SQL Server のことなら SQL Quality SQL Server パフォーマンス チューニング、コンサルティング、アドバイス、相談、定期診断、トレーニング

ホーム > 技術情報 > SQL Server 2012 自習書 セキュリティ

SQL Server 2012 自習書 「No.18 セキュリティ」(HTML 版)

松本美穂と松本崇博が執筆した完全オリジナル SQL Server 2012 自習書シリーズの「No.18 セキュリティ」の HTML 版です。 日本マイクロソフトさんの Web サイトで Word または PDF 形式でダウンロードできますが、今回、HTML 版として公開する許可をいただきましたので、ここに掲載いたします。[2013年12月29日]

目次へ | 前のページへ | 次のページへ

3.12 ビューを利用したセキュリティ強化

◆ ビューを利用したセキュリティ強化

ビューを利用すると、次のようにテーブルに対するアクセスを拒否して、ビューのみへアクセスさせることができます(ビューについては、本自習書シリーズの「SQL 基礎の基礎」で説明しています)。

00121

テーブルに対する「選択」権限を「拒否」(DENY)へ設定し、ビューに対する「選択」権限を「許可」(GRANT)へ設定すれば、ユーザーがテーブルへ直接アクセスすることを禁止して、見せても良い列だけを見せられるようになります(この例では、給与と入社日を UserX から隠すことができています)。

◆ Let's Try

それでは、これを試してみましょう。ここでは、社員テーブルをもとにしたビューを作成して、上の図と同じように権限を設定し、ビューのみへアクセスできることを確認しましょう。

1.まずは、ツールバーの[データベース エンジン クエリ]ボタンをクリックして、「Windows 認証」を使用して、Administrator(管理者アカウント)でクエリ エディターを起動します。

00122

2.クエリ エディターが開いたら、次のように入力して、「社員」テーブルから「社員番号」と「氏名」のみを取得したビューを作成します。

USE sampleDB
go
CREATE VIEW 社員view
AS
 SELECT 社員番号氏名 FROM 社員

00123

ここでは、スキーマ名を省略していますが、管理者アカウントでオブジェクトを作成した場合は、「dbo スキーマ」内へ格納されます。

3.ビュー]フォルダーに作成した「dbo.社員view」ビューが追加されていることを確認できます(表示されない場合は、[ビュー]フォルダーを右クリックして、[最新の情報に更新]をクリックします)。

00124

4.次に、新しくログイン アカウントを作成します。[セキュリティ]フォルダーの[ログイン]を右クリックして、[新しいログイン]をクリックします。

00125

ログイン - 新規作成]ダイアログでは、[SQL Server 認証]をチェックして、[ログイン名]へ「sqlUser05」など任意の名前を入力します。[パスワード]と[パスワードの確認入力]へは、「P@ssword」など任意のパスワードを入力して、[ユーザーは次回ログイン時にパスワードを変更する]のチェックを外します。

5.続いて、データベース ユーザーとして登録するために[ユーザー マッピング]ページを開きます。

00126

sampleDB」データベースをチェックして、[OK]ボタンをクリックします。

6.次に、作成した sqlUser05 ユーザーに対して「dbo.社員view」ビューへの「選択」権限を「許可」します。次のように、[ビュー]フォルダーの「dbo.社員view」ビューを右クリックして、[プロパティ]をクリックします。

00127

ビューのプロパティ]ダイアログでは、[権限]ページを開き、[検索]ボタンをクリックします。

7.ユーザーまたはロールの選択]ダイアログが表示されたら、[参照]ボタンをクリックします。

00128

オブジェクトの参照]ダイアログでは、[sqlUser05]ユーザーのチェックをして、[OK]ボタンをクリックします。

ユーザーまたはロールの選択]ダイアログへ戻ったら、[OK]ボタンをクリックしてダイアログを閉じます。

8.ビューのプロパティ]ダイアログへ戻ったら、[ユーザーまたはロール]へ「sqlUser05」ユーザーが追加されていることを確認して、「選択」権限の[許可]をチェックし、[OK]ボタンをクリックします。

00129

これで sqlUser05 ユーザーに対して、「社員view」ビューへの選択権限を付与することができました。

9.次に、sqlUser05 ユーザーに対して、「社員」テーブルへの選択権限を「拒否」します。選択権限を拒否するには、[テーブル]フォルダーの「dbo.社員」テーブルを右クリックして、[プロパティ]をクリックします。

