データベースのセキュリティ対策とは？アクセス制御と暗号化

1. アクセス制御

アクセス制御は、データベースのセキュリティの基本です。ユーザーと権限を適切に管理し、最小権限の原則に従うことで、不正アクセスを防ぐことができます。

-- MySQL: ユーザーの作成と権限の付与
CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'strong_password';

-- 特定のデータベースに対する権限
GRANT SELECT, INSERT, UPDATE ON mydatabase.* TO 'app_user'@'localhost';

-- 特定のテーブルに対する権限
GRANT SELECT ON mydatabase.products TO 'app_user'@'localhost';

-- 権限の確認
SHOW GRANTS FOR 'app_user'@'localhost';

-- 権限の取り消し
REVOKE DELETE ON mydatabase.* FROM 'app_user'@'localhost';

-- ユーザーの削除
DROP USER 'app_user'@'localhost';

-- PostgreSQL: ユーザーの作成と権限の付与
CREATE USER app_user WITH PASSWORD 'strong_password';

-- データベースへの接続権限
GRANT CONNECT ON DATABASE mydatabase TO app_user;

-- スキーマへの使用権限
GRANT USAGE ON SCHEMA public TO app_user;

-- テーブルに対する権限
GRANT SELECT, INSERT, UPDATE ON ALL TABLES IN SCHEMA public TO app_user;

-- 将来作成されるテーブルに対する権限
ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT, INSERT, UPDATE ON TABLES TO app_user;

-- 権限の確認
\du app_user

-- 権限の取り消し
REVOKE DELETE ON ALL TABLES IN SCHEMA public FROM app_user;

-- ❌ 悪い例（すべての権限）
GRANT ALL PRIVILEGES ON *.* TO 'app_user'@'%';

-- ✅ 良い例（必要最小限の権限）
GRANT SELECT, INSERT, UPDATE ON mydatabase.users TO 'app_user'@'localhost';
GRANT SELECT ON mydatabase.products TO 'app_user'@'localhost';

-- ロールの作成と使用（PostgreSQL）
CREATE ROLE developer;
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO developer;
GRANT developer TO app_user;

2. パスワードポリシー

強力なパスワードポリシーを設定することで、不正アクセスを防ぐことができます。パスワード検証プラグインを使用して、複雑なパスワードを要求します。

-- MySQL: パスワード検証プラグインの有効化
INSTALL PLUGIN validate_password SONAME 'validate_password.so';

-- パスワードポリシーの設定
SET GLOBAL validate_password.policy = STRONG;
SET GLOBAL validate_password.length = 12;
SET GLOBAL validate_password.mixed_case_count = 2;
SET GLOBAL validate_password.number_count = 2;
SET GLOBAL validate_password.special_char_count = 2;
SET GLOBAL validate_password.check_user_name = ON;

-- ユーザーの作成（パスワード検証が適用される）
CREATE USER 'user'@'localhost' IDENTIFIED BY 'StrongP@ssw0rd123';

-- パスワードの変更
ALTER USER 'user'@'localhost' IDENTIFIED BY 'NewStrongP@ssw0rd123';

-- パスワードの有効期限設定（MySQL 5.7.4+）
ALTER USER 'user'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;

-- PostgreSQL: パスワードの設定
CREATE USER app_user WITH PASSWORD 'StrongP@ssw0rd123';

-- パスワードの変更
ALTER USER app_user WITH PASSWORD 'NewStrongP@ssw0rd123';

-- パスワードの有効期限設定
ALTER USER app_user VALID UNTIL '2024-12-31';

-- pgcrypto拡張機能を使用したパスワードハッシュ化
CREATE EXTENSION IF NOT EXISTS pgcrypto;
SELECT crypt('password', gen_salt('bf'));

3. データの暗号化

データの暗号化は、転送中と保存時の両方で重要です。SSL/TLSを使用して転送中のデータを暗号化し、テーブルレベルやカラムレベルの暗号化を使用して保存データを保護します。

