 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
ラック、米Application Securityのデータベース向け脆弱性検査ソフトを発売 |
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
AppDetectiveは、システム内のデータベースアプリケーションを検知して、脆弱性の検査を自動で行うソフト。攻撃者の視点から検査を行うペネトレーションテスト(侵入検査)だけでなく、内部からの視点で、悪用可能な不備が存在するかどうかをチェックすることも可能。ソフトが持つ脆弱性に加え、設定不備、デフォルト状態のパスワードなど運用上の脆弱点を見つけ出すこともできる。対応するデータベースはOracle、SQL Server、DB2、MySQLなど。価格は年間35万円/データベース。 同ソフトを提供しているAppSecは2001年に設立された企業で、AppDetective以外にも、データベースに特化したIDS・監査ソフト「AppRadar」やデータベース暗号化ソフト「DbEncrypt」など、データベースセキュリティにフォーカスした製品群を販売している。同社の社長兼CEO、ジャック・ヘンブロー氏は、「不正アクセスの75%はアプリケーション層への攻撃だ」という米Gartnerの分析を引用し、既存のセキュリティでは防御は十分でないと主張。「企業はVPNなどのネットワークセキュリティに多大な投資をしてきたが、本当のリスクはデータベースに存在する」とし、同社製品のような、データベースを直接守るソリューションが必要になると述べた。 これはラックも同じ考えで、同社では2004年9月に日本オラクルとデータベースセキュリティ分野で協業したほか、日本オラクルなどとデータベースセキュリティコンソーシアムを設立したり、データベース関連の脆弱性・脅威を調査するデータベースセキュリティ研究所を社内に設立するなど、同分野での取り組みを着実に行ってきた。またその成果として、9月1日には、「データベースセキュリティ対策診断サービス」の提供を発表。今回のAppSecとの提携もこれらの取り組みの一環として行われているという。 一方実際の市場を見ると、米国ではSOX法(Sarbanes‐Oxley act、企業改革法)の観点などから、財務情報が納められているデータベースの正当性・妥当性を検証するための監査が必須となっており、データベースセキュリティ監査系ソリューションへの必要性が増大している状況。データベースベンダ側も、米Oracleが最新版のOracle Database 10g R2から暗号化機能を大幅に強化するなど、対応をはじめてはいるものの、まだ十分な対策は取られていないとして、ヘンブロー氏は同社の製品でうまく補完していけると述べた。 また日本でも、日本版SOX法の制定が視野に入れられている現在、セキュリティ監査の必要性が急速に高まってきている状況があり、市場規模としては十分に期待できる大きさになるという。ラックではこうした流れを受け、AppDetectiveの日本語対応ローカライズを実施するとともに、AppRadarの販売も早急に開始したい意向で、今後は代理店を通じた製品の販売のほか、パートナーへ製品を販売し、そこからサービスとして提供するような形も視野に入れている。販売目標は、2006年度が2億円、2007年度が3億円。 ■ URL 株式会社ラック http://www.lac.co.jp/ ニュースリリース(PDF) http://www.lac.co.jp/news/pdf/20050930.pdf ■ 関連記事 ・ ラック、データベースのセキュリティ状況を診断するサービス(2005/09/01)
( 石井 一志 )
|
