ヒント: SQL Server の攻撃対象領域を構成する

セキュリティとは、システムへの十分な防壁を築いて、攻撃によって得られるデータがもたらすメリットよりもシステムを攻撃するのに必要な労力の方が大きくなるようにする活動のことです。さまざまな攻撃を阻止するために、システムは、攻撃者の行く手を阻むいくつかの防壁を築く "多層防御" アプローチを利用します。

インスタンスのインストール中に、許可される認証モードを指定することができます。インスタンスへのアクセスを Windows ログインのみに限定すると、そのインスタンスに接続するユーザーは皆まず Windows ドメインに対して認証しなければならないことになるので、さまざまな方法の攻撃を阻止することができます。

インスタンスをインストールしたら、リモート接続が可能になるようにネットワーク プロトコルを構成することができます。リモート接続が有効になっていない場合、攻撃者は、まず、インスタンスが実行されているコンピューターにアクセスできるようになる必要があります。リモート接続と認証モードの構成は、インスタンスを守るための最初のセキュリティの層となります。
SQL Server 内の各機能は機能へのアクセスを提供しますが、同時に、システムへの侵入手段も攻撃者に提供します。インスタンスへの攻撃に利用される可能性が最も高いのは、外部のインターフェイスを公開する機能またはアドホック実行機能です。SQL Server インスタンスをインストールすると、コア エンジンの実行に必要でない機能は既定ではすべて無効になっています。

システム ストアド プロシージャ sp_configure を実行して、インスタンス内の機能を有効または無効にすることができます。sp_configure はいくつかの内部機能に対して使用されますが、オプションがインスタンスの攻撃対象領域にどのように適用されるかを以下に示します。以下に示す機能のうち、特に使用していないものは、無効にしておく必要があります。

Ad Hoc Distributed Queries
ユーザーによる OPENROWSET および OPENDATASOURCE の実行を許可します。パスワードはクエリのテキストに埋め込まれるので、ログインとパスワードが攻撃者に公開されます。リモート データ ソースに頻繁にアクセスする必要がある場合は、リンク サーバーを使用してください。

CLR Enabled
共通言語ランタイム (CLR) が有効になっている場合、C#.NET などの .NET 言語で記述されたトリガー、関数、およびストアド プロシージャを SQL Server エンジン内で実行することができます。CLR が無効になっている場合、CLR ルーチンを実行することはできません。

複数データベースの組み合わせ所有権 (CDOC)
所有権の継承が維持されていれば、ユーザーが権限の再チェックを受けることなく複数のデータベース間を移動できるようにします。

データベース メール
データベース メール機能を使用できるようにします。

拡張キー管理
承認された拡張キー管理 (EKM) ソフトウェアで、インスタンス内で使用される暗号化キーを管理できるようにします。

FILESTREAM アクセス レベル
インスタンス内の FILESTREAM 機能を有効にします。1 に設定すると、T-SQL を使用して FILESTREAM データを操作することができます。2 に設定すると、Windows API を使用してアプリケーションから直接 FILESTREAM データを操作することができます。

OLE Automation Procedures
OLE オートメーション プロシージャを実行できるようにします。すべての OLE オートメーション プロシージャは、より柔軟で安定している CLR プロシージャに置き換えることができます。

Remote Admin Connections
専用管理者接続 (DAC) にリモート接続できるようにします。リモート管理接続が有効になっていない場合は、DAC への接続を作成する前に、まず、インスタンスが実行されているコンピューターのデスクトップに接続する必要があります。

SQL Mail XPs
下位互換性のため、SQL Mail 機能を有効にします。すべての SQL Mail 機能は、データベース メールに置き換える必要があります。

Xp_cmdshell
オペレーティング システム コマンドを実行できるようにするため、xp_cmdshell を使用できるようにします。