セキュリティレベルを維持することがポイント
ここまで
たとえばDB管理者が、
作業を依頼された人物がもし悪意を持ってしまったら、
データベースをセキュアに運用していく上では、
- 適切な運用を継続し、
セキュアなデータベース環境を保つ - 適宜セキュリティ状態をチェックし、
必要に応じて対策を見直す - 脆弱性が見つかった場合は、
可及的速やかに対処する - システム
(データベース) の利用者は適切な注意を払って、 システムを利用する
このように、
セキュリティレベルの維持に不可欠な「人・運用」
データベースセキュリティに限ったことではありませんが、
そこで、
運用で行うセキュリティ対策例
以下に、
- ・
パスワードの適切な取り扱い - パスワードを他人に教えたり、
パスワードをメモした付箋紙をモニタに貼ったりするなどせず、 他人に知られないようにすることで、 アカウントを不正利用されることを防ぎます。 - ・
定期的なパスワード監査 - ポリシーに従った十分な強度を持ったパスワードが使用されているか監査することで、
パスワードクラックされてアカウントを不正利用される可能性を軽減します。 - ・
アカウントの適宜更新と定期的な見直し - 退職や部署異動などに伴うアカウントの削除は迅速に行い、
さらに定期的にアカウントを見直すことで、 不要なアカウントを不正利用されることを防ぎます。 - ・
権限の適宜更新と定期的な見直し - 部署異動や担当業務の変更などに伴う権限の変更は迅速に行い、
さらに定期的に権限を見直すことで、 不要な権限を利用して不正アクセスされることを防ぎます。 - ・
定期的な脆弱性検査 - 仮に運用開始時には脆弱性がなくても、
月日の経過とともに新たな脆弱性が発見されたり、 システムに変更 (修正) を加えていくことで脆弱性が生み出されたりするため、 定期的に脆弱性検査を実施して弱点 (脆弱性) を把握し、 対策を検討・ 実施します。 - ・
脆弱性への対応 - DBMS製品ベンダからセキュリティパッチがリリースされたり、
その他アプリケーションを含めてシステムに脆弱性が見つかったりした場合、 可及的速やかに対応することで、 その脆弱性を利用した攻撃を防ぎます。但し、 パッチを適用した場合のシステムへの影響度は事前に確認した上で、 ポリシーに準拠して実施します。 - ・
インスタンス管理用アカウントのパスワードを分割保持 - DB管理者が一人で自由にインスタンス管理用アカウントを用いてデータベースにアクセスできないようにするため、
インスタンス管理用アカウントのパスワードを複数の管理者間で分割して保持することで、 作業者以外の管理者も管理者権限を用いた作業が行われることを認知することができ、 内部牽制が働くようになります。 - ・
セキュリティ教育・ 再教育 - すべての関係者に対して定期的にセキュリティ教育
(再教育) を実施し、 セキュリティ意識を高めることで、 セキュアな運用を可能にします。 - ・
DB監査ログの監視 - DB監査ログを監視することで、
不正アクセスや規定・ 運用ルールに違反する操作などをいち早く検知します。
なお、
1回目から今回の3回目までの間で、
また、
次回以降は、
なお、