ナビゲーションをスキップする

データベース セキュリティとは何ですか?

データベースをセキュリティで保護し、脅威から保護する方法について説明します

データベース セキュリティとは何ですか?

データベース セキュリティは、偶発的または意図的な脅威からデータベースをセキュリティで保護するプロセス、ツール、制御です。データベース セキュリティの目的は、機密データをセキュリティで保護し、データベースの機密性、可用性、整合性を維持することです。データベース内のデータを保護するだけでなく、データベースのセキュリティは、データベース管理システム、関連するアプリケーション、システム、物理および仮想サーバー、ネットワーク インフラストラクチャを保護します。

「データベース セキュリティとは何ですか?」という質問に答えるには、いくつかの種類のセキュリティ リスクがあることを承知することが重要です。データベース セキュリティでは、人間のエラー、過剰な従業員のデータベース特権、ハッカーとインサイダーによる攻撃、マルウェア、バックアップ ストレージ メディアの露出、データベース サーバーへの物理的な損害、パッチが適用されていないデータベースやバッファーにデータが多すぎるデータベースなどの脆弱なデータベースから保護する必要があります。

データベース セキュリティの種類

最高レベルのデータベース セキュリティを実現するには、組織に複数層のデータ保護が必要です。そのために、多層防御 (DiD) セキュリティ戦略では、IT システム全体に複数の制御が配置されます。1 つの保護層が失敗した場合、次の図に示すように、攻撃を直ちに防ぐために別の層が配置されます。

ネットワーク セキュリティ

  • ファイアウォールは、DiD データベース セキュリティの最初の防御線として機能します。論理的には、ファイアウォールはネットワーク トラフィックを分離または制限するものであり、組織のデータ セキュリティ ポリシーを適用するように構成できます。ファイアウォールを使用する場合は、セキュリティ対策を集中できるチョークポイントを提供することで、オペレーティング システム レベルでのセキュリティを強化します。

アクセス管理

  • 認証は、正しいユーザー ID とパスワードを入力して、ユーザーがだれであるかを証明するプロセスです。一部のセキュリティ ソリューションを使用すると、管理者はデータベース ユーザーの ID とアクセス許可を 1 か所で一元管理できます。これには、パスワード ストレージの最小化が含まれます。また、一元的なパスワード ローテーション ポリシーが有効になります。
  • 認可を使用すると、各ユーザーは特定のデータ オブジェクトにアクセスし、データの変更ではない読み取り、データの削除ではない変更、データの削除などの特定のデータベース操作を実行できます。
  • アクセス制御は、データベース内のユーザーにアクセス許可を割り当てるシステム管理者によって管理されます。アクセス許可は、データベース ロールにユーザー アカウントを追加し、それらのロールにデータベース レベルのアクセス許可を割り当てることで、理想的に管理されます。たとえば、行レベルのセキュリティ (RLS) によって、データベース管理者は、ユーザーの ID、ロール メンバーシップ、またはクエリ実行コンテキストに基づいて、データの行に対する読み取りおよび書き込みアクセスを制限できます。RLS は、データベース自体内のアクセス ロジックを一元化し、アプリケーション コードを簡略化し、偶発的なデータ公開のリスクを軽減します。

脅威に対する保護

  • 監査は、データベース のアクティビティを追跡し、データベース イベントを監査ログに記録してセキュリティ標準へのコンプライアンスを維持するのに役立ちます。これにより、進行中のデータベース アクティビティを監視したり、過去のアクティビティを分析および調査して、潜在的な脅威や不正使用やセキュリティ違反の疑いを特定することができます。
  • 脅威検出は、データベースに対する潜在的なセキュリティ上の脅威を示す異常なデータベース アクティビティを明らかにし、疑わしいイベントに関する情報を管理者に直接表示できます。

Information Protection

  • データ暗号化は機密データを別の形式に変換してセキュリティで保護するため、目的のパーティのみが元の形式に解読してアクセスできます。暗号化はアクセス制御の問題を解決しませんが、アクセス制御がバイパスされるときにデータ損失を制限することでセキュリティを強化します。たとえば、データベース ホスト コンピューターが正しく構成されておらず、悪意のあるユーザーがクレジット カード番号などの機密データを取得した場合、その情報が暗号化されていれば、盗まれた情報は役に立たない可能性があります。
  • データベース バックアップ データと回復は、情報を保護するために重要です。このプロセスでは、データベースとログ ファイルのバックアップ コピーを定期的に作成し、コピーを安全な場所に保存します。バックアップ コピーとファイルは、セキュリティ侵害またはエラーが発生した場合にデータベースを復元するために使用できます。
  • 物理セキュリティは、物理サーバーおよびハードウェア コンポーネントへのアクセスを厳密に制限します。オンプレミスのデータベースを持つ多くの組織は、データベース サーバーのハードウェアおよびネットワーク デバイスに対してアクセスが制限されて施錠された部屋を使用しています。バックアップ メディアを安全なオフサイトの場所に保存して、バックアップ メディアへのアクセスを制限することも重要です。

データベース セキュリティ プラットフォーム

データベース プラットフォームによって、ご自分が担うデータベース セキュリティの責任の量は異なる場合があります。オンプレミスのソリューションをお持ちの場合は、エンド ポイント保護からハードウェアの物理的なセキュリティまで、すべてを提供する必要があります。これは簡単な作業ではありません。サービスとしてのプラットフォーム (PaaS) クラウド データベース プロバイダーを選択すると、お客様の懸念領域が大幅に縮小します。

クラウドは、長期にわたる情報セキュリティの課題を解決する上で大きな利点を提供します。オンプレミス環境では、組織は満たされていない責任とセキュリティに投資するためのリソースが限られている可能性が高いため、攻撃者がすべてのレイヤーで脆弱性を悪用できる環境ができてしまいます。

次の図は、リソースが限られているために、多くのセキュリティ責任が満たされていない従来のアプローチを示しています。クラウド対応のアプローチでは、毎日のセキュリティの責任をクラウド プロバイダーに移すことができ、より多くのセキュリティ カバレッジを得ることができます。これにより、組織はセキュリティ リソースと予算を他のビジネスの優先順位に振り分けられるようになります。

データベース セキュリティが重要である理由

公共部門と民間部門のあらゆる規模の組織は、データベースセキュリティの課題に対して奮闘しています。データ侵害の防止は、次のことにつながる可能性があるため、ビジネス上重要です。

データの盗難

データベースはサイバー攻撃の主要なターゲットです。顧客レコード、クレジット カード番号、銀行口座番号、個人識別番号などの重要な情報、機密情報が頻繁に保存されます。ハッカーは、この情報を使用して ID を盗み、不正な購入を行います。

ビジネスとブランドの評判に対する損害

顧客は、個人データを保護していない会社との取り引きをためらいます。顧客情報を侵害するデータベース セキュリティの問題により、組織の評価が低下し、売り上げの低下と顧客離反につながる可能性があります。評価を保護し、顧客の信頼を再構築するために、一部の企業は公的関係への投資を増やし、データ侵害の被害者に無料でクレジット監視システムを提供します。

収益損失

データ侵害は、データベースのセキュリティの課題が解決され、システムが完全に稼働し、ビジネス継続性が復元されるまで、ビジネス操作と収益の生成を停止または低下させる可能性があります。

コストの増加

数値は業界によって異なりますが、データ侵害には、弁護士費用、被害者の支援、データの回復とシステムの復元に必要な追加の費用など、修正に数百万ドルかかる場合があります。企業は、ロックされたファイルとデータを復元するために支払いを要求するハッカーにランサムウェアを支払う可能性もあります。これらのコストから保護するために、多くの企業がポリシーにサイバー保険を追加しています。

データ侵害違反のペナルティ

州および地域の機関は、会社が顧客データを保護しない場合に、罰金を科し、場合によっては、顧客に対して補償を求める場合があります。

データベース セキュリティのベスト プラクティス

データベースをセキュリティで保護する方法については、データの暗号化、データベースまたはアプリケーションに対する認可されたユーザーのみの認証、データの適切なサブセットへのユーザー アクセスの制限、アクティビティの継続的な監視と監査が含まれます。データベース セキュリティのベスト プラクティスにより、これらの機能がさらに拡張され、脅威に対する保護がさらに強化されます。

データベースのセキュリティ強化

データベース サーバーのセキュリティ保護またはセキュリティ強化は、物理、ネットワーク、オペレーティング システムのセキュリティを組み合わせて脆弱性に対処し、ハッカーによるシステムへのアクセスをより困難にします。データベース強化のベスト プラクティスは、データベース プラットフォームの種類によって異なります。一般的な手順には、パスワード保護とアクセス制御の強化、ネットワーク トラフィックのセキュリティ保護、データベース内の機密フィールドの暗号化などがあります。

包括的なデータ暗号化

データの暗号化を強化すると、以下の機能により、組織はデータを簡単にセキュリティで保護し、規制に準拠できるようになります:

  • 常に暗号化されたデータは、転送中、メモリ内、ディスク上、クエリ処理中の盗難に対するデータの組み込みの保護を提供します。
  • Transparent Data Encryption は、保存データを暗号化することで、悪意のあるオフライン アクティビティの脅威から保護します。Transparent Data Encryption は、データベース、関連付けられたバックアップ、および保存中のトランザクション ログ ファイルのリアルタイム暗号化と暗号化解除を、アプリケーションに変更を加えずに実行します。

最も強力なバージョンのトランスポート層セキュリティ (TLS) ネットワーク プロトコルのサポートと組み合わせると、常に暗号化されたデータと透過的なデータ暗号化によって、支払いデータの強力なエンドツーエンドの保護を義務付ける Payment Card Industry Data Security Standard (PCI DSS) に準拠する必要がある金融、銀行、医療組織向けの包括的な暗号化ソリューションが提供されます。

Advanced Threat Protection

Advanced Threat Protection は、ログを分析して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なる動作や害を及ぼす可能性のある試行を検出します。SQL インジェクション、潜在的なデータ侵入、ブルート フォース攻撃などの疑わしいアクティビティや、特権エスカレーションと侵害された資格情報の使用をキャッチするためのアクセス パターンの異常に関して、アラートが作成されます。

個別の認証アカウント

ベスト プラクティスとして、ユーザーとアプリケーションは別のアカウントを使用して認証する必要があります。これにより、ユーザーとアプリケーションに付与されるアクセス許可が制限され、悪意のあるアクティビティのリスクが軽減されます。アプリケーション コードが SQL インジェクション攻撃に対して脆弱な場合は特に重要です。

最小限の特権の原則

最小特権の情報セキュリティ原則とは、ユーザーとアプリケーションにはジョブの実行に必要なデータと操作へのアクセスのみが許可されるべきであるという主張です。このベスト プラクティスは、アプリケーションの攻撃対象領域と、セキュリティ侵害が発生した場合の影響 (爆発半径) を軽減するのに役立ちます。

ゼロ トラスト セキュリティ モデル

データベース セキュリティのベスト プラクティスは、組織全体を保護するために、プラットフォームやクラウド間で連携して動作するセキュリティに対する包括的なアプローチの一部である必要があります。ゼロ トラスト セキュリティ モデルは、すべてのアクセス要求に対して ID とデバイスのコンプライアンスを検証し、ユーザー、デバイス、アプリ、およびデータがどこにあっても保護します。ゼロ トラスト モデルでは、企業のファイアウォールの背後にあるすべてのものが安全であると仮定するのではなく、侵害を想定し、各要求がオープン ネットワークから発信されたかのように検証します。要求の発生場所やアクセスするリソースに関係なく、ゼロ トラストは"信頼せず、常に確認する" と教えます。

データベース セキュリティ ソリューションとツール

最近の注目度の高いデータ侵害は、今日の脅威アクターの増加と、ますますつながっていく世界におけるビジネス リスクの管理の複雑さを強調しています。これらのエンドツーエンドのセキュリティおよびデータベース セキュリティ製品を使用して、組織が脅威に対処し、データを安全に保つのを自信を持って支援してください。

データベース セキュリティ ソリューション

Microsoft セキュリティ ソリューションでゼロ トラストを有効にします。ユーザー、データ、インフラストラクチャを保護するために、セキュリティに対するエンドツーエンドのアプローチを取ります。

Azure を使用してセキュリティ体制を強化します。多層の組み込みのセキュリティ制御と Azure の独自の脅威インテリジェンスを使用して、脅威を特定して保護します。3,500 人以上のグローバル サイバーセキュリティ エキスパートが協力して、Azure 内のデータの保護を支援しています。

データベース セキュリティ ツール

組み込みの Azure Database セキュリティ ツールとサービスを活用します。それには、Always Encrypted テクノロジーインテリジェントな脅威保護セキュリティ制御、データベース アクセスと承認の制御 (Microsoft Defender for Cloud による行レベル セキュリティ動的データ マスキング監査脅威の検出、データ監視など) が含まれます。

Azure Cosmos DB を使用して NoSQL データベースを保護します。これには、データベース侵害の防止、検出、対応に役立つ包括的で高度なデータベース セキュリティ ツールが含まれています。

データベース セキュリティ ソフトウェアとサービス

Azure Active Directory によるリソースとデータに対するアクセスの保護。このエンタープライズ ID サービスは、サイバーセキュリティ攻撃の 99.9% を防ぐために、シングル サインオン、多要素認証、条件付きアクセスを提供します。

Azure Key Vault を使用してシークレットを安全に保存し、アクセスします。シークレットとは、API キー、パスワード、証明書、暗号化キーなど、アクセスを厳密に制御する必要のあるものです。セキュリティで保護されたキー管理は、クラウド内のデータを保護するために不可欠です。

よく寄せられる質問

  • データベース セキュリティは、偶発的または意図的な脅威からデータベースをセキュリティで保護し、保護するプロセス、ツール、制御です。データベース セキュリティの目的は、機密データをセキュリティで保護し、データベースの機密性、可用性、整合性を維持することです。データベース内のデータを保護するだけでなく、データベースのセキュリティによって、データベース管理システム、関連アプリケーション、システム、物理サーバーと仮想サーバー、およびネットワーク インフラストラクチャが保護されます。

    データベース セキュリティの概要を表示

  • データベースのセキュリティを最大限に活用するには、組織に複数のデータ保護層が必要です。これには、ネットワーク セキュリティのためのファイアウォール、アクセス制御、監査と脅威検出機能、データ暗号化、データベースのバックアップと回復、サーバー、ハードウェア コンポーネント、バックアップ メディアの物理的なセキュリティが含まれます。

    データベースをセキュリティで保護する方法の詳細

  • データベース セキュリティは、データ侵害に対してガードします。裁判費用、被害者補償、データとシステムの復元、規制違反に対する罰金など、修正に数百万ドルの費用がかかる可能性があるため、データ侵害の防止はビジネス上重要です。企業はまた、ロックされたファイルやデータを復元するために支払いを要求するハッカーにランサムウェアを支払う場合もあります。

    データベース セキュリティが重要である理由を確認してください

  • データベース セキュリティのベストプラクティスは、脆弱性に対処し、ハッカーがシステムにアクセスすることをより困難にします。これには、データベースの強化、常に暗号化されたデータ、個別の認証、脅威に対する高度な保護、および最小限の特権の原則 (ユーザーとアプリケーションは、ジョブの実行に必要なデータと操作へのアクセスのみを許可されるべきであることを主張する) が含まれます。

    データベースのセキュリティを向上させる方法をご確認ください

  • Microsoft ゼロ トラストのエンドツーエンド セキュリティと Azure データベース セキュリティでセキュリティ態勢を強化します。多層の組み込みセキュリティ制御と独自の脅威インテリジェンスを使用して、脅威を特定して保護します。Azure サービスの多層防御設計は、Azure の物理データ センター、インフラストラクチャ、および運用全体にわたって多層セキュリティを提供します。

    主要なソリューションとツールを探索

Azure 無料アカウントで作業を開始する

人気の Azure サービスを 12 か月間無料で、25 を超えるサービスを常に無料で利用できます。また、最初の 30 日間に使用できる $200 クレジットをお楽しみください。

Azure の営業担当者に問い合わせる

Azure でデータベース セキュリティを開始することについてアドバイスを受けます。質問すること、価格とベスト プラクティスについて学び、ニーズを満たすソリューションを設計する助けが得られます。

どのようなご用件ですか?