ニュース
2006年9月19日
日本オラクル株式会社は、高度なアクセス・コントロールにより機密性の高いデータやアプリケーションの保護を可能にする最先端のセキュリティ製品「Oracle Database Vault(オラクル・データベース・ヴォルト)」を発表した。
「Oracle Database Vault」は、SOX法対応に必要となる「職務分掌」や「相互監視」といった機能をアプリケーションの機能として実現した製品であり、「内部統制を実現できるデータベース」と言える。Oracle Database Enterprise Editionのオプションとして提供され、価格はプロセッサあたり262万5000円。出荷は10月17日から。
まず最初に登壇した日本オラクル株式会社常務執行役員システム製品統括本部長の三澤智光氏が、米国におけるSOX法実行後の展開に関して説明した。三澤氏によれば、SOX法対応を強化していく過程でさらなる「ITセキュリティ基盤の強化」や効率化、自動化、コスト削減が求められたという。なかでもIT関連のセキュリティは、監査法人が規定するSOX法対応のキー項目の中でも多くの部分を占めており、中でも最重要となるのが、IDの管理/アクセスコントロールであるという調査結果が示された。
 |
|---|
| 日本オラクル株式会社常務執行役員システム製品統括本部長 三澤智光氏 |
その上で企業の考える「セキュリティ」がアンチウィルスソフト、シンクライアントの導入、生態認証などクライアントサイド、すなわち出口を監視するものが中心であることに言及し、重要なデータが収められているサーバへのセキュリティ対策「サーバサイド・セキュリティ」を検討する必要があると訴えた。
 |
|---|
| クライアントサイドに加え、サーバサイドセキュリティも重要 |
オラクルの考えるサーバサイド・セキュリティとは(1)アプリケーション・アクセス・コントロール、(2)データ・アクセス・コントロール、(3)データ暗号化、(4)監査ログの取得と分析、(5)ITセキュリティの可視化の各層からなり、同社はその全層にソリューションを提供している。本日発表されたDatabase Vaultは、データ・アクセス・コントロールへのソリューションに相当するものだ。
現在のデータベースシステムは、管理者(DBA)が全システムにアクセスすることができるスーパーユーザー権限を持っており、職務分掌の観点から監査上非常に懸念される状態と言える。これは企業にとってのリスクというだけではなく、過剰なアクセス権限を持つためにあらぬ疑いをかけられるおそれがあるDBA自身にとってもリスクとなる。内部統制上は、DB利用者とDBAは明確に区分される必要がある。Database VaultはDBAの権限を制御し、セキュリティ管理者と分離することが可能である。
続いて日本オラクル株式会社システム製品統括本部担当ディレクターの北野晴人氏が登壇し、Database Vaultのデモンストレーションが行なわれた。北野氏はデモに先駆けて、「情報漏えいが起きたら、高い権限を持つ自分たちが最初に疑われる。どうしたら無実を証明できるのか」という顧客のDBAからの質問を紹介し、大きすぎる権限によってDBAがリスクにさらされているという実体を裏付けた。
 |
|---|
| 日本オラクル株式会社システム製品統括本部担当ディレクター 北野晴人氏 |
Database Vaultのデータ保護は、(1)保護する領域(レルム)を作成し名前を付ける、(2)保護する領域に含めるテーブルを決める、(3)保護する領域の管理者を設定する、という手順で行なう。
デモンストレーションは、企業の給与データを保護する領域に割り当て、その領域の管理者を人事部の給与担当者に設定するという例に基づいて行なわれた。このように設定した後はDBAであっても、給与データを参照することができないことが示された。
 |
|---|
| Database Vaultにより、職務分掌、相互監視が実現する |
さらにこの状態で、CIOに相当するユーザーが人事部担当者の権限を削除すると、人事部長に通知が行なわれ、「相互監視」も行なわれていることが示された。
Oracle Database Vaultは実際の職務分掌を反映したアクセスコントロールが設定可能で、内部統制の確実な遂行に寄与できる製品と言える。
■最新ニュース
 |  |
|---|
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】
