Insight Technology, Inc

2005年11月09日
株式会社インサイトテクノロジー

情報漏洩監視システムPISO
次期バージョン新機能「脆弱性モニター」を発表

株式会社インサイトテクノロジー(本社:神奈川県茅ヶ崎市、代表取締役社長:小幡 一郎、以下:インサイトテクノロジー)は、情報漏洩監視システム PISOの次期バージョンで実装する新機能「脆弱性モニター」を発表します。

PISOの次期バージョンが実装する「脆弱性モニター」は、データベースの脆弱性を「認証」「権限」「システムの安全性」のカテゴリーに分類し、検知、評価するだけではなくリスク軽減アクションへと導きます。 企業は、「脆弱性モニター」を利用することで、PDCAサイクルの考え方に則したプロセスを通じ、内部統制の強化を実現することが可能になります。
「脆弱性モニター」を実装したPISO は、年内リリースを予定しております。

PISO 脆弱性モニターについて

脆弱性対策の現状

既存のデータベース・セキュリティー製品は、情報漏洩発生の可能性を減らすため、脆弱性評価を行い報告します。 しかし、リスク･マネージメントの観点から見ると、脆弱性の評価だけではセキュリティ−対策としては不十分です。 その理由は、脆弱性が検知されるだけでは、データベースの弱点が明らかにされるだけで、その弱点自体はまだデータベースに存在するからです。 また、直ぐにリスクを減らすことのできる問題に対しても、実際に修正するまでに時間をかけてしまいます。 そのため、「脆弱性評価レポート＝情報漏洩発生の可能性を減らす」にはならないのです。 リスク・マネージメントの本来の目的は、「情報漏洩の要因となる"脆弱性"や"脅威"を実際に取り除き、データベース環境をより堅牢かつ安全にすること。 その結果として情報漏洩のリスクを減らすこと」です。 そのため、脆弱性評価とリスク軽減アクション両方が必要なのです。 すなわち、「リスク軽減アクションなくして、情報漏洩のリスクを減らすことはない」のです。

情報漏洩の原因にもなるデータベースの脆弱性とは、一般的に設定ミスや認証・権限管理等の不備により引き起こされます。 要するに、アクセス・コントロールが正しく行われていないという点にあります。

例）

• デフォルトパスワードを使用されている（認証の問題）
• 必要以上の権限がユーザに与えられている（権限の問題）
• 外部からのアクセスを許している（システムの安全性の問題）

PDCAサイクルによるソリューション

脆弱性モニターでは、PDCAサイクルの考え方に則したプロセスを通じて、内部統制の強化まで支援するソリューションを提供します。 また、リスクは、認証、権限、システムの安全性のカテゴリーに分類されているため、セキュリティー管理者が一目でどのカテゴリーにリスクがあるのかを確認することが可能です。

• 計画フェーズ
• 脆弱性評価により、次の点を明確化
目的：なんでリスクレベルが高いのか、なぜ修正が必要なのか
対象：どの項目なのか(認証？権限？システムの安全性？)
優先：まず何を修正しなければいけないのか

• リスクを徹底的に分析し、評価結果に基づいた優先順位
• 実行フェーズ
• 直ぐに修正すべき、もしくは修正可能なリスクであれば、Security DBAがセキュリティー上必要なプロセスを踏んで迅速な修正が可能
• 修正内容の自動保存や管理を行っているため、リスク・マネージメントと一体となって機能する内部統制の強化も支援
• 評価フェーズ
• セキュリティ−・リスクを再評価し、リスクを回避・修正する必要性があるかを明確化
• 改善フェーズ
• セキュリティ−・リスクを把握し、必要に応じて更に改善や是正計画の立案から措置の実施へとナビゲート

脆弱性モニターの主な機能

• 認証関連
【監視項目】
• デフォルトのパスワードチェック
• パスワード制限に関する設定チェック
  例）ログオン失敗拒否回数が設定されていない等
【リスク軽減内容】
• パスワードの変更
• パスワードに制限を設定
• 権限関連
【監視項目】
• DBA権限受容者チェック
• ANY権限受容者チェック
• ADMIN_OPTION付き権限チェック
• リスクをもたらす可能性がある権限受容者チェック
  例）他ユーザに変更可能(BECOME USER)等
【リスク軽減内容】
• 不必要な権限を取り消す
• システムの安全性
【監視項目】
• l リスクをもたらす可能性のある初期化パラメータチェック
  例）DBリンクのパスワードが暗号化されているか (DBLINK_ENCRYPT_LOGIN)
• l リソース制限に関する設定チェック
  例）セッションあたりの接続経過時間を制限(CONNECT_TIME)等
【リスク軽減内容】
• 初期化パラメータの変更
• リソースに制限を設定

※監視カテゴリーや監視項目の追加・変更を検討中のため、今後変更の可能性はあります。

脆弱性モニター＝脆弱性評価＋リスク・ミティゲーション(軽減)

情報漏洩対策を徹底するには、脆弱性の評価だけでは不十分です。 脆弱性モニターは、データベース・リスク・マネージメント・ソリューションを提供します。 脆弱性評価を元にリスクを検知し、優先付けを行い、適切な措置を速やかにナビゲートします。 要するに、脆弱性評価後、迅速なリスク軽減アクションを行うことにより、個人情報から財務情報まで全ての情報が集中するデータベース環境をより堅牢かつ安全にすることが可能なのです。

インサイトテクノロジーについて

Oracle データベースのプロフェッショナル集団として1995年7月7日に設立。 Oracleの運用管理ツール「Performance Insight(R)」や、Oracle情報漏えい監視システム「PISO」の開発・販売を始め、Oracleのパフォーマンスチューニングや、データベース設計から運用まで一貫したコンサルテーションを国内外に提供しています。

本プレスリリースに関するお問い合わせは下記まで
株式会社インサイトテクノロジー 担当: 高橋 勇樹
電話:0467-59-1527 ／ FAX:0467-82-2663
URL: http://www.insight-tec.com [お問い合わせフォーム]