こちらのイベントに参加してきた。OSSセキュリティナイターというイベントの3回目とのこと。参加者はスーツ系の方が8〜9割。普段エンタープライズな業務の方がOSS、今回ではMySQLのセキュリティどないやねんてことで聞きにきてるんでしょうね。

僕の場合は「MySQL x セキュリティ」という組み合わせが斬新だった（正直あんまり考えたことなかった）のでどんな感じかなと。

発表資料

サーバー/データベースにおけるOSSセキュリティ市場動向について

セキュリティ市場全体の動き、オープンソースにおけるセキュリティに対するLinux Foundationやデータベースのセキュリティ全般について簡単に紹介します。
MKTインターナショナル株式会社 代表取締役社長 赤井 誠

まずはDBとかOSSというよりもざっくりと今年のセキュリティ動向について。ランサムウェアによる被害が今年は大きく増加しているとのこと。たしかによく聞くようになってきた。今年はJTBや米ヤフーとか大規模な情報漏洩もあったなー。件数が増えたというよりもひとつひとつの破壊力が増してきた印象。

OSS周りの動向ではLinux Foundationを中心にCIIという組織が立ち上がり、OSS全般のセキュリティ向上を目指していく動きがあるとのこと。詳しくはこちら。IT関連の大企業が軒並み協賛（？）してる。

Home | Core Infrastructure Initiative

最後にセキュリティは製品でなくプロセスということをおっしゃってたけど、製品とか何かによって簡単に担保できるものじゃないってことだよね。

データベースセキュリティの基礎

データベースを利用するときに、気を付ける必要のあるデータベースに関する セキュリティについて、基礎からご紹介します。
サイオステクノロジー株式会社 面　和毅

発表者の面さんはSELinux出身のエンジニアとのこと。OSレベル、DBレベルそれぞれのセキュリティ対策について詳細な説明があった。

そもそもDBに関する標準的なセキュリティガイドラインはないものの、データベースセキュリティコンソーシアムのガイドラインはよいとのこと。これかな。

データベース・セキュリティ・コンソーシアム（DataBase Security Consortium） 成果物

あと印象的だったのは9月に話題になった脆弱性、CVE-2016-6662に関するお話。
影響を受けるバージョンの記述が1次情報から間違っていて書き直された経緯もあり、今でも間違ったままの情報を記載してる記事が多いとのこと。敬意を表し、面さんの書いた記事をはっておく。

昨今脆弱性が発表されるとSNSなんかで一気に爆発的な広がるので、1次情報をちゃんと見つけて冷静な判断と対応が必要だなとは思う。今回の場合みたいに1次情報からして間違ってるというのは例外としても。

あとは暗号化については透過的データ暗号化（TDE）というのが一つの解になりそう。これはアプリケーションが意識しなくても勝手にMySQLが暗号化して格納してくれるもの。鍵をどうのこうのというところはよく分かってないのであとで調べる。

もひとつメモ。マカフィーが出してるOSSのmysql audit pluginがあるとのことなので、監査ログが必要なときはとりあえずこれを試してみよう。

MySQLの最新情報とセキュリティについて

MySQL Firewall, Audit、暗号化等のMySQL Enterprise を中心にしたセキュリティについて説明します。 また、MySQLの最新ロードマップや事例についてもご紹介いたします。
日本オラクル株式会社 MySQL GBU 梶山 隆輔

個人的に本日の目玉。オラクル梶山氏の発表。セキュリティ以外の話も興味深いものがあった。特にマルチマスターで同期されるInnoDB Cluster。安定版がいつごろでるか来年早々に発表がありそうとのこと。

セキュリティについては、MySQL5.7からは初期設定値が5.6までと大きく方針が変わって、Secure by Defaultになっているとのこと。デフォルトでtestデータベースがなかったり。rootユーザーにランダムパスワードが設定されたり。パスワードのポリシーが厳しくなってたり。

とはいえやはりEnterprise（商用版）。MySQLでfirewall（クエリの）、暗号化、auditといったセキュリティ対策をやろうと思ったらそれしか選択肢はないようだ。そういう意味ではっきり答えがでたという意味で来た価値あったかな！早く資料見返して同僚にフィードバックしたいところ。

おわりに

登壇社のみなさま、サイオステクノロジー様、勉強させていただきありがとうございましたm(__)m