現在位置: ホーム / OSSブログ / EDB Summit 2016 「2016-2020年を見据えたセキュリティ」サマリ

EDB Summit 2016 「2016-2020年を見据えたセキュリティ」サマリ

EDB Summit 2016でSIOSの面が公演しました、「2016-2020年を見据えたセキュリティ」の サマリを紹介します。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

今回はEDB Summit 2016で講演した内容のサマリを解説します。


EDB Summit 2016のサマリ

EDB Summit 2016で、「2016-2020年を見据えたセキュリティ」というタイトルで講演をさせていただきました。

この講演の資料は、こちらにアップロードしています。ここでは、簡単なまとめを紹介させて頂きます。

この講演では、各社から出ている資料を参照させていただきながら、『今後のITインフラはどうなっていくのか』『そうなった時にセキュリティを(DBカットで)どのように考えていけば良いのか』を紹介させていただきました。

大まかにまとめて

  1. 今後企業のインフラは、既存環境+クラウドの『ハイブリッドクラウド』が増えてくる。
  2. 悪意のあるユーザ・攻撃者にとっては、実はクラウド化は『美味しい』。
  3. クラウドのタイプに合わせて対策を考える必要がある。
  4. DBのセキュリティの鍵になるのは『暗号化』と『モニタリング』。

といったトピックで話を行いました。この中から、いくつか取り上げてみます。


クラウドのタイプと対処方法について(SaaSの場合)

クラウドのタイプは一般的に

  • SaaS
  • PaaS
  • IaaS

にわけられます。

ところで、こういったクラウドを利用する際にも、システムのセキュリティと責任範囲というものを考える必要があります。しかし上記の中でSaaSに関しては、クラウドプロバイダが前提としてアプリケーションからファシリティまでを担当し、ユーザ側はデータの保護・管理(接続の際の安全確保や、もしもの時のためのバックアップなど)が利用者の責任範囲となります。

そのため、ユーザ側にとっては「いかに信頼できるクラウドプロバイダを選定するか」という方法が重要になって来ます。

このような「クラウドプロバイダの選定指標」という所で利用できるものとして、JASA クラウドセキュリティ推進協議会の『クラウド情報セキュリティ監査制度』というものがあります。

これは『事業者が基本的な要件を満たす情報セキュリティ対策を実施し、事業者がそのとおりに実施しているかを標準的な基準に基づきあらかじめ定められた要件を満たす監査で評価し、安全性が確保されていることを顧客に公開する。』という、透明性を高めた内部監査による評価になります。

この『クラウド情報セキュリティ監査制度』にはシルバーマークとゴールドマークの二種類があります。

2016年2月10日に、マイクロソフトがAzure/Office 365で日本初のゴールドマークを取得しています。

このようなものを指標としてクラウドプロバイダの選定を行うことで、SaaSのセキュリティをある程度確保することが出来ます。

 

暗号化とTDE(Transparent Data Encryption)

DBにとって、これから大事になってくるパートとして欠かせないものが「暗号化」になります。特に、他の悪意のあるユーザからデータを覗き見られたり、流出させられたりするのを防止するために利用することが出来ます。

このDBの暗号化に関しては、従来は

  • Oracle: DBMS_CRYPTO
  • PostgreSQL: pgcrypto

のように、DB内への入出力時に全て暗号化・復号化していました。

しかし、この場合には、暗号化を実装する際にアプリケーションに改修が必要になってしまい、なかなか導入がしづらいものでした。また、暗号化・復号化の際のオーバーヘッドも懸念点となっていました。

これに対し、最近では「Transparent Data Encryption(TDE)」という技術が導入されています。これは暗号化をDB側の機能として行ってもらうことでアプリケーションの改修が必要ないものとし、更にファイルとして実際に書き込まれる際に暗号化・復号化を行うことで、オーバーヘッドを極力抑えるものになります。当然、メモリ内に展開されている状態では復号化されているため、悪意のあるユーザから覗き見されてしまう可能性は出てきますが、そちらのリスクはDB-Firewallやアクセス権限などを用いてヘッジすることになります。

TDE


まとめ

ここでは抜粋して簡単に説明を行いましたが、実際のセッションではその他にも色々な情報をお伝えしました。

ご興味があった場合には、資料をアップロードしていますので、こちらをダウンロードして参照してください。

サイオスOSSよろず相談室

サイオスOSSよろず相談室(1)

問い合わせボタン