DBを運用していると、
最近は、セキュリティを守っているか?とうるさく言われるかと思います。困ってしまいますよね。セキュリティベンダーを雇うのも高くつくし・・・今日はそんな悩みの助けになるかもしれない記事です。
●対策として何をすべきか
実際に使用するセキュリティ対策は、要件やセキュリティベンダーからの指導などにより異なりますが、ある程度は一般的なガイドがあっても良いはずです。実は、データベース・セキュリティ・コンソーシアム(DBSC) という業界団体があります。そこで検討・公開された
データベースのためのセキュリティガイドラインと実装のための参考資料が存在します。http://www.db-security.org/report.html
これを参考に決めるのも手です。
#個人的な感想で言うと、「必須」だけを選べばセキュリティベンダーからのコメントより厳しくないです。
#その意味は・・・わかりますよね。
●インパクトはどれくらいか?
つぎは
「それらのセキュリティ機能の性能へ与えるインパクトはどれくらいか?」という悩みです。検証するのも大変ですし、どこかに、ある程度のお墨付きの社外公開可のデータがあると便利ですよね?
Oracleに関しては、実は富士通さんが一般向けに出してくれています。
9i版:
http://software.fujitsu.com/jp/oracle/brochures/ssi-securitydoc-01.pdf
10g版:
http://software.fujitsu.com/jp/oracle/brochures/ssi-securitydoc2-03.pdf
中身は
ほぼ全てのセキュリティ機能における、未使用と使用時の性能比較です。
例えば次のようなセキュリティ機能が扱われています。データ暗号化、通信の暗号化(アルゴリズム別もあり)、標準監査、FGA(ファイングレイン監査)、FGAC(ファイングレインアクセスコントロール)など です。
あくまで「一例としての性能情報」という扱いにしかできませんが便利な資料です。
このような資料を作ってくれた方々に感謝!
- 2008/11/24(月) 00:56:05|
- DBA
-
| トラックバック:0
-
| コメント:0
