データベースセキュリティソリューション
お客様のデータベースに対して、幅広いセキュリティソリューションをご提供します。
このような課題を解決できます
- 課題
- 解決
-
現状のデータベースのセキュリティレベルが把握できていない。
データベースのセキュリティ診断を行い、データベースへの脅威・脆弱性を可視化します。
-
データベースにどんなセキュリティ対策を行えばいいかわからない。
データ暗号化、アクセスログ監視、アクセス制限など、お客様の業務・システムに応じたセキュリティ対策をご提供します。
-
PCI DSSやIT全般統制にデータベースとしてどのように対応してよいかわからない。
多数のお客様への導入経験をもとに、各種フレームワークに対応していくための業務プロセスの確立をご支援します。
データベースセキュリティソリューション概要
個人情報の保護や会社法への対応を通し、「情報」に対するセキュリティが重視されています。
PCI DSSやIT全般統制への対応、ISO27001/ISO20000の認証取得コンサルティング、情報セキュリティ監査をご提供する日立ソリューションズが、「情報の格納庫」と言うべきデータベースの保護をお手伝いします。
データベースを守るために何をすべきか?
物理的対策
どれだけ技術が進歩しても、守りの基本は物理対策です。どれだけ堅牢なネットワークを構築しても、サーバーを直接操作できるのでは役に立ちません。
守るべきは稼働しているサーバーだけではありません。重要情報はサーバーだけでなく、バックアップ媒体にも含まれています。入力途中の書類や、印刷物が放置されてはいないでしょうか?情報の発生から消滅までを通して、アクセスを制限することが大切です。
日立ソリューションズは、これまでの認証コンサルティングの経験を生かし、見落としやすいポイントもカバーします。
ポイント
机上、プリンタに放置された書類にも注意が必要です。
バックアップ媒体にも注意が必要です。
技術的対策
定期的に実施しているデータベースのメンテナンス。
このメンテナンスを実施するデータベース管理者(DBA)には、すべてのデータにアクセスできる権限があります。 管理者の操作がすべて適正であると証明するためには、データベースへのアクセス内容を記録し、不正な操作が行われていないことが確認できる仕組みが必要です。
また、万が一への備えとして、DBMSの機能によるDBAの権限分離や、重要データの暗号化は有効でしょう。DBAに対するこれらの権限制限は、データベースメンテナンス時の不正に対するリスクを軽減します。
日立ソリューションズは、IPLocksやPISOと言った監査ログ収集ソフトを用いて、データベースへのアクセスを可視化するシステムをご提供します。
ポイント
データベース内に格納していても、重要情報には暗号化が必要です。
情報資産の重要度を評価し、適切なコストで対策することが必要です。
組織的対策
データベースへのアクセスが記録されていたとしても、その操作が許可されたものでなければなりません。誰が、誰に対して、いつ、どのような操作を許可したのか、を追跡できる仕掛けがなければ、データベースへのアクセスを記録していたとしても、そこから有効な情報を読み取ることは困難です。
日立ソリューションズは、これまで多数のお客様への導入経験をもとに、データベースへのアクセスを統制する業務プロセスをご提供します。
ポイント
作業内容に応じてリスクを見積もります。
リスクレベルに応じた承認者を設定することで、業務の妨げとなることを防ぎます。
人的対策
不正を働くのは「人」です。モラルを向上させ、不正を働く心を育てないことが、最終的にはもっとも効果の高い対策となります。
組織の情報セキュリティシステムの内容を全体に浸透させることで、扱う情報の重要性や万が一の事故・事件の影響を意識づけていきます。
日立ソリューションズは、コンサルティングならびに社内での適用経験を生かし、お客様の状況に応じた教育サービスでお応えします。
ポイント
着任時だけでなく、定期的に繰り返して実施します。
以上の対策は、一度だけでは終わりません。時間の経過とともに、状況の変化や新しい脅威が発生し、現状にそぐわなくなります。PDCAサイクルにより、見直しと継続的な改善が必要です。
関連・サービス
セキュリティ全般 | セキュリティコンサルティング |
---|---|
データベースの監査ログ取得 | PISO |
IPLocks |
関連キーワード
最終更新日:2011年1月31日