Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

診断結果:データベースの管理に課題があります

貴社は、内部情報漏えい対策において、データベースの管理に課題がある層に分類されます。

課題の傾向・危険性

貴社のデータベースは、データベース管理者権限を持つユーザからアクセスされ、機密データを不正に持ち出される可能性があります。
データベースの管理者権限が特定ユーザに集中していたり、管理が属人化していると、機密データにアクセスされていることに気づかず、情報漏えいに繋がる危険性が潜んでいます。
また、たとえ管理者権限を分散していたとしても、データを閲覧・取得したログ(履歴)を監査できていないと、複数の管理者用アカウントを悪用された場合、正規アカウンによるアクセスとなるため、不正アクセスを見落とす危険性も潜んでいます。
データベースには、個人情報や機密情報が含まれる傾向が高いため、不正にアクセスされた場合、被害はとても大きくなものになります。

推奨される対策

まずは、データベースへのアクセスログの管理と監査を推奨します。
「だれが」「いつ」「なにをしたのか」を把握することだけではなく、ユーザが不正な操作(大量に複数回個人情報を取得したなど)を行った場合は、アラートをあげるなどの仕組みを導入することを推奨します。

次に、データベース管理者のアクセス権限を細かく制御することを推奨します。
各データベースにアクセスできる管理者(IPアドレスやPC端末を指定するなど)を制限することで、データベースへの不正アクセスの範囲を極小化し、不正な機密データの閲覧・取得を抑制します。
また、管理開始前に管理者権限の払い出しを行い、管理終了後に権限を削除するといった運用による対策も有効です。

さらに、Webサーバのデータベースなど、外部からの不正アクセスのリスクが特に高い場合は、データベースの暗号化を行うことも考慮にいれることを推奨します。

推奨される対策に関連する資料のダウンロード