本セキュアDBマトリクスは、データベース内の重要な情報資産を守るための必要な対策について、データベースだけに限らずシステム全体を対象とし、対策の重要度や対象別に整理したものです。
※クライアントサーバシステムおよびwebシステムで用いられるデータベースを対象とし、専用端末や機器などに導入されるデータベース（組み込み系）については対象外としています。また、記載されている対策は、人間、あるいはウイルス／ワーム等のプログラムが「悪意を持って」攻撃することによる脅威を対象としており、アプリケーションの誤操作やプログラムの欠陥、天災や不可抗力による事故等は対象から外しておりますので、あらかじめご了承願います。

セキュアDBマトリクスは、企業担当者がセキュリティ対策を検討する際や、リスク分析の際の セルフチェック（自己点検）時に利用されることを想定して、以下の3つの特長をもっています。

重要度、各対策実施対象となる箇所および対策の種類についての説明は、以下のとおりです。

 

 

縦軸の説明
DB	開発者定義オブジェクト	開発者が必要に応じて作成したDBオブジェクト（DBアカウント、テーブル、ストアドプログラム等）
	DBMS内部オブジェクト	DBMSによって作成されたオブジェクト（DBアカウント、テーブル、ストアドプログラム等）
DBインスタンス		データベースとしての機能を提供するために、DBサーバ上で起動しているサービス
DBサーバ	DBMS製品	DBMS製品、パッチ適用、導入オプション、設定等
	OS	DBサーバを動かすOSの設定、OSアカウント、ファイルとして存在するログ、DBMS構成ファイル等
DBサーバへのアクセス経路	ネットワーク	DBサーバにアクセスするネットワーク
	DBサーバ設置環境	DBサーバの設置場所や環境等
外部記憶媒体・バックアップ媒体・暗号化／復号鍵		DBファイルやデータを保存する外部記憶媒体やバックアップ媒体、暗号鍵等
DB管理端末		データベースを管理、運用するために接続する専用端末
アプリケーション関連		Webサーバ、アプリケーションサーバ、クライアントサーバシステム等のアプリケーション
データベース管理・運用体制		セキュアな運用を行うための、ポリシや人的体制、規定等
横軸の説明
構成、配置、設定		データベースをセキュアな状態とするための、導入や設定時の対策、各対策実施箇所における対象のオブジェクトの配置に関する対策。 DBMSやサービスのインストールや設定、アカウントを含むオブジェクトの作成、DBサーバの設置等を適切に行い、データベースが情報を取られにくい構成にする。
アカウント認証・認可、アクセスコントロール		各対策実施箇所におけるアカウントの分離、最適権限の付与、認証・認可、保護資産に対するアクセスコントロール等に関する対策。 オブジェクトへのアクセス権限付与やDBサーバへのアクセスコントロール、パスワードの複雑化等により、正規の利用者に正しくデータアクセスさせるようにし且つ不正利用やなりすましが行われにくくする。
監査、ログ関連		各対策実施箇所におけるアクセスログの収集、監視、分析に関する対策。 データベースや周辺機器・アプリケーションの操作ログを取得し、DB監査や不正の検知・分析を行う。また、ログは事後調査に備えてポリシに従い保全する。
その他運用関連		「構成・配置・設定」「アカウント認証・認可、アクセスコントロール」の状態を維持するための対策や、各対策実施箇所における技術的な対策では対応できない、運用に関する対策。 ポリシを策定し、適切に運用する。また、ポリシに従い、脆弱性への対応を適切に行う。

 

データベースセキュリティ対策の設計・実装の対策基準として利用

運用中のデータベースに対する、セキュリティ対策チェックリストとして利用