コモンクライテリアセキュリティ認証を取得した貴重な存在

セキュリティの重要性は増す一方です。PwCの最近のレポートによると、2015年のセキュリティインシデント数は、2014年と比べて38%増加しています。リスクが増大すると、それに伴う支出も増えます。ガートナーが最近発表したレポートでは、2015年のセキュリティ関連の支出は世界全体で769億ドルに達しており、2020年には1700億ドルに増えることが予想されています。わずか5年で100%を超える成長率です。

もちろん、企業はセキュリティに対してよりプロアクティブなアプローチを取り始めています。そして、適切なエンタープライズデータベースを選択することが、データを安全に保つための重要な要素となっています。MarkLogicがコモンクライテリアセキュリティ認証を取得したことに関する最近のプレスリリースを受けて、なぜセキュリティ認証が重要なのかについて、MarkLogic主席セキュリティエンジニアのTom Thomassenに話を聞きました。Tomは、2015年にMarkLogicに入社しました。20年以上もテクノロジー業界に携わり、シマンテックで10年以上にわたって製品開発やセキュリティ標準に取り組んできた経験があります。


私:MarkLogicはコモンクライテリア認証を取得しました。そもそもこの認証はどのようなものでしょうか?

トム:おっしゃるとおり、私たちはMarkLogic8のコモンクライテリア認証プロセスを終えたばかりです。情報技術セキュリティ評価のためのコモンクライテリアは、セキュリティの国際標準です。この認証を受けることで、ベンダーは自分たちのセキュリティへのコミットメントと、お客様にセキュリティを提供する能力を証明できます。

認証を取得するまでのプロセスは非常に厳格です。認証機関がMarkLogicデータベースのセキュリティターゲットに対して一連のテストを実施し、予測される結果が得られるか確認します。認可や認証、脆弱なセキュリティ(例:クロスサイトリクエスト偽装)など、さまざまな分野のテストが実施され、すべての分野で良好な結果とならない限り認証プロセスに合格できません。MarkLogicクラスタを特定の方法でセットアップすることが認証の対象作業となる場合、彼らはその製品がMarkLogicのマニュアルどおりに動作するか確認します。


私:コモンクライテリア認証はなぜ重要なのでしょうか?

トム: トム:コモンクライテリアは、データベースも含めたIT製品向けのセキュリティ認証として、世界で最も広く認知されています。米国、カナダ、インド、日本、オーストラリア、マレーシア、EU諸国をはじめ、25か国が、相互にこの認証を認めています。

FIPS 140FIPS 140など、MarkLogicがサポートするその他の標準も同じく重要ですが、それらはコモンクライテリアよりも対象地域が絞り込まれています。コモンクライテリアは広く認知されている認証ですし、オラクル、マイクロソフト、IBMなどあらゆる大手ベンダーが継続的に認証を受けている標準です。なかには、毎年認証を受けているベンダーもいます。これまでにコモンクライテリア認証を受けたデータベースは全部で6つしかありません。そのなかにMarkLogicが入っていることを誇りに思います。

コモンクライテリアは、お客様が特に求めている認証でもあります。お客様はデータベースのセキュリティの重要性を認識してます。データベースを実稼動させてから脆弱なセキュリティを自分たちで発見するよりも、購入する製品が第三者の専門家によってすでにテスト済みであることを確認したいと考えています。

テストのもう1つの要素は、製品の提供方法の評価です。ソフトウェアを提供し、お客様の環境にインストールして、使用するまでのプロセスを評価します。これは見逃されがちなことですが、MarkLogicは、提供方法に高いレベルの一貫性を維持することが重要だと考えています。この点についてはコモンクライテリア認証も同様の考え方であり、私たちはそれをうれしく感じています。


私:コモンクライテリアは、他のNoSQLベンダーからMarkLogicを差別化するのに役立ちますね。

トム:まさにその通りです。弊社はNoSQLデータベースとして初めて、MarkLogic 4で認証を受け、MarkLogic 6も認証されました。そして今回、MarkLogic 8で認証を受けましたが、MarkLogicは現在まで、この認証を受けた唯一のNoSQLデータベースです。これは他の製品との大きな違いです。コモンクライテリアは業界の標準であっても、NoSQLベンダーにとっては標準になっていないようですね。

注:認証を受けたデータベースのリストはこちらで確認できます。


私:MarkLogicのセキュリティが他と違う点は、どのようなところですか?