-- MySQL: SSL接続の要求
CREATE USER 'app_user'@'%' IDENTIFIED BY 'password' REQUIRE SSL;

-- 特定の証明書を要求
CREATE USER 'app_user'@'%' IDENTIFIED BY 'password' REQUIRE X509;

-- SSL接続の確認
SHOW VARIABLES LIKE 'have_ssl';
SHOW STATUS LIKE 'Ssl_cipher';

-- 接続時のSSL使用
-- mysql --ssl-mode=REQUIRED -u app_user -p

-- テーブルスペースの暗号化（MySQL 5.7+）
CREATE TABLE sensitive_data (
    id INT PRIMARY KEY,
    credit_card VARCHAR(255)
) ENCRYPTION='Y';

-- 既存テーブルの暗号化
ALTER TABLE sensitive_data ENCRYPTION='Y';

-- PostgreSQL: SSL接続の設定（postgresql.conf）
-- ssl = on
-- ssl_cert_file = 'server.crt'
-- ssl_key_file = 'server.key'

-- SSL接続の確認
SHOW ssl;

-- pg_hba.confでSSL接続を強制
-- hostssl all all 0.0.0.0/0 md5

-- pgcrypto拡張機能を使用したカラムレベルの暗号化
CREATE EXTENSION IF NOT EXISTS pgcrypto;

CREATE TABLE users (
    id SERIAL PRIMARY KEY,
    email VARCHAR(255),
    password_hash VARCHAR(255),
    credit_card TEXT
);

-- データの暗号化（INSERT）
INSERT INTO users (email, credit_card) VALUES (
    'user@example.com',
    pgp_sym_encrypt('1234-5678-9012-3456', 'encryption_key')
);

-- データの復号化（SELECT）
SELECT email, pgp_sym_decrypt(credit_card::bytea, 'encryption_key') AS credit_card
FROM users;

4. SQLインジェクション対策

SQLインジェクションは、最も一般的なデータベースセキュリティの脆弱性の一つです。パラメータ化クエリと入力検証を使用することで、SQLインジェクション攻撃を防ぐことができます。

// ❌ 悪い例（SQLインジェクション脆弱）
const email = req.body.email;
const query = `SELECT * FROM users WHERE email = '${email}'`;
const [rows] = await db.query(query);

// 攻撃例: email = "' OR '1'='1"
// 実行されるクエリ: SELECT * FROM users WHERE email = '' OR '1'='1'

// ✅ 良い例（パラメータ化クエリ）
const email = req.body.email;
const query = 'SELECT * FROM users WHERE email = ?';
const [rows] = await db.execute(query, [email]);

// パラメータは自動的にエスケープされるため、SQLインジェクション攻撃を防げる

# ❌ 悪い例（SQLインジェクション脆弱）
email = request.form['email']
query = f"SELECT * FROM users WHERE email = '{email}'"
cursor.execute(query)

# ✅ 良い例（パラメータ化クエリ）
email = request.form['email']
query = "SELECT * FROM users WHERE email = %s"
cursor.execute(query, (email,))

# 入力の検証とサニタイズ
import re
from html import escape

def validate_email(email):
    email_regex = r'^[^\s@]+@[^\s@]+\.[^\s@]+$'
    return re.match(email_regex, email) is not None

if not validate_email(email):
    raise ValueError('Invalid email format')

# HTMLタグのサニタイズ
sanitized_input = escape(user_input)
query = "INSERT INTO posts (content) VALUES (%s)"
cursor.execute(query, (sanitized_input,))

<?php
// ❌ 悪い例（SQLインジェクション脆弱）
$email = $_POST['email'];
$query = "SELECT * FROM users WHERE email = '$email'";
$result = mysqli_query($conn, $query);

// ✅ 良い例（プリペアドステートメント）
$email = $_POST['email'];
$stmt = $conn->prepare("SELECT * FROM users WHERE email = ?");
$stmt->bind_param("s", $email);
$stmt->execute();
$result = $stmt->get_result();

// 入力の検証
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
    die('Invalid email format');
}
?>

5. 監査ログ

監査ログは、データベースへのアクセスを記録し、異常なアクセスを検出するために重要です。一般クエリログとバイナリログを使用して、データベースの操作を記録します。

-- MySQL: 一般クエリログの有効化
SET GLOBAL general_log = 'ON';
SET GLOBAL log_output = 'TABLE';

-- ログの確認
SELECT * FROM mysql.general_log ORDER BY event_time DESC LIMIT 100;

-- ログの削除（古いログを削除）
DELETE FROM mysql.general_log WHERE event_time < DATE_SUB(NOW(), INTERVAL 7 DAY);

-- バイナリログの有効化
SET GLOBAL log_bin = 'ON';
SET GLOBAL binlog_format = 'ROW';

-- バイナリログの確認
SHOW BINARY LOGS;

-- 特定の時点のログを確認
-- mysqlbinlog binlog.000001

-- スロークエリログの有効化
SET GLOBAL slow_query_log = 'ON';
SET GLOBAL long_query_time = 1;  -- 1秒以上

-- PostgreSQL: ログ設定（postgresql.conf）
-- log_statement = 'all'  -- すべてのSQL文をログ
-- log_statement = 'ddl'  -- DDLのみログ
-- log_statement = 'mod'  -- DDLとDMLをログ
-- log_connections = on
-- log_disconnections = on
-- log_duration = on
-- log_line_prefix = '%t [%p]: [%l-1] user=%u,db=%d,app=%a,client=%h '

-- pgAudit拡張機能の有効化
CREATE EXTENSION IF NOT EXISTS pgaudit;

-- 監査ログの設定
ALTER SYSTEM SET pgaudit.log = 'all';
ALTER SYSTEM SET pgaudit.log_catalog = off;
ALTER SYSTEM SET pgaudit.log_parameter = on;

-- 設定の再読み込み
SELECT pg_reload_conf();

6. ファイアウォールとネットワークセキュリティ

ファイアウォールを使用して、データベースへのネットワークアクセスを制限します。特定のIPアドレスのみにアクセスを許可することで、不正アクセスを防ぐことができます。

# Linux: ufwを使用したファイアウォール設定
# MySQLのポート（3306）へのアクセスを制限
ufw allow from 192.168.1.0/24 to any port 3306

# PostgreSQLのポート（5432）へのアクセスを制限
ufw allow from 192.168.1.0/24 to any port 5432

# 特定のIPアドレスのみ許可
ufw allow from 192.168.1.100 to any port 3306

# MySQL: bind-addressの設定（my.cnf）
# bind-address = 127.0.0.1  # ローカルホストからのみ
# bind-address = 192.168.1.10  # 特定のIPアドレスのみ

# PostgreSQL: listen_addressesの設定（postgresql.conf）
# listen_addresses = 'localhost'  # ローカルホストからのみ
# listen_addresses = '192.168.1.10'  # 特定のIPアドレスのみ

# SSHトンネルの作成
# ssh -L 3306:localhost:3306 user@database-server
# ローカルの3306ポートがリモートの3306ポートに転送される

# AWS: セキュリティグループの設定
aws ec2 authorize-security-group-ingress \
    --group-id sg-12345678 \
    --protocol tcp \
    --port 3306 \
    --cidr 192.168.1.0/24

# Azure: ネットワークセキュリティグループの設定
az network nsg rule create \
    --resource-group myResourceGroup \
    --nsg-name myNSG \
    --name AllowMySQL \
    --priority 1000 \
    --source-address-prefixes 192.168.1.0/24 \
    --destination-port-ranges 3306 \
    --access Allow \
    --protocol Tcp

# Google Cloud: ファイアウォールルールの作成
gcloud compute firewall-rules create allow-mysql \
    --allow tcp:3306 \
    --source-ranges 192.168.1.0/24 \
    --target-tags database-server

