Oracle のデータベースを保護するサードパーティのソリューション

Oracle は四半期単位で定例セキュリティ更新『Critical Patch Update』(CPU) をリリースしており、対応するデータベースの脆弱性の数が2桁に及ぶことも珍しくない。しかし、Oracle のデータベース製品の安全性を高めるために、さらなる手段を求めるユーザーは、ただ四半期ごとの更新を待つ以外に、別のオプションを利用することもできる。

データベース セキュリティ ソフトウェアベンダーの Sentrigo は10月28日、Oracle のデータベースに対する、認証を必要としない攻撃を防ぐソリューションの最新版『Hedgehog 1.2』をリリースした。同ソフトウェアは、今回が初のメジャー アップグレードとなる。

Sentrigo の創立者で CTO (最高技術責任者) を務める Slavik Markovich 氏によると、Oracle 製品の脆弱性を悪用する SQL インジェクションなどの多くの攻撃では、ユーザー認証が必要ないという。

Markovich 氏は取材に対し、次のように述べている。「最新の定例セキュリティ更新で修正された一部の脆弱性は、こうした部類に属するものだ。定例セキュリティ更新を直ちに適用しない企業も多く、中には様々な理由により一切のセキュリティ更新を行なわない企業すら存在するため、こうした企業では脆弱性が放置されてしまう」

「Hedgehog は、そうした脆弱性の多くに対処するルールをあらかじめ定義しており、ダウンタイムを伴なわずに、セキュリティ更新プログラムを仮想的に適用する。これらのルールは、脆弱性の種類やユーザー設定に応じて、不審なセッションに対する警告を発したり、そのセッション自体を停止させることができる」

最新版となる Hedgehog 1.2 では、データベース防御をさらに高めるため、新たにスクリプト機能が加わった。旧版の Hedgehog では、警告の発信、Eメール送信、ログ記録、ユーザーセッションの終了など、定義済みのアクションのうち、1つまたは複数を発動するものだったという。

「当社は今回、これらのアクションにアクション スクリプトを追加した。これにより当社の顧客は、ルールを用いて独自のスクリプトを実行し、望み通りの挙動を設定できるようになる。たとえば、誰かにテキスト メッセージを送信したり、バックアップを実行したり、あるいはアプリケーションの終了や、レポート印刷を行なうことも可能だ」

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール