「データベースセキュリティガイドライン」第2版が発表 - PCI DSSとの対応表も

データベース・セキュリティ・コンソーシアム（DBSC）は、「データベースセキュリティガイドライン」の第2版を公開した。

同ガイドラインは、企業や組織におけるデータベースのセキュリティ対策について取りまとめたガイドライン。第1版は2006年に公開されており、今回改訂版となる第2版が公開された。

今回の改訂では、同コンソーシアムの実装ワーキンググループよる第1版へのフィードバックを反映。検知した不正アクセスを遮断する仕組みを設けることなど9項目について追加や変更を行った。

また企業が保有する情報について、個人情報や機密情報など重要度を踏まえて、セキュリティ対策について「必須」や「推奨」など重み付けが行われている。

さらに「ISO27001」「政府統一基準」といったフレームワークや「PCI DSS」の実装基準と、同ガイドラインの定義における対応関係についてマッピングを行い、一覧表にまとめた。すでにフレームワークを活用する組織において、より活用しやすいよう工夫されている。

今回の公開に合わせ、同コンソーシアムでは17日、都内で第4回データベース・セキュリティ・コンソーシアムセミナーを開催した。同イベントにおいてDBセキュリティガイドラインワーキンググループのリーダーを務める富士通大分ソフトウェアラボラトリの三河尻浩泰氏と同社大石卓哉氏が解説した。

フレームワークとの対応表がポイントのひとつとなっているが、三河尻氏によれば、改訂について2008年1月より作業を進め、11月にはほぼ作業が終了していたものの、実装面を強く意識したPCI DSSが登場したことから追加検証を急遽実施し、第2版に盛り込んだという。

解説を行った三河尻氏（左）と大石氏（右）

（Security NEXT - 2009/02/17 ）ツイート