BLOG
人事ブログ
先週10/28(金)、毎月恒例の社内セミナーが開催されました。
今回のテーマは「SQL(エスキューエル)インジェクションとOracle Database Firewall(オラクルデータベースファイアウォール)」。
11月に発売となるOracle社の新製品「Oracle Database Firewall」について触れた今回のセミナー。メンバーも新製品に興味津々で、大いに盛り上がったセミナーの様子をどうぞご覧ください。
今回の講師は、麹町第一サポートチームと藤原さんと相川さん。
「新製品に直接触れる機会が少ないメンバーにも、ぜひ新しい技術を知ってもらいたい」とセミナー開催を申し出てくださいました。
藤原さん(左)と相川さん(右)。
お二人ともORACLE MASTER Platinum(オラクルマスタープラチナム)保持者です!
今回のAgendaはこちら↓
・SQLインジェクションとは?
・SQLインジェクション デモ演習
・Oracle Database Firewall
まず、「SQLインジェクション」について説明していきます。
SQLインジェクションの説明は藤原さんから。
デモ演習も交えた説明で理解が深まります
「SQLインジェクション」は、Webアプリケーション上でデータベースへの命令文を構築する際、入力値チェックの甘さが原因で、不正な入力値によってデータの改ざん等が行われてしまうといったWebアプリケーション上の脆弱性を狙った攻撃のことを言います。
例えば・・・
パスワードを入力すると通常は、入力された値が正しいかがチェックされ、そのパスワードに対応したユーザー名が返されるようになっています(図1)。
しかし、「SQLインジェクション」攻撃を受けると、パスワードの入力時に意図しないSQL文が挿入され、データベースに登録されている全ユーザー名が表示されてしまうといったことが起こります(図2)。こうしたことが、昨今大きなニュースとなっているような情報漏えい事故の発生に繋がっているわけです。
(図1) (図2)
こうした「SQLインジェクション」には、「入力値のチェック強化する」「バックエンドのデータベースエラーを隠す」「データベース側のアカウント管理を徹底する」といった対策が有効なのですが、著作権やコスト、システムの運用状況等さまざまな理由から、対策が遅れているのが現状です。
そこで出番となるのがOracle社の新製品である「Oracle Database Firewall」です。
ここからは藤原さんと交代して相川さんが「Oracle Database Firewall」の特徴やOracle社以外の製品との違いについて、分かりやすく説明してくださいました。
メンバーは新製品に興味津々。
質疑応答でもたくさんの質問が出て大いに盛り上がっておりました
セミナーの後は、恒例となっている参加したメンバーでの懇親会。
カンパーイ♪
懇親会では「実際現場で導入するには~」などとセミナーの続きで盛り上がっておりました。
チームを越えて交流できる場はいいですね。今後もいろいろなテーマで社内セミナーを予定しておりますので、楽しみにしていただければと思います☆