PR

 日本でデータベースのセキュリティに関する普及啓発活動をしている団体に「データベース・セキュリティ・コンソーシアム」(DBSC)がある。以前DBSCは、PCI DSSの要件を満たすためにデータベースで対応する必要がある項目を抽出して発表したことがある。ワーキンググループはこの資料をPostgreSQLに当てはめて対応可能かどうか確認した。

 PCI DSSはクレジットカード業界のセキュリティ基準ではあるものの、システムで実装すべき項目が詳細にまとめられているため、金融系以外でもセキュリティ基準として採用している企業は多い。

 PCI DSSでデータベースが対応すべき分野は大きく分けて三つ。アクセス制御、暗号化、ログ監査だ。どれもPostgreSQL単体では要件を満たせず、様々なソフトウエアとの組み合わせが不可欠、との結論だった。

 アクセス制御については、例えばPCI DSSではユーザーのアカウントに対して「XX日ごとにパスワードを変更させる」などの要件を定めている。要件を満たすには、LDAPやGSSAPI(Generic Security Standard Application Programming Interface)などの外部認証機能と組み合わせる必要がある。

 同様に要件の一つである不正アクセスのチェックやセッション情報の分析は、PostgreSQLでの解決策が示された。データベースへのアクセスは各種のログに履歴が残るものの、情報を得るにはgrepで検索したり、別のプログラムで抜き出したりする必要がある。そこで、ワーキンググループは、ログをデータベースに読み込んで、SQL文で情報を抽出する手法を紹介した。