データベースセキュリティ研究所の最新レポートを公開
~事故前提社会におけるデータベースセキュリティとは~
2009年2月12日 | プレス
株式会社ラック(本社:東京都港区、代表取締役社長:齋藤理、以下ラック)は、自社の研究機関であるサイバーリスク総合研究所のデータベースセキュリティ研究所が、昨年より爆発的な増加傾向にあるSQLインジェクションの検知・調査や「情報漏えい緊急対応サービス」を通して得た情報を基に、Webシステムにおけるデータベースのセキュリティ対策をまとめたレポートとして「事故前提社会のデータベースセキュリティ~データベースによるWebサイトセキュリティの実際~」を発表しました。
ラックのセキュリティオペレーションセンターJSOC(ジェイソック)が検知している統計によると、Webアプリケーションの脆弱性を悪用する「SQLインジェクション」の攻撃数は、2008年12月のピーク時に1日あたり約120万件もの攻撃(過去最多)が行われました。この攻撃で多くのWebサイトが、Webアプリケーションの欠陥を突かれるなどの被害に遭いました。
根本的な対策は、Webアプリケーションのセキュリティ上の欠陥を取り除くことです。しかし、攻撃手法はより巧妙に変化し続けており、ビジネス要求に応じてバージョンアップが繰り返し行われるWebアプリケーションのセキュリティを継続的に維持することは非常に難しいのが現状です。
このような状況を踏まえ、今後は事前の予防対策だけで安全を確保することは困難になることが予想され、万が一の事態をあらかじめ想定した対応策を用意しておくことが重要です。従来からの侵入検知システムやWebアプリケーションファイアウォールなどを利用した、ネットワークやアプリケーションの防御策に加え、Webシステムを支えるデータベースにも異変や被害を早期に検知する仕組みを講じることが、極めて合理的かつ有効なアプローチになると本レポートは解説しています。
本来、データベースでは、事前にセキュリティ上の防止策が組み込まれているべきであり、特に適切なアカウント管理やアクセス制御などの対策は、運用段階になってから実施するのは困難なことから、計画・設計段階から考慮されている必要があります。本レポートは、Webアプリケーションに欠陥が存在していることを前提に、運用段階における不正アクセスによる被害を最小化する具体的な対策方法や、データベースに不正アクセスが行われた疑いが見つかった際に確保すべき情報は何か、また不正アクセスを早期に検知するためのチェック項目と復旧に至るシナリオがまとめられています。
本リリースで発表したDBSLレポート「事故前提社会のデータベースセキュリティ~データベースによるWebサイトセキュリティの実際~」は、下記のWebページからご覧いただけます。ラックは、本レポートを通じて、データベースのセキュリティ対策を遂行する際の一助になることを願っています。
ラックのデータベースセキュリティ研究所発行レポート
https://www.lac.co.jp/security/report/csl/index.html
以上
【株式会社ラックについて】
株式会社ラックは、いち早くネットワーク社会の到来を予測して1986年9月3日に設立されました。セキュリティソリューション分野でのリーディングカンパニーとして、「コンピュータセキュリティ研究所(CSL)」、「データベースセキュリティ研究所(DBSL)」、「セキュリティオペレーション研究所(SOL)」にてセキュリティに関する情報を日々、蓄積・分析・検証を行い、国内最大級のセキュリティ監視センターJSOCにて顧客システムの24時間365日のセキュリティ監視・分析を行っています。また、常に先進のセキュリティテクノロジーを活用し、官公庁・企業・団体等のお客様にセキュリティソリューションサービスを提供しています。
【報道機関からのお問い合わせ先】
株式会社ラック 事業推進統括部 マーケティング部
Tel:03-5537-2615 E-mail: marketing@lac.co.jp
【お客様からのお問い合わせ先】
以下のページからお問い合わせください。