DB監査製品の選定でチェックしたい3つのポイント:コンプライアンス時代のDB監査術
今日の企業システムにおいて、データベースと連携しないものを見つけることは難しいにもかかわらず、データベースのセキュリティは意外なほどもろい状態であることが多い。監査法人からの指摘を受けやすいデータベースセキュリティで支持を集めているDB監査製品について、その選定の際にチェックしたいポイントをまとめた。
データベースセキュリティは内部からの驚異への備えでもある
今日の企業システムにおいて、データベースと連携しないものを見つけることは難しい。しかし、企業のセキュリティ対策で、データベースセキュリティまで手掛けている企業はまだまだ少ない。企業の重要な情報資産が格納されている場所であるにもかかわらず、である。
セキュアなシステム構築において重要な位置を占める、データベースのセキュリティ対策は、基本的にはWebサーバやメールサーバなどのそれと変わらない。つまり、「意図しないアクセスを防ぐ」ことがその第一歩となるが、想定される攻撃者が外部だけとは限らない点が問題を難しいものにしている。
企業の情報漏えいが報道される際、その犯行が内部関係者によるものであるケースは珍しくない。これは、アクセス権限を持つユーザーに対して、データベースが、常にもろい状態にあることに起因する。例えば、アプリケーション側で承認フローを整備したとしても、バックエンドのデータベースに格納されているデータを直接改ざんされては意味がないし、データベースへのアクセス権限をかけたとしても、アクセス権限を持ったユーザーが悪意を持って不正操作を行うような場合はそれを阻むすべがない。「身内を疑うなどとんでもない」と思われるかもしれないが、リスクとして存在する以上、その対策を立てるべきであるし、個人情報保護や内部統制といったコンプライアンス対応の一環としてもこの部分から目を背けてはならないのである。
DB監査製品の本命「監査ログ方式」
データベースセキュリティの必要性が指摘されるようになって以降、さまざまなベンダーからデータベースセキュリティ製品が提供されてきたが、その中でも一般的なのが「監査ログ方式」と呼ばれる方式を採用したDB監査製品である。
監査ログ方式では、データベースに対するアクセスログを監視するもので、ユーザーに対しては、不正な行為に対する抑止力として、また、運用面では疑わしいクエリやイベントをいち早く検知し、不正アクセスを防止することを可能にする。さらに、万が一不正アクセスが発生した場合には、その原因究明に役立つのはいうまでもない。提供形態はソフトウェアもしくはアプライアンスとして用意されることが多い。
こう書くと、各データベースが標準で備えている監査ログ機能との違いが気になる方もいるかもしれない。しかし、データベースが備えている監査機能は基本的にはログの記録だけであり、不正アクセスに対して能動的に機能するものではない。また、出力されるログはデータベース製品によって異なる部分もあるなど、使い手を選んでいるところもある。これに対して監査ログ方式を採用した製品は、データベースが備える監査ログ機能に、監査担当者への連絡や、リポーティング機能を補完する。
以下では、監査ログ方式を採用した製品を検討する際のチェックポイントを3つ紹介しよう。
監査ログの取得方式
DB監査製品の中には、データベースが備える監査ログ機能を利用するのではなく、エージェント型、あるいはパケットキャプチャ型の方式を採用し、データベースサーバの負荷を抑えるものもある。データベースが備える監査ログ機能を利用した製品は、取得できる監査ログが豊富だが、データベースに掛かる負荷は3つの方式の中で最も大きくなる。また、監査対象となるデータベース内にの監査証跡を残すということは、特権を保有したユーザーであれば監査証跡を改ざんできてしまう可能性を残すことになるため、内部の驚異に対しては万全ではないということに留意する必要がある。
一方、パケットキャプチャ型の製品は、スイッチのミラーポートを利用してパケット転送を行うため、データベースの負荷やディスク容量はほぼ無視でき、また、システム構成への変更もわずかで済む。ただし、ネットワークを介さず、データベースを直接操作するような場合には、監査ログが取得できないケースもある。また、一般的にはデータベース管理者と監査担当者は別の人間/組織であることが望まれるため、監査ログをデータベース管理者と分離できるパケットキャプチャ型の製品は人気を集めている。そして、両者の中間に位置するのがエージェント型といえる。エージェント型では、サンプリング周期を短くしないと、監査ログを取りこぼす可能性があることなどに注意したい。
| 分類 | メリット | デメリット |
|---|---|---|
| DB監査ログ利用型 | ログの取得漏れがない | DBの負荷が高い |
| エージェント型 | DBの負荷を抑えられる | サンプリング間隔によってはログの取りこぼしが発生する可能性がある |
| パケットキャプチャ型 | DBへの負荷がほぼかからない システムへの変更を最小限に抑えて導入が可能 |
DBAのローカルアクセスに対応できない |
リポーティング機能
DB監査製品の肝はリポーティング機能にあるといっても過言ではない。監査担当者にとって重要なのは、出力されたログから問題点がすぐに把握でき、その対応を検討できることである。そこでは技術的な内容が細かく記されているものよりは、緊急度などが明確かつ端的にリポートされている方が業務上有益である。データベース管理者にとって有益なリポートと、監査担当者にとって有益なリポートは異なるということを念頭に置いた上で、DB監査製品で提供されるリポーティング項目の中に、本当に必要なものがどれだけあるか、それらが分かりやすい表現で出力されるかなどを慎重に検討することが望ましい。
不正アクセスへの能動的な対応
これまで解説してきたように、不正なアクセスを検知し、それを監査担当者などに伝えるという機能は、ほとんどのDB監査製品が標準で備えている。しかし、これらは基本的に事後の対応となる。このため、能動的な対応を可能にするなど、付加機能を備えたDB監査製品も登場しつつある。
例えば、あらかじめポリシーを定義しておいて、それに違反するアクセスを強制的に遮断する機能などがそれに当たる。また、アクセスログだけでなく、パフォーマンスチューニングに役立つレスポンスログを取得できるものも存在する。データベース全体の保守/メンテナンス面という観点からすれば、こうした付加機能を備えた製品を選択することがTCOの削減に貢献するといえるだろう。
監査法人から指摘されないデータベース環境の構築は急務
データベースに限らず、脅威を完全に予防することは困難である。しかし、そうした予防のための施策が十分に採られていなかったのがこれまでのデータベースである。今後、法規制などによって、データベースに格納される情報の正当性と安全性を担保する必要がますます高まると思われる。DB監査製品は、不正アクセスを検知するだけでなく、図らずも不正アクセスが発生した場合の証跡となることから、データベースセキュリティ対策の主力となっていくことが予想される。こうした部分は監査法人から指摘を受けやすい個所である。自社のデータベースが外部だけでなく、内部の驚異からもきちんと保護されているかどうかを再度確認し、しかるべき施策を速やかに検討したい。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:東京エレクトロン デバイス株式会社
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2008年10月31日
ITmediaはアイティメディア株式会社の登録商標です。