管理者は、データベースの利用者の管理を行う必要があります。管理者は、セキュリティ運用の観点からふさわしい人間を利用者として選任し、セキュリティポリシーに従うように、管理および教育の推進などを行う必要があります。
管理者による利用者の運用作業には、以下があります。
どんなに優れたセキュリティ製品を導入しても、利用者側の教育が不足していればセキュリティ運用は機能しません。利用者各人のセキュリティに対する認識を向上させるために、社内教育を徹底する必要があります。
利用者間に共通の目的と考えを浸透させることで、より強固なセキュリティシステムを確立する必要があります。
具体的には、定期的に行われる研修プログラムを導入するのが最も効果的です。
研修プログラムでは、セキュリティに関する基本的な知識の習得を目的とし、以下のような内容とします。
個人情報の保護
企業機密の取り扱い
電子メールの正しい使い方
ウィルス感染の防止と対策
さらに、企業の従業員が日常遭遇しやすい具体的な事例を提示し、自分ならどのような行動をするかを話し合います。
最後に、確認テストなどを実施して、学習の度合いを確認します。
利用者を登録する場合には、以下を考慮する必要があります。
認証方式
パスワード
適切な資源量
認証方式については、“2.2.3.1 認証と識別の方式”を参照してください。
パスワードについては、“2.2.3.2 パスワードのエージング制御”を参照してください。
利用者に設定する適切な資源量については、“2.2.6 実行資源の制御”を参照してください。
利用者として適当であると判断したら、環境構築の作業の中で、利用者の登録作業や権限の設定を行います。登録手続きが完了し、利用者に、パスワード、運用規則およびシステム構成などの情報を通知します。
なお、管理者から与えられたパスワードは仮のパスワードであるため、すぐに変更するように、利用者に指導します。
セキュリティシステムを利用するすべての利用者に対して、以下の観点で管理を行います。
業務内容に応じて必要最小限の権限を付与する。
資源へのアクセスを監査ログとして収集する。
利用者の登録内容の妥当性を定期的に検査する。
一定期間システムを使用していない利用者は権限を剥奪する。
パスワードの管理を徹底させる。
認証情報の適切な管理方法と離席時の処置を明示する。
監査ログに取得したデータを元に、利用者がデータの改ざんなどを行っていないかのチェックをします。
監査ログ表の中の、利用者のアプリケーション実行に関する情報、利用者の資源アクセスに関する情報、SQL文に関する情報およびSQL文の入力データに関する情報を参照することで、利用者が不正を行っていないかのチェックができます。
監査ログの参照方法の詳細については、“8.4 監査ログの参照”を参照してください。
