データベースファイアウォール
データベースファイアウォール とは何ですか?
データベースファイアウォールアプリケーションと DB エンジンの間に置かれ、SQL 文を許可リストポリシーに照らして検査し、注入攻撃や権限悪用、不正な文を到達前に遮断するインライン制御。
データベースファイアウォールは、ネットワークプロキシ、エージェント、リバースプロキシゲートウェイのいずれかとしてアプリケーションと DB エンジンの間に配置され、SQL 文を正規化されたフィンガープリントに変換して学習済みのベースラインや手動で定義した許可リストと照合します。異常な文(怪しい UNION SELECT、OR 1=1、想定外の DDL、スプールテーブルへのエクスポート等)はブロックまたは隔離されます。Imperva SecureSphere DBF、Oracle Database Firewall(Audit Vault and Database Firewall)、DataSunrise、IBM Guardium といった製品が監視・遮断モードを備え、WAF や SIEM と連携します。観測とアラートに留まる DAM とは異なり、データベースファイアウォールは違反セッションをインラインで切断してポリシーを強制します。
● 例
- 01
恒等式型の SQL インジェクション("' OR 1=1 --")をプロキシで MySQL 到達前に遮断する。
- 02
アプリケーション用 JDBC ユーザーが呼び出せるストアドプロシージャを固定セットに限定する。
● よくある質問
データベースファイアウォール とは何ですか?
アプリケーションと DB エンジンの間に置かれ、SQL 文を許可リストポリシーに照らして検査し、注入攻撃や権限悪用、不正な文を到達前に遮断するインライン制御。 サイバーセキュリティの 防御と運用 カテゴリに属します。
データベースファイアウォール とはどういう意味ですか?
アプリケーションと DB エンジンの間に置かれ、SQL 文を許可リストポリシーに照らして検査し、注入攻撃や権限悪用、不正な文を到達前に遮断するインライン制御。
データベースファイアウォール はどのように機能しますか?
データベースファイアウォールは、ネットワークプロキシ、エージェント、リバースプロキシゲートウェイのいずれかとしてアプリケーションと DB エンジンの間に配置され、SQL 文を正規化されたフィンガープリントに変換して学習済みのベースラインや手動で定義した許可リストと照合します。異常な文(怪しい UNION SELECT、OR 1=1、想定外の DDL、スプールテーブルへのエクスポート等)はブロックまたは隔離されます。Imperva SecureSphere DBF、Oracle Database Firewall(Audit Vault and Database Firewall)、DataSunrise、IBM Guardium といった製品が監視・遮断モードを備え、WAF や SIEM と連携します。観測とアラートに留まる DAM とは異なり、データベースファイアウォールは違反セッションをインラインで切断してポリシーを強制します。
データベースファイアウォール からどのように防御しますか?
データベースファイアウォール に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
データベースファイアウォール の別名は何ですか?
一般的な別名: DB ファイアウォール, SQL ファイアウォール。