トム:MarkLogicは基幹業務に対応したエンタープライズグレードのデータベースに必要とされるすべてのセキュリティ機能を備えています。当たり前のことのように聞こえますが、驚くことに、他の多くのNoSQLデータベースは基本機能であると思われるようなエンタープライズ機能を備えていない場合が多いのです。

1つの例は、きめ細かいアクセス認証の機能です。MarkLogicは、RBAC(ロールベースのアクセス制御)を使って、きめ細かいアクセス認証を実現します。ユーザーがMarkLogicに保存されたドキュメントにアクセスするには、認証されたロールを持っている必要があります。基本的に、ユーザーがデータベースにクエリを実行する前には「見えないクエリ」が実行されています。これは、そのユーザーが、特定のドキュメントを閲覧するための適切なロールを持っているかを確認するためのものです。このきめ細かいアクセス制御は、非エンタープライズデータベースのベンダーが一般的に使用する「すべてかゼロか( all-or-none-access)」のアクセスメカニズムよりも優れています。


私:ACIDトランザクションという機能があります。これがセキュリティ機能と見なされることがあるという記事を読みました。この機能はセキュリティとどう関係していますか?

トム:ACIDトランザクションをセキュリティの機能として考えていない方が多いのですが、これはセキュリティの機能です。セキュリティは、”CIA”の3つの要素で成り立ちます。CIAの文字はそれぞれ、情報の「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)をあらわします(ラングレイにある3文字で表される情報機関のことではありません)。ACIDトランザクション無しではデータベースがデータを失ったり、データの一貫性が損なわれてしまうような事態が発生する可能性があります。トランザクションの一貫性は高可用性とデータの正確性を保つためには必須であり、完全性と可用性はセキュリティの3要素の欠くことができない一部なのです。

MarkLogicは唯一ACIDトランザクションをサポートする優れたNoSQLデータベースベンダーです。また、高可用性と災害復旧の機能を提供し、バックアップと復旧に必要なサポートも充実させています。要するにセキュリティとは例外なくデータを保護して安全に維持することであり、MarkLogicにはCIAの3要素に重点的に取り組んできた長い歴史があるのです。


私:新しくMarkLogicのお客様となった方に向けたセキュリティに関するアドバイスはありますか?

トム:データベースのセキュリティのあらゆる部分を人間の活動を優先して減らしてはいけません。その意味することは、ユーザーがどのようにテクノロジーと関るかについて詳細に理解し、データベースがセキュリティと可用性の機能を持っているからといって、自社や自組織のデータに問題が生じるはずが無いなどとは考えないことです。人間の要素を必ず考慮に入れなければいけません。ユーザーがどのようにソフトウェアを使い、ソーシャルエンジニアリングのためにアクセスコントロールを妥協してしまったり、他にも物理セキュリティやネットワークセキュリティにも気を配る必要があります。

インターネットと接続されたNoSQLデータベースでセキュリティを考慮せずに設定されたり、重要なデータが無防備にさらされているものについて、数多くのレポートや記事が発表されています。このようなケースの多くでデータが無防備に放置されている理由は、管理者がセキュリティに十分配慮した設定をする時間がとれなかったことにあるでしょう。弊社ではMarkLogicのセキュリティを簡単に設定して利用できるようにすることに注力しています。とはいえ、十分なセキュリティを保つことの責任のある部分はユーザーで持っていただく必要があります。別な言い方をすれば、破ることのできない鍵をかけられる箱をご用意することはできますが、誰が鍵を持つかはユーザーに決めていただかなくてはならないのです。

同時にセキュリティに対する会社の一般的な見解をまとめることも大切です。一部の企業や組織では、データの整合性と使いやすさを促すという名目でセキュリティを犠牲にすることがあります。しかし、この考え方は誤った二分法です。例えば、MarkLogicは、主要なエンタープライズ機能をすべて搭載しようと最初から熱心に取り組んできました。政府機関や金融サービスといった、一般的に最も厳格なセキュリティ要件が適用されるミッションクリティカルな用途にMarkLogicが採用されるのは、この姿勢が理由の1つです。

注:MarkLogicのセキュリティについての詳しい情報は、こちらの資料をご確認ください。