00130

テーブルのプロパティ]ダイアログでは、[権限]ページを開き、[検索]ボタンをクリックします。

10.ユーザーまたはロールの選択]ダイアログが表示されたら、[参照]ボタンをクリックします。

00131

オブジェクトの参照]ダイアログでは、[sqlUser05]ユーザーをチェックして、[OK]ボタンをクリックします。

ユーザーまたはロールの選択]ダイアログへ戻ったら、[OK]ボタンをクリックしてダイアログを閉じます。

11.次のように、[ユーザーまたはロール]へ「sqlUser05」ユーザーが追加されていることを確認して、「選択」権限の[拒否]をチェックして、[OK]ボタンをクリックします。

00132

これで sqlUser05 ユーザーに対して、「社員」テーブルへの選択権限を拒否することができました。

12.設定後、sqlUser05 でログインして、テーブルやビューを参照できるかどうかを試してみましょう。ツールバーの[データベース エンジン クエリ]ボタンをクリックして、sqlUser05 ログイン アカウントでログインします。

00133

データベース エンジンへの接続]ダイアログでは、[認証]で「SQL Server 認証」を選択して、[ログイン]へ「sqlUser05」、[パスワード]へ「P@ssword」と入力し、[接続]ボタンをクリックします。

13.クエリ エディターが開いたら、次のように入力して、「社員」テーブルを SELECT します。

USE sampleDB
SELECT FROM 社員

00134

結果は、エラーとなり、選択権限が「拒否」されていることを確認できます。

14.次に、「社員view」ビューに対して SELECT してみましょう。

SELECT FROM 社員view

00135

今度は、成功して「社員番号」と「氏名」を取得できていることを確認できます。

このように、ビューを利用すると、テーブルの見せたい列のみを見せられるようになり、一般ユーザーに対しては、機密情報などを隠すことができるようになります(セキュリティを強化できます)。

Note: ストアド プロシージャによるセキュリティの強化
ストアド プロシージャについては、本自習書シリーズの「開発者のための Transact-SQL 応用」編で詳しく説明していますが、ストアド プロシージャを利用しても、ビューと同じようにセキュリティ強化を実現することができます。ストアド プロシージャに対する「実行」(EXECUTE)権限を付与して、テーブルに対する権限を「拒否」(DENY)しておけば、テーブル構造を隠ぺいしたデータ アクセスを実現することができます。
このようにビューとストアド プロシージャを利用して、セキュリティ強化を行うことは非常に重要です。アプリケーション(を利用するユーザーやアプリケーション内で利用している内部ユーザー)からは、テーブルへ直接アクセスできないようにし、ビューやストアド プロシージャのみへアクセスできるようにするわけです。こうすることで、アプリケーション ユーザーからの想定外の攻撃を防ぐことができます。これは、J-SOX 法(日本版 SOX 法)や情報漏えい対策など、コンプライアンス(法令遵守)を実現するうえで欠かせない実装になります。コンプライアンスでは、アカウント管理とオブジェクト権限による管理が非常に重要になります。
また、コンプライアンスでは、特権ユーザー(sa や管理者アカウント)による操作の監査(ログ記録)も非常に重要になります。これらの機能については、次の Step 以降で詳しく説明しています。

目次へ | 前のページへ | 次のページへ

SQL Server 2014 CTP2 インメモリ OLTP 機能の概要
SQL Server 2012 の教科書
SQL Server 2014 CTP2 インメモリ OLTP 機能の概要 (Amazon Kindle 書籍)
SQL Server 2012 の教科書(ソシム)

事例1

SQLQualityは執筆とセミナーを通じて技術の啓蒙やエンジニアの育成支援も行っています
最新刊
SQL Server 2016 の教科書
SQL Server 2016 の教科書(ソシム)

弊社オリジナル制作の
SQL Server 2016 自習書も
マイクロソフトのサイトで公開中!
ダウンロードはこちら
セミナー風景
セミナー風景

ロングセラー
ASP.NET でいってみよう  SQL Server 2000 でいってみよう
ASP.NET でいってみよう
第7刷 16,500 部発行
SQL Server 2000 でいってみよう
第12刷 28,500 部発行
SQL Server 2014 CTP2 インメモリ OLTP 機能の概要
SQL Server 2014 CTP2 インメモリ OLTP 機能の概要(Amazon Kindle 書籍)

弊社執筆の
SQL Server 2014 自習書
マイクロソフトのサイトで公開中
目次はこちら

弊社執筆の
SQL Server 2012 自習書
マイクロソフトのサイトで公開中
ダウンロードはこちら
松本美穂のコラム
(公開活動などのお知らせ)

第60回:SQL Server 2017 自習書 No.3「SQL Server 2017 Machine Learning Services」のご案内
第59回:SQL Server 2017 自習書 No.2「SQL Server 2017 on Linux」のご案内
第58回:SQL Server 2017 自習書 No.1「SQL Server 2017 新機能の概要」のご案内
第57回:SQL Server 2017 RC 版とこれまでのドキュメントのまとめ
第56回:「SQL Server 2016 への移行とアップグレードの実践」完成&公開!
第55回:書籍「SQL Server 2016の教科書 開発編」(ソシム)が発刊されました
第54回:「SQL Server 2016 プレビュー版 Reporting Services の新機能」自習書のお知らせ
第 53 回:SQL Server 2016 Reporting Services の新しくなったレポート マネージャーとモバイル レポート機能
第 52 回:SQL Server 2016 の自習書を作成しました!
第 51 回:PASS Summit と MVP Summit で進化を確信!
第 50 回:新しくなった Power BI(2.0)の自習書を作成しました!
第49 回:Excel 2016 の Power Query を使う
第 48 回:新しくなった Microsoft Power BI ! 無料版がある!!
第 47 回:「Microsoft Azure SQL Database 入門」 完成&公開!
第 46 回:Microsoft Power BI for Windows app からの Power BI サイト アクセス
第 45 回:Power Query で取得したデータを PowerPivot へ読み込む方法と PowerPivot for Excel 自習書のご紹介
第44回:「SQL Server 2014 への移行とアップグレードの実践」ドキュメントを作成しました
第43回:SQL Server 2014 インメモリ OLTP 機能の上級者向けドキュメントを作成しました
第42回:Power Query プレビュー版 と Power BI for Office 365 へのクエリ保存(共有クエリ)
第41回:「SQL Server 2014 CTP2 インメモリ OLTP 機能の概要」自習書のお知らせです
第40回: SQL Server 2012 自習書(HTML版)を掲載しました
第39回: Power BI for Office 365 プレビュー版は試されましたか?
第38回: SQL Server 2014 CTP2 の公開
第37回: SQL Server 2014 CTP1 の自習書をご覧ください
第36回: SQL Server 2014 CTP1 のクラスター化列ストア インデックスを試す
第35回: SQL Server 2014 CTP1 のインメモリ OLTP の基本操作を試す
第34回: GeoFlow for Excel 2013 のプレビュー版を試す
第33回: iPad と iPhone からの SQL Server 2012 Reporting Servicesのレポート閲覧
第32回: PASS Summit 2012 参加レポート
第31回: SQL Server 2012 Reporting Services 自習書のお知らせ
第30回: SQL Server 2012(RTM 版)の新機能 自習書をご覧ください
第29回: 書籍「SQL Server 2012の教科書 開発編」のお知らせ
第26回: SQL Server 2012 の Power View 機能のご紹介
第25回: SQL Server 2012 の Data Quality Services
第24回: SQL Server 2012 自習書のご案内と初セミナー報告
第23回: Denali CTP1 が公開されました
第22回 チューニングに王道あらず
第21回 Microsoft TechEd 2010 終了しました
第20回 Microsoft TechEd Japan 2010 今年も登壇します
第19回 SQL Server 2008 R2 RTM の 日本語版が公開されました
第18回 「SQL Azure 入門」自習書のご案内
第17回 SQL Server 2008 自習書の追加ドキュメントのお知らせ
第16回 SQL Server 2008 R2 自習書とプレビュー セミナーのお知らせ
第15回 SQL Server 2008 R2 Reporting Services と新刊のお知らせ
第14回 TechEd 2009 のご報告と SQL Server 2008 R2 について
第13回 SQL Server 2008 R2 の CTP 版が公開されました
第12回 MVP Summit 2009 in Seattle へ参加

技術コミュニティでも活動中
松本崇博 Blog(SQL Server Tips)
松本美穂ブログ(SQL Serverノート)