管理といえば、社内に専用サーバーを構築して運用するオンプレミス型が一般的でした。これは、専用サーバーにデータベースをインストール、社内LANを経由してアクセスし利用する方法です。ただし、構築と運用には専門的なノウハウが必要で、維持や管理のためのコストも多額となり、災害などに備えてバックアップなどの準備も必須です。
しかし、クラウド型データベースであれば、あらかじめ準備されていることが多く、特にデータベース専門技術者でない限り、オンプレを選択することはほぼないと思われますが、どんな時にクラウド型を選択するかを、簡単に特徴を記載していきます。
初期コストの抑制、手軽に始めたい
ソフトウェアやサーバー等の初期投資以外に、管理人件費、サポートコスト、電気代、減価償却費などのランニングコストが必要となり、社内ネットワークの規模が大きい場合、これらコストは相当な金額です。一方、クラウド型データベースであれば、初期コストを抑えることができます。
導入が簡単
オンプレ型データベースのように、ソフトウェアをインストールしたり、インターフェースを構築したりする必要もない。思い立ったらすぐに導入できる。
メンテナンスの手間がかからない
バックアップの取得、サーバーのメンテナンス、物理的クラッシュもない。
サービスのエンハンスが常に行われる
自分たちで最新版をアップデートする必要はない。
さいごに
今回は、セキュリティ、特にデータベースに関わるところ、クラウドのセキュリティの考え方について紹介しました。セキュリティについて調査、着手していくと内容は複雑で中々ハードルが高いと感じる方もいると思います。しかし、データの共同利用を考えるうえで、資産は自らのセキュリティレベルで守ることは、切り離せない考えであり、何か事故が起きた際でも対応を素早く行うことで、拡がりを最小限に抑えることにも繋がります。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
