[https://www.youtube.com/watch?v=eKYVuBqYwN0:embed:cite]

平成27年秋期の情報セキュリティスペシャリスト試験を題材に、サクラ先輩とモモちゃんがY社のデータベース防衛に挑むストーリーです。同業他社での情報漏洩をきっかけに、委託先の特権ID管理や共用IDの脆弱性を監査し、安全なアクセス管理やログ保全の仕組みを構築します。レガシーな物理接続から最新のゼロトラストやクラウドPAMまで、時代を超えて変わらないセキュリティの原則を楽しく学べます。 この動画で学習すべき重要なキーワードについて説明します。まず特権ID管理です。システムを管理するための強力な権限を持つIDは、システム管理ID、DBMS管理ID、DBMS操作IDなどに分類されますが、これらを複数の担当者で使い回す共用ID運用には大きな落とし穴があります。誰がその操作を行ったのかがログから分からない、すなわち特定可能性が欠如してしまうという問題です。また、人間が操作する場合と業務アプリが自動実行する場合で同じDBMS操作IDを使っていると、ログ上で区別がつかなくなります。これらの問題を解決し、特定可能性を確保するための仕組みが踏み台サーバ戦略です。作業者はまず個人のIDで踏み台サーバにログインして本人認証を行い、そこから対象のサーバへは共用IDで自動ログインする仕組みを構築します。これにより、パスワードを直接教えることなく、誰がアクセスしたのかを把握できるようになります。このとき、攻撃者による改ざんや消去を防ぐため、踏み台サーバの操作ログは必ず別の管理用サーバに転送して隔離保管することが重要です。次に、ネットワークの防御に関するキーワードとしてエアギャップがあります。これは物理的にLANケーブルを抜き差しすることでネットワークを遮断するレガシーな手法ですが、接続した瞬間に無防備になる課題があります。現在では、この物理的な遮断を論理的なポリシーに置き換えたゼロトラストネットワークアクセスへの移行が主流であり、マイクロセグメンテーションなどの技術で論理的に同じ遮断効果を作ります。さらに現代のアクセス管理を支えるのがクラウドPAMです。多要素認証や、必要な時だけアクセス権を付与するジャストインタイムアクセスなどを組み合わせることで、自前で踏み台サーバを作らずにより強固なセキュリティを実現します。しかし、技術が物理的なケーブルからクラウド上の認証へと形を変えても、個人のIDと共用IDを紐付けるという論理や、セキュリティの目的は不変です。システム利用者を識別・認証し、誰が何をしたのかを追跡できるようにする責任追跡性の原則が重要となります。信頼し、かつ検証せよという考えのもと、技術的なゲートウェイの構築だけでなく、委託先のID管理規定など契約や監査といった人間側の管理も含めて対策を行うことがデータベース防衛の鍵となります。