データベース セキュリティとは?

• ファイアウォール は、DiD データベース セキュリティにおける防御の最前線として機能します。論理的には、組織のデータ セキュリティ ポリシーに従って、ネットワーク トラフィックを分離または制限する役割を果たすのがファイアウォールです。ファイアウォールを使用する場合は、セキュリティ対策を特に強化するポイントを設けることで、オペレーティング システム レベルのセキュリティが向上します。

• 認証 は、正しいユーザー ID とパスワードを入力することによって、ユーザーが本人であることを証明するプロセスです。一部のセキュリティ ソリューションでは、管理者がデータベース ユーザーの ID とアクセス許可を 1 か所で集中管理できます。これにはパスワード ストレージの最小化が含まれます。また、これにより一元化されたパスワードのローテーション ポリシーが有効になります。
• 認可 により、各ユーザーは特定のデータ オブジェクトにアクセスし、データの読み取りは行うが変更はできない、データの変更は行うが削除はできない、またはデータの削除などの特定のデータベース操作を実行できます。
• アクセス制御 は、データベース内のユーザーにアクセス許可を割り当てるシステム管理者によって管理されます。アクセス許可の理想的な管理方法は、 データベース ロール にユーザー アカウントを追加し、データベース レベルのアクセス許可をこれらのロールに割り当てることです。たとえば、 行レベル セキュリティ  (RLS) を使用すると、データベース管理者は、ユーザーの ID、ロール メンバーシップ、またはクエリ実行コンテキストに基づいて、データ行への読み取りおよび書き込みアクセスを制限できます。RLS はデータベース自体内のアクセス ロジックを一元化するため、アプリケーション コードが簡素化され、偶発的なデータ漏洩のリスクが軽減されます。

• 監査 ではデータベースのアクティビティを追跡し、データベース イベントを監査ログに記録することでセキュリティ標準への準拠を維持します。これにより、進行中のデータベース アクティビティを監視し、過去のアクティビティを分析および調査して、潜在的な脅威や疑わしい不正使用、およびセキュリティ違反を特定することができます。
• 脅威検出 は、データベースに対する潜在的なセキュリティ脅威を示す異常なデータベース アクティビティを明らかにし、不審なイベントに関する情報を管理者に直接明らかにすることができます。

• データ暗号化は、機密データを別の形式に変換することで保護し、目的の当事者のみが元の形式に解読してアクセスできるようにします。暗号化はアクセス制御の問題を解決しませんが、アクセス制御がバイパスされた場合のデータ損失を制限することでセキュリティを強化します。たとえば、データベース ホスト コンピューターの構成が適切でない場合に、クレジット カード番号などの機密データを悪意のあるユーザーが入手したとしても、盗まれた情報が暗号化されていれば悪用される可能性が小さくなります。
• データベースのバックアップ データと回復は、情報を保護するために非常に重要です。このプロセスには、データベースとログ ファイルのバックアップ コピーを定期的に作成し、そのコピーを安全な場所に保存することが含まれます。バックアップ コピーとファイルは、セキュリティ違反や障害が発生した場合にデータベースを復元するために使用できます。
• 物理的なセキュリティにより、物理サーバーおよびハードウェア コンポーネントへのアクセスが厳しく制限されます。オンプレミス データベースを使用する多くの組織は、データベース サーバー ハードウェアとネットワーク デバイスへのアクセスが制限された鍵のかかった部屋を使用しています。バックアップ メディアを安全なオフサイトの場所に保管して、バックアップ メディアへのアクセスを制限することも重要です。

データベース サーバーのセキュリティを確保または"強化する"と、物理、ネットワーク、オペレーティング システムのセキュリティが組み合わされて脆弱性に対処し、ハッカーによるシステムへのアクセスがより困難になります。データベース強化のベスト プラクティスは、データベース プラットフォームの種類によって異なります。一般的な手順には、パスワード保護とアクセス制御の強化、ネットワーク トラフィックの保護、データベース内の機密フィールドの暗号化が含まれます。

これらの機能により、データ暗号化が強化されるため、組織はデータを保護し、規制に準拠することが容易になります。

• 常に暗号化されたデータにより、転送中、メモリ内、ディスク上、さらにはクエリ処理中の盗難に対するデータの保護が組み込まれています。
• Transparent Data Encryption は、保存されたデータ (保存データ) を暗号化することで、悪意のあるオフライン アクティビティの脅威から保護します。Transparent Data Encryption は、アプリケーションを変更することなく、データベース、関連するバックアップ、保存中のトランザクション ログ ファイルの暗号化と復号化をリアルタイムで実行します。

Transport Layer Security (TLS) ネットワーク プロトコルの最強バージョンのサポートと組み合わせると、常に暗号化されたデータと Transparent Data Encryption は、決済データの強力なエンドツーエンド保護を義務付けるペイメント カード業界データ セキュリティ基準 (PCI DSS) に準拠する必要がある金融、銀行、医療機関に包括的な暗号化ソリューションを提供します。

Advanced Threat Protection では、ログを分析し、通常とは異なる動作と、データベースへのアクセスまたは悪用を試みる有害な可能性がある試行を検出します。SQL インジェクション、潜在的なデータ侵入、ブルートフォース攻撃などの疑わしいアクティビティや、特権の昇格と不正な資格情報の使用を検出するアクセス パターンの異常に対してアラートが作成されます。

ベスト プラクティスとして、ユーザーとアプリケーションは認証に別のアカウントを使用する必要があります。これにより、ユーザーとアプリケーションに付与される権限が制限され、悪意のあるアクティビティのリスクが軽減されます。アプリケーション コードが SQL インジェクション攻撃に対して脆弱な場合、これは特に重要です。

 最小限の特権の情報セキュリティ原則 では、ジョブの実行に必要なデータと操作へのアクセス権のみをユーザーとアプリケーションに付与する必要があることをアサートします。このベスト プラクティスは、アプリケーションの攻撃対象領域を削減し、セキュリティ侵害が発生した場合の影響 (爆発半径) を軽減するのに役立ちます。

データベース セキュリティのベスト プラクティスは、プラットフォームやクラウド全体で連携して組織全体を保護する、 セキュリティに対する包括的なアプローチ の一部である必要があります。ゼロトラスト セキュリティ モデルは、あらゆるアクセス要求に対して ID とデバイスのコンプライアンスを検証し、どこにいてもユーザー、デバイス、アプリ、データを保護します。ゼロ トラスト モデルでは、企業のファイアウォールの内側にあるものはすべて安全であると想定するのではなく、侵害を想定し、あたかもオープン ネットワークから発信されたものであるかのように各要求を検証します。リクエストが発生した場所や、リクエストがアクセスしているリソースにかかわらず、ゼロ トラストは"信頼するな、常に検証をする"ということを私たちに教えてくれます。

Microsoft セキュリティ ソリューションでゼロ トラストを実現する。セキュリティに対してエンドツーエンドのアプローチを採用し、ユーザー、データ、インフラストラクチャを保護します。

Azure でセキュリティ体制を強化。Azure に備わった多層型の組み込みセキュリティ コントロールと類を見ない脅威インテリジェンスを使うと、脅威を特定して保護することができます。3,500 人を超える世界的なサイバーセキュリティの専門家が連携して、Azure 内のデータの保護を支援します。

組み込みの Azure Database セキュリティ ツールとサービスを活用する  ( Always Encrypted テクノロジー、 インテリジェントな脅威に対する保護、 セキュリティ コントロール、 行レベルのセキュリティ や 動的データ マスキング、 監査、 脅威検出、 Microsoft Defender for Cloud によるデータ監視などのデータベース アクセスと承認の制御などのデータベースへのアクセスと認可の制御)。

Azure Cosmos DB を使用して NoSQL データベースを保護します。これには、データベース侵害の防止、検出、対応に役立つ 包括的な高度なデータベース セキュリティ ツール が含まれています。