「誰が」「いつ」「どこで」「何をしたか」といった発見型のセキュリティ対策としてデータベース（DB）監査ツールが脚光を浴びている。OSS（オープンソースソフトウェア）のDBも登場するなど、DBが身近になるにつれ、顧客情報が外部に流出するといったリスクも増えている。「セキュリティ対策」として、また内部統制やPCIDSS（クレジットカード関連のセキュリティ標準）などの「法令・規制」に対処するために、DB監査ツールを導入する企業が増加する兆しがみえる。ベンダー各社にDB監査ツールの販売戦略を聞いた。

DB監査ツールは「発見型」対策
セキュリティ、法令などで需要あり

　「ひと昔前まで『データベース（DB）そのものがセキュア』という神話があった」と、DB監査ツール「PISO（ピソ）」を開発・販売するインサイトテクノロジーの下山勝義取締役事業企画本部長は話す。SQLなど専門のDB言語の知識が必要とされるため、精通した技術者でないといじることができない代物だったから、というのがその理由だ。

　ところが、近年はOSS（オープンソースソフトウェア）のDBも登場するなど、コモディティ化が進んでいる。それに伴い、DBからの情報漏えいリスクが増えているのだ。「FortiDB（フォーティDB）」を販売しているフォーティネットジャパンの菅原継顕シニアリージョナルマーケティングマネージャーは、「米国のCyber－Ask Softwareが報告した調査結果によると、調査対象のIT管理者のうち、88％が『明日、解雇を言い渡されたら、機密情報を持ち出す』と回答した」と、深刻な状況を説明する。

　情報漏えい経路は、ウェブアプリケーションサーバー経由など外部からの「技術的脅威」と、社員・協力会社などの内部関係者が絡んで情報流出する「人的脅威」の二つに大別できる。「情報漏えいの80％は内部に起因する人的脅威によるもので、こちらのほうが企業に与える損害が大きい」と菅原マネージャーは断定する。DBからの個人情報漏えいでは、三菱UFJ証券やアリコジャパンの事件が記憶に新しい。いったん漏えい事故・事件を起こせば、莫大なコストが企業にのしかかってくる。ちなみに、04年のヤフーBBの情報漏えいでは、賠償金として一人当たり500円の商品券が配布された。こうした直接的な費用だけでなく、イメージ回復キャンペーンのコストや、信用失墜による売り上げの低下は避けられない。

　セキュリティの観点からは、対策は「予防」と「発見」の二つに分けられる。

　「予防」については、顧客データベースにアクセスできる端末を限定する方法がある。端末を設置している部屋のドアには入・退室管理製品、室内には監視カメラを設置し、入・退室の際には事前申請を必須条件にするなどといった対策だ。「とはいっても、完璧な予防策はなく、盲点をついて犯罪が行われる可能性も否定できない。そこで、さらに『発見』の対策が必要となる」と、前出のインサイトテクノロジーの下山取締役は説明する。事後対策を打っておかなければ、誰が、いつ、どこで犯行に及んだのかが分からなくなってしまう。その穴を補完するために、DB監査ツールのような『発見』の対策が必要になってくるというわけだ。


　こうした「セキュリティ」の観点からの導入に加え、内部統制やカード業界のセキュリティ標準「PCIDSS」など「法令・規制」でDB監査の需要が高まっている。

　韓国のDB監査ツール「Chakra（チャクラ）」の総代理店であるニューシステムテクノロジー（野田信昭代表取締役）は、個人情報保護法関連のニーズのほか、ここ2～3年ではJ－SOX法での監査証跡を残すといった需要で売り上げを伸ばしているという。J－SOX法対象となる上場企業は4000社あるとされる。だが、DB監査ツールを導入している企業は、おそらくその4分の1ほどにすぎないだろうと指摘する。「監査法人にDBのアクセスログ記録の不備を指摘されたため、問い合わせてくる企業も多い」（同氏）そうだ。だが、必ずしもすべての監査法人が不備を指摘しているわけではなく、監査人個人の意思によるところが大きい面もあるのが実状のようだ。「『DBでログを取る』といったことが企業の間に浸透してくれば、ツール導入は無視できないものになるだろう」（野田代表取締役）と展望を語る。

　また、米国Guardium（ガーディアム）製「SQL Guard（SQLガード）」の販売を手がけるアイティフォー（東川清社長）は「上場企業ではほぼ必須のアイテム」（中田一二三・事業推進部ネットワークソリューション事業部担当課長）とみている。

　今後の商機としては、カード業界のセキュリティ標準「PCIDSS」の普及が注目される。その標準の要件項目にDBのアクセスログ監査が明記されているからだ。「PCIDSS」の盛り上がりはまだ水面下の状況だが、国内カード加盟店などで、準拠が徹底されるようになれば、DB監査ツールの導入が一気に進んでいく可能性がある。

[次のページ]