日本オラクル（新宅正明社長）は、企業内の情報システム部門やアウトソーシング先のSIerなどに属するデータベース（DB）管理者の権限をコントロールする世界唯一のセキュリティ製品を10月17日に日本市場へ投入する。DB監視ツールなどで“出口”を止める製品はこれまでにもあった。しかし、DB管理者に悪意があれば、人事情報や公表前の財務諸表などを持ち出すことができる。同製品は、一極集中するDB管理者の権限を2人以上で担当するなど、相互監視ができる「IT統制」強化に必要不可欠な製品という。ただ、マイクロソフトなどの他社DBでは適用できず、「これを機に、当社DBに乗り換えてほしい」（三澤智光・常務執行役員）と、他社DBからのリプレース需要にも期待する。（谷畑良胤●取材／文）

世界唯一のセキュリティ製品投入へ

■DB管理者への権限集中が、リスクを招くことを実感

　企業内やアウトソーシング先のDB管理者は、どのシステムにもアクセス可能な「スーパーユーザー権限」をもつ。日本オラクルは、製品発表を前にして、国内企業35社とともに米国企業を訪問した。「DB管理者は、過剰な権限があるがゆえに多くのリスクが存在する」（三澤常務）ことを痛感し、同行企業とともに同製品の利用価値を再認識した。内部統制の「IT統制」強化では、社員などに正しい職務上の権限を付与する「職務分掌（Segregation of Duties＝SoD）」が重要になっている。「これを実現する世界唯一のセキュリティ製品」が、今回発表した「Oracle Database Vault」であるという。

　同製品は、過剰なアクセス権限をもつDB管理者に職務分掌を適用し、他のユーザーと相互監視する仕組みで不正を未然に防ぐセキュリティ製品だ。「Oracle Database 10g」に組み込み利用できる。

　例えば、DB管理者には、管理業務だけの権限を付与し、人事、財務情報などの領域を閲覧できないようにする。また、DB管理者やアクセスする時間、場所（IPアドレス）により利用できるコマンドを制限できる。DB管理者などが人事、財務情報を閲覧しようとすると、管理者の上司に電子メールが通知され、管理者の素行を監視・ログ管理ができる。

　従来は、企業内の情報システム担当者や常駐する外部の派遣社員、SIer社員が社内データをいつでも閲覧できた。「上場企業の四半期決算発表前に財務情報を入手することもできた」ため、インサイダー取引などを防ぐ方法がなかったという。今年5月に、KDDIのインターネット接続サービス「DION」の顧客情報400万件が漏えいした事件では、同社の出入りベンダーがDBにアクセスし、持ち出された可能性がある。

■デュアルロックの仕組みを実現できるシステム

　情報漏えい事件の約8割は、アクセス権限をもつ情報システム担当者や外部のシステム担当者による不正や不注意にあるとされる。これまでも、DBの利用ログを監視するツールは存在した。だが、「出口を監視すれば、データを抜き出さない」という「性善説」に立っている。これに対して同製品は、DB自体に手を加え、アクセス権限をコントロールし、不正・不注意の行為を未然防止できるという優位性がある。

　政府は昨年12月、「政府機関の情報セキュリティ対策のための統一基準」で、複数でDBを管理できる「デュアルロック」の仕組みを「権限管理機能」の強化遵守項目にあげている。また、米コンサルティング会社、KPMGは、システム監査で「米国では、適切な職務分掌（SoD）に関して指摘することが多くなった」と強調。現段階では、政府機関や米国企業での現象だが、上記の情報漏えい事件などが頻発しているため、民間レベルでも問題視され始めている。それだけに、同製品の利用は拡大しそうだ。

　日本オラクルは、同製品の販売目標を今年度（2007年6月期）に30件、来年度は200件としている。今年度は、大手企業へ導入し、事例を公開するなどして認知度を高めていく。すでに、アシストや伊藤忠テクノサイエンスなどのSIer、アクセンチュアや野村総合研究所などコンサルティング会社を含め10社が販売を手がけることを表明している。

　同製品は、オラクルDBだけにしか組み込めず、マイクロソフトの「SQLサーバー」やIBMの「DB2」には適用できない。三澤常務は「DB管理者とDB利用者の職務分掌をDB側で明確化できる唯一の製品。これを機に、他社DBを乗り換え、当社DBにしてリスクを回避する体制を敷いてみてはどうだろうか」と提案する。

　公表した販売目標に対し、胸の内ではさらに大きな数字が見えているようだ。