Special
» 2011年06月21日 10時00分 公開

アクセスログとリアルタイム監視:データベースへの不正アクセスを阻止する「守護者」とは?

不正アクセスが社会を騒がせている昨今、対応が急務とされているのがデータベースの保護である。万一、不正アクセスを許した場合には、膨大な量の情報漏えいが見込まれ、その結果、信用が失墜するとともに金銭的な被害も発生しかねない。その対策を支援するために、日本IBMが提供しているアプライアンス製品が「InfoSphere Guardium」である。

[ITmedia]
PR

データベースセキュリティの厳しい“現実”

日本IBM IM事業部 IMプロダクト&チャネル営業の永森久道氏

 企業のセキュリティ対策はこれまで着実に進化を遂げてきた。古くはファイアウオールにより社内外のネットワークを論理的に隔離する仕組みが取り入れられ、ウイルスやワームの被害からサーバやPCを保護するためのエンドポイント・セキュリティ対策も実施されてきた。社内からの情報漏えいを防止すべく、サーバへのアクセスログやPCの操作ログを収集し、どのような操作が行われたのかまで監視するシステムも開発されるなど、セキュリティ製品は高度化を続け、利用の裾野も拡大する一方だ。

 だが、そうした中で見過ごされてきたのが、データの保管先であるデータベースにおけるセキュリティ対策である。データベースは情報の利用効率を高め、その価値を引き出す上でもはや欠かせぬ存在と位置づけられ、多くの企業はデータベースに機密情報をはじめとしたさまざまな情報の集約を進めてきた。

 とはいえ、データベース セキュリティーについては、技術的なハードルの高さ故に実施する企業が少ないのが実情だ。同時に、IDとパスワードが付与された一部の特権ユーザーだけにアクセスが限られ、また、いわば社内ネットワークの最深部に位置していたために、不正アクセスの発生は考えにくいとされていた事情がある。

 ただし、技術革新によってシステム環境は大きく変わりつつある。インターネットが企業と顧客とをつなぐチャネルの1つとして存在感を増す中で、ECサイトなど不特定多数のユーザーが企業システムにアクセスする事はもはや珍しくなくなった。そしてそのアクセスは海外のユーザーも含んでいる。

 日本IBM IM事業部 IMプロダクト&チャネル営業の永森久道氏は、「従来からのセキュリティ対策は今後も間違いなく必要とされるはず。その上で、システム環境の変化を踏まえ、データベースのセキュリティ対策にも配慮すべき段階を迎えつつあります。情報漏えいの原因としてデータベースへの不正アクセスが約3割を占めるまでに増えていることからも、容易に推察できるでしょう」と、データベースセキュリティの重要性を説明する。

 では、データベースへのセキュリティ対策は、いかにして実施すべきなのか。その対策を支援するために日本IBMが提供しているのが、データベースへのアクセスをリアルタイムに監視することでデータベースのセキュリティを可能にした「InfoSphere Guardium(Guardium)」である。

アクセス時の振る舞いから不正侵入をアルタイムに検知

 Guardiumで特筆されるのは、データベース管理者(DBA)を含めたすべてのユーザーからのアクセスを記録/監視することで、リアルタイムでのデータベースセキュリティを実現した点である。その仕組みは、データベースへのアクセス情報と事前に策定されたセキュリティポリシーとを照らし合わせることで不審なアクセスを特定。万一の際にはアラートを発するとともに、アクセスの遮断まで実施することで情報漏えいを水際で食い止めるというわけだ。加えて、アクセス情報の収集から加工、レポート出力までが自動化され、データベース監査に必用とされるレポート作成業務も大幅に効率化される。

 アクセス情報に基づくセキュリティ対策は、データベースの標準監査ログ機能を活用することでかねてから実施されてきた。ただし、その場合には大幅なパフォーマンスの低下が避けられず、その対応のためのