Trace Id is missing
メイン コンテンツへスキップ
Azure
デスクトップを見ながら考える男性

データベース セキュリティとは?

データベースを保護し、脅威から保護する方法について説明します。

データベース セキュリティとは?

データベース セキュリティは、偶発的および意図的な脅威からデータベースを保護するプロセス、ツール、制御です。データベース セキュリティの目的は、機密データを保護し、データベースの機密性、可用性、整合性を維持することです。データベース セキュリティは、データベース内のデータを保護するだけでなく、データベース管理システムと関連するアプリケーション、システム、物理サーバーと仮想サーバー、ネットワーク インフラストラクチャも保護します。

"データベース セキュリティとは何か"という質問に答えるには、いくつかの種類のセキュリティ リスクがあることを認識することが重要です。データベース セキュリティは、人的ミス、従業員の過剰なデータベース権限、ハッカーや内部関係者による攻撃、マルウェア、バックアップ ストレージ メディアの漏洩、データベース サーバーへの物理的損傷、パッチが適用されていないデータベースやバッファ内のデータが多すぎるデータベースなどの脆弱なデータベースから保護する必要があります。

データベースセキュリティのステージ

データベースセキュリティの種類

最高度のデータベース セキュリティを実現するには、組織は複数層のデータ保護を必要とします。この目的を達成するために、 多層防御 (DiD) セキュリティ戦略 により、IT システム全体に複数の制御が配置されます。1 つの保護層が失敗した場合は、以下に示すように、別の保護層が即座に攻撃を防止します。

ネットワーク セキュリティ

  • ファイアウォール は、DiD データベース セキュリティにおける防御の最前線として機能します。論理的には、組織のデータ セキュリティ ポリシーに従って、ネットワーク トラフィックを分離または制限する役割を果たすのがファイアウォールです。ファイアウォールを使用する場合は、セキュリティ対策を特に強化するポイントを設けることで、オペレーティング システム レベルのセキュリティが向上します。

アクセス管理

  • 認証 は、正しいユーザー ID とパスワードを入力することによって、ユーザーが本人であることを証明するプロセスです。一部のセキュリティ ソリューションでは、管理者がデータベース ユーザーの ID とアクセス許可を 1 か所で集中管理できます。これにはパスワード ストレージの最小化が含まれます。また、これにより一元化されたパスワードのローテーション ポリシーが有効になります。
  • 認可 により、各ユーザーは特定のデータ オブジェクトにアクセスし、データの読み取りは行うが変更はできない、データの変更は行うが削除はできない、またはデータの削除などの特定のデータベース操作を実行できます。
  • アクセス制御 は、データベース内のユーザーにアクセス許可を割り当てるシステム管理者によって管理されます。アクセス許可の理想的な管理方法は、 データベース ロール にユーザー アカウントを追加し、データベース レベルのアクセス許可をこれらのロールに割り当てることです。たとえば、 行レベル セキュリティ  (RLS) を使用すると、データベース管理者は、ユーザーの ID、ロール メンバーシップ、またはクエリ実行コンテキストに基づいて、データ行への読み取りおよび書き込みアクセスを制限できます。RLS はデータベース自体内のアクセス ロジックを一元化するため、アプリケーション コードが簡素化され、偶発的なデータ漏洩のリスクが軽減されます。

脅威からの保護

  • 監査 ではデータベースのアクティビティを追跡し、データベース イベントを監査ログに記録することでセキュリティ標準への準拠を維持します。これにより、進行中のデータベース アクティビティを監視し、過去のアクティビティを分析および調査して、潜在的な脅威や疑わしい不正使用、およびセキュリティ違反を特定することができます。
  • 脅威検出 は、データベースに対する潜在的なセキュリティ脅威を示す異常なデータベース アクティビティを明らかにし、不審なイベントに関する情報を管理者に直接明らかにすることができます。

情報保護

  • データ暗号化は、機密データを別の形式に変換することで保護し、目的の当事者のみが元の形式に解読してアクセスできるようにします。暗号化はアクセス制御の問題を解決しませんが、アクセス制御がバイパスされた場合のデータ損失を制限することでセキュリティを強化します。たとえば、データベース ホスト コンピューターの構成が適切でない場合に、クレジット カード番号などの機密データを悪意のあるユーザーが入手したとしても、盗まれた情報が暗号化されていれば悪用される可能性が小さくなります。
  • データベースのバックアップ データと回復は、情報を保護するために非常に重要です。このプロセスには、データベースとログ ファイルのバックアップ コピーを定期的に作成し、そのコピーを安全な場所に保存することが含まれます。バックアップ コピーとファイルは、セキュリティ違反や障害が発生した場合にデータベースを復元するために使用できます。
  • 物理的なセキュリティにより、物理サーバーおよびハードウェア コンポーネントへのアクセスが厳しく制限されます。オンプレミス データベースを使用する多くの組織は、データベース サーバー ハードウェアとネットワーク デバイスへのアクセスが制限された鍵のかかった部屋を使用しています。バックアップ メディアを安全なオフサイトの場所に保管して、バックアップ メディアへのアクセスを制限することも重要です。

データベース セキュリティ プラットフォーム

データベース プラットフォームに応じて、データベース セキュリティに関する責任の量は異なります。オンプレミス ソリューションがある場合、エンドポイントの保護からハードウェアの物理的なセキュリティに至るまでのすべてを顧客自身が提供する必要がありますが、これは簡単な仕事ではありません。サービスとしてのプラットフォーム (PaaS) クラウド データベース プロバイダーを選択すると、懸念する領域が大幅に縮小されます。

クラウドは、長年の情報セキュリティの課題を解決するための大きな利点を提供します。オンプレミス環境では、組織は責任を果たしきれず、セキュリティに投資できるリソースが限られていることが多いため、攻撃者がすべての階層で脆弱性を悪用できる環境が生まれています。

次の図は、リソースが限られているために多くのセキュリティ責任が満たされていない従来のアプローチを示しています。クラウド対応のアプローチでは、日々のセキュリティ責任をクラウド プロバイダーに移すことができ、より多くのセキュリティ範囲を確保できるため、組織は一部のセキュリティ リソースと予算を他のビジネス優先事項に再割り当てすることができます。

従来のアプローチとクラウドベースのセキュリティの比較を示すデータベース セキュリティ プラットフォームのインフォグラフィックス

データベース セキュリティが重要な理由

公共部門および民間部門のあらゆる規模の組織が、データベースのセキュリティの課題に取り組んでいます。データ侵害は次のような事態を引き起こす可能性があるため、データ侵害を防ぐことはビジネス上非常に重要です。

データの盗難

データベースには、顧客記録、クレジット カード番号、銀行口座番号、個人識別番号などの貴重な機密情報が保存されることが多いため、サイバー攻撃の主な標的となります。ハッカーはこの情報を使用して個人情報を盗み、不正な購入を行います。

ビジネスとブランドの評判への損害

顧客は、自分の個人データを保護しない企業と取引することを躊躇します。顧客情報を侵害するデータベースのセキュリティ問題は、組織の評判を傷つけ、売上の減少や顧客離れにつながる可能性があります。評判を守り、顧客の信頼を再構築するために、一部の企業は広報活動への投資を増やし、データ侵害の被害者に信用監視システムを無料で提供しています。

収益損失

データ侵害が発生すると、データベースのセキュリティ上の課題が解決され、システムが完全に再稼動し、事業継続性が回復するまで、事業運営や収益創出が停止または遅延する可能性があります。

コストの増加

数字は業界によって異なりますが、データ侵害の修復には、訴訟費用、被害者の支援、データの回復やシステムの復元にかかる追加費用など、数百万ドルもの費用がかかる場合があります。企業は、ロックされたファイルやデータを復元するための支払いを要求するハッカーにランサムウェアを支払うこともあります。これらのコストを防ぐために、多くの企業は自社の保険にサイバー保険を追加しています。

データ侵害違反の罰則

企業が顧客データを保護しない場合、州および地方機関は罰金を課し、場合によっては顧客に補償を要求します。

ノート PC を見て話し合う 2 人の人

データベース セキュリティのベスト プラクティス

データベースを保護する方法には、データの暗号化、データベースまたはアプリケーションに対する許可されたユーザーのみの認証、データの適切なサブセットへのユーザー アクセスの制限、アクティビティの継続的な監視と監査が含まれることについて説明しました。データベース セキュリティのベスト プラクティスは、これらの機能をさらに拡張して、脅威に対する保護をさらに強化します。

データベースのセキュリティ強化

データベース サーバーのセキュリティを確保または"強化する"と、物理、ネットワーク、オペレーティング システムのセキュリティが組み合わされて脆弱性に対処し、ハッカーによるシステムへのアクセスがより困難になります。データベース強化のベスト プラクティスは、データベース プラットフォームの種類によって異なります。一般的な手順には、パスワード保護とアクセス制御の強化、ネットワーク トラフィックの保護、データベース内の機密フィールドの暗号化が含まれます。

包括的なデータ暗号化

これらの機能により、データ暗号化が強化されるため、組織はデータを保護し、規制に準拠することが容易になります。

  • 常に暗号化されたデータにより、転送中、メモリ内、ディスク上、さらにはクエリ処理中の盗難に対するデータの保護が組み込まれています。
  • Transparent Data Encryption は、保存されたデータ (保存データ) を暗号化することで、悪意のあるオフライン アクティビティの脅威から保護します。Transparent Data Encryption は、アプリケーションを変更することなく、データベース、関連するバックアップ、保存中のトランザクション ログ ファイルの暗号化と復号化をリアルタイムで実行します。

Transport Layer Security (TLS) ネットワーク プロトコルの最強バージョンのサポートと組み合わせると、常に暗号化されたデータと Transparent Data Encryption は、決済データの強力なエンドツーエンド保護を義務付けるペイメント カード業界データ セキュリティ基準 (PCI DSS) に準拠する必要がある金融、銀行、医療機関に包括的な暗号化ソリューションを提供します。

Advanced Threat Protection

Advanced Threat Protection では、ログを分析し、通常とは異なる動作と、データベースへのアクセスまたは悪用を試みる有害な可能性がある試行を検出します。SQL インジェクション、潜在的なデータ侵入、ブルートフォース攻撃などの疑わしいアクティビティや、特権の昇格と不正な資格情報の使用を検出するアクセス パターンの異常に対してアラートが作成されます。

個別の認証アカウント

ベスト プラクティスとして、ユーザーとアプリケーションは認証に別のアカウントを使用する必要があります。これにより、ユーザーとアプリケーションに付与される権限が制限され、悪意のあるアクティビティのリスクが軽減されます。アプリケーション コードが SQL インジェクション攻撃に対して脆弱な場合、これは特に重要です。

最小限の特権の原則

 最小限の特権の情報セキュリティ原則 では、ジョブの実行に必要なデータと操作へのアクセス権のみをユーザーとアプリケーションに付与する必要があることをアサートします。このベスト プラクティスは、アプリケーションの攻撃対象領域を削減し、セキュリティ侵害が発生した場合の影響 (爆発半径) を軽減するのに役立ちます。

ゼロ トラスト セキュリティ モデル

データベース セキュリティのベスト プラクティスは、プラットフォームやクラウド全体で連携して組織全体を保護する、 セキュリティに対する包括的なアプローチ の一部である必要があります。ゼロトラスト セキュリティ モデルは、あらゆるアクセス要求に対して ID とデバイスのコンプライアンスを検証し、どこにいてもユーザー、デバイス、アプリ、データを保護します。ゼロ トラスト モデルでは、企業のファイアウォールの内側にあるものはすべて安全であると想定するのではなく、侵害を想定し、あたかもオープン ネットワークから発信されたものであるかのように各要求を検証します。リクエストが発生した場所や、リクエストがアクセスしているリソースにかかわらず、ゼロ トラストは"信頼するな、常に検証をする"ということを私たちに教えてくれます。

机の上に 2 つの追加モニターを備えたダッシュボードを見ながらノート PCに座って作業している人

データベース セキュリテ ィソリューションとツール

最近の注目を集めたデータ侵害は、今日の脅威アクターの巧妙化と、ますます接続が進む世界でのビジネス リスク管理の複雑さを浮き彫りにしています。これらのエンドツーエンドのセキュリティ製品とデータベース セキュリティ製品を使用して、組織が脅威と闘い、データを安全に保つことを自信を持って支援します。

データベース セキュリテ ィソリューション

Microsoft セキュリティ ソリューションでゼロ トラストを実現する。セキュリティに対してエンドツーエンドのアプローチを採用し、ユーザー、データ、インフラストラクチャを保護します。

Azure でセキュリティ体制を強化。Azure に備わった多層型の組み込みセキュリティ コントロールと類を見ない脅威インテリジェンスを使うと、脅威を特定して保護することができます。3,500 人を超える世界的なサイバーセキュリティの専門家が連携して、Azure 内のデータの保護を支援します。

データベース セキュリティ ツール

組み込みの Azure Database セキュリティ ツールとサービスを活用する  ( Always Encrypted テクノロジー、 インテリジェントな脅威に対する保護、 セキュリティ コントロール、 行レベルのセキュリティ や 動的データ マスキング、 監査、 脅威検出、 Microsoft Defender for Cloud によるデータ監視などのデータベース アクセスと承認の制御などのデータベースへのアクセスと認可の制御)。

Azure Cosmos DB を使用して NoSQL データベースを保護します。これには、データベース侵害の防止、検出、対応に役立つ 包括的な高度なデータベース セキュリティ ツール が含まれています。

データベース セキュリティ ソフトウェアとサービス

 Azure Active Directory を使用してリソースとデータへのアクセスを保護します。このエンタープライズ ID サービスは、シングル サインオン、多要素認証、条件付きアクセスを提供して、サイバーセキュリティ攻撃の 99.9% を防ぎます。

 Azure Key Vault を使用してシークレットを安全に保存し、アクセスします。シークレットは、API キー、パスワード、証明書、暗号化キーなど、アクセスを厳密に制御する必要がある任意のものです。クラウド内のデータを保護するためには、キーの安全な管理が不可欠です。

よく寄せられる質問

  • データベース セキュリティは、偶発的および意図的な脅威からデータベースを保護するプロセス、ツール、制御です。データベース セキュリティの目的は、機密データを保護し、データベースの機密性、可用性、整合性を維持することです。データベース セキュリティは、データベース内のデータを保護するだけでなく、データベース管理システムと関連するアプリケーション、システム、物理サーバーと仮想サーバー、ネットワーク インフラストラクチャも保護します。

    データベース セキュリティの概要 >

  • 最高度のデータベース セキュリティを実現するには、組織は複数層のデータ保護を必要とします。これには、ネットワーク セキュリティのためのファイアウォール、アクセス制御、監査および脅威検出機能、データ暗号化、データベースのバックアップとリカバリ、サーバー、ハードウェア コンポーネント、バックアップ メディアの物理的なセキュリティが含まれます。

    データベースをセキュリティで保護する方法についての詳細情報 >

  • データベース セキュリティはデータ侵害を防ぎます。データ侵害を防ぐことは、ビジネス上極めて重要です。なぜなら、データ侵害の修復には、訴訟費用、被害者への補償、データとシステムの復元、規制違反に対する罰金など、数百万ドルもの費用がかかる可能性があるからです。企業は、ロックされたファイルやデータを復元するための支払いを要求するハッカーにランサムウェアを支払うこともあります。

    データベースのセキュリティが重要な理由を確認する >

  • データベース セキュリティのベスト プラクティスは脆弱性に対処し、ハッカーによるシステムへのアクセスをより困難にします。これらには、データベースの強化、常に暗号化されたデータ、個別の認証、高度な脅威からの保護、ユーザーとアプリケーションにはジョブの実行に必要なデータと操作へのアクセスのみを許可する必要があるという最小特権の原則が含まれます。

    データベースのセキュリティを向上させる方法を確認する >

  • Microsoft ゼロトラストのエンドツーエンド セキュリティと Azure データベース セキュリティでセキュリティ態勢を強化します。多層型の組み込みセキュリティ コントロールと類を見ない脅威インテリジェンスを使うと、脅威を特定して保護することができます。Azure サービスの多層防御設計により、Azure の物理データ センター、インフラストラクチャ、運用全体にわたって多層セキュリティが提供されます。

    主要なソリューションとツールを確認する >

Azure での構築を始めましょう

Azure のクラウド コンピューティング サービスを無料で最大 30 日間お試しいただけます。または、従量課金制の価格で始めることもできます。事前契約はなく、いつでもキャンセルできます。