データベース診断
総合的な診断によりシステムの要であるデータベースを多種多様なリスクから守ります。
組織の重要情報が格納されているデータベースの脆弱性を診断するサービスです。内在する脆弱性を事故が起きる前に把握し、対策を施す為の有効な施策となります。さらに本診断では、国内外のセキュリティ基準適合状況やデータベース環境・管理面に関する助言も同時に行うため、企業のリスクマネジメントに対する指標としても効果を発揮します。
サービス特徴
- データベースを診断
- 情報システムの基盤となるデータベースの脆弱性を診断いたします。
- 最新のセキュリティ情報、各種コンポーネントの最善策に基づいた独自観点による診断
- データベースへアクセスし、設定情報とコンポーネントへ適応している各種環境設定を診断します。
- 管理面や運用面の問題点も洗い出します
- 外部からの攻撃や内部からの情報漏えい対策として、権限設定などの管理面で配慮すべき対策や解決方法を提案いたします。
- 問題箇所特定と緊急度を可視化
- 必要不可欠な問題点の特定に加え、その緊急度・解決策をスピーディにお知らせします。
診断方法
ネットワーク経由で調査対象のデータベースにアクセスし、脆弱性を診断いたします。
データベースの設定内容・環境面・管理面に関してお伺いした内容を元にセキュリティ上の問題点がないか確認します。
主な診断項目
アカウント管理に関する設定 | データベース接続ユーザに対する特権をはじめとする各種権限の付与状況や、ロールが適切に設定されているか等を診断 |
---|---|
認証に関する設定 | セキュアな認証方式が設定されているか、デフォルトのパスワードを設定していないか等を診断 |
監査・ロギングに関する設定 | 保存ポリシーなどの監査やログ取得に関する各種設定が適切になされているか、監査データへのアクセス権限等を診断 |
パラメータに関する設定 | データベースの構成に関する各種パラメータの値がセキュリティ基準に合っているか診断 |
パッチ適応状況 | 導入しているデータベースのソフトウェアの脆弱性を修正するセキュリティパッチが適用されているか診断 |
診断例
指摘事項 | データベースにおけるアクセス制御の不備 |
---|---|
この脆弱性におけるリスク | 万が一攻撃者がネットワークへ侵入した場合、容易にデータベースへアクセスすることが可能である。このことから、データベースに存在する個人情報をはじめとした重要情報の流出に繋がる重大な被害に発展する危険性につながる。 |
対策例 | ネットワーク単位でのアクセス許可に加え、パスワード認証を設定する。 |
対応データベース
・Oracle 11g,12c以上 ・Microsoft SQL Server 2012,2014,2016以上 ・PostgreSQL 9.2以上 ・MySQL 5.6以上 ・MariaDB 5.5/10.0以上 |