7. 定期的なセキュリティ監査

定期的なセキュリティ監査により、脆弱なパスワード、不要なユーザー、不適切な権限を検出できます。定期的に監査を実施し、問題を早期に発見して対処することが重要です。

-- MySQL: ユーザーと権限の監査

-- すべてのユーザーの確認
SELECT user, host FROM mysql.user;

-- 管理者権限を持つユーザーの確認
SELECT user, host FROM mysql.user WHERE Super_priv = 'Y';

-- 脆弱なパスワードの確認（空のパスワード）
SELECT user, host FROM mysql.user WHERE password = '';

-- 権限の確認
SHOW GRANTS FOR 'user'@'host';

-- 不要なユーザーの削除
DROP USER 'old_user'@'localhost';

-- パスワードの有効期限の確認
SELECT user, host, password_expired, password_last_changed
FROM mysql.user
WHERE password_expired = 'Y';

-- 最近のログイン試行の確認
SELECT * FROM mysql.general_log
WHERE event_time > DATE_SUB(NOW(), INTERVAL 1 DAY)
AND argument LIKE '%Access denied%'
ORDER BY event_time DESC;

-- PostgreSQL: ユーザーと権限の監査

-- すべてのユーザーの確認
\du

-- 管理者権限を持つユーザーの確認
SELECT usename, usesuper FROM pg_user WHERE usesuper = true;

-- 権限の確認
SELECT grantee, privilege_type, table_name
FROM information_schema.role_table_grants
WHERE grantee = 'app_user';

-- 最近の接続の確認
SELECT usename, application_name, client_addr, state, query_start
FROM pg_stat_activity
WHERE state = 'active'
ORDER BY query_start DESC;

-- 失敗したログイン試行の確認（pg_stat_statementsが必要）
SELECT * FROM pg_stat_statements
WHERE query LIKE '%authentication%'
ORDER BY calls DESC;

8. ベストプラクティス

データベースのセキュリティには、多層的なアプローチが重要です。最小権限の原則、強力なパスワード、SSL/TLS、パラメータ化クエリなど、様々な対策を組み合わせることで、セキュリティを向上させることができます。

• 最小権限の原則: 必要最小限の権限のみ付与します。各ユーザーには、その役割に応じた権限のみを付与することで、セキュリティを向上させることができます。
• 強力なパスワード: 複雑なパスワードポリシーを設定します。パスワード検証プラグインを使用して、強力なパスワードを強制します。定期的にパスワードを変更します。
• SSL/TLS: 転送中のデータを暗号化します。SSL/TLSを使用することで、クライアントとサーバー間の通信を暗号化できます。
• パラメータ化クエリ: SQLインジェクション対策として、パラメータ化クエリを使用します。ユーザー入力をSQLクエリに直接埋め込むことを避けます。
• 入力検証: 入力データを検証し、不正なデータを拒否します。メールアドレス、電話番号、日付などの形式を検証します。
• 定期的な監査: ユーザーと権限を定期的に確認します。脆弱なパスワード、不要なユーザー、不適切な権限を検出し、対処します。
• ファイアウォール: ネットワークアクセスを制限します。特定のIPアドレスからのみアクセスを許可することで、不正アクセスを防ぎます。
• ログの監視: 異常なアクセスを検出します。監査ログを定期的に確認し、異常なアクセスパターンを検出します。自動監視ツールを使用して、異常なアクセスを検出した場合にアラートを送信します。
• セキュリティパッチの適用: データベースソフトウェアを定期的に更新し、セキュリティパッチを適用します。セキュリティアドバイザリを定期的に確認します。
• データの暗号化: 機密データは暗号化して保存します。テーブルレベルやカラムレベルの暗号化を使用して、データベースファイルが盗まれた場合でも、データを保護します。
• バックアップのセキュリティ: バックアップファイルも暗号化して保存します。バックアップへのアクセスを制限し、適切に保護します。
• セキュリティ教育: 開発者や運用者にセキュリティ教育を実施します。SQLインジェクション、パスワード管理、アクセス制御などのベストプラクティスを共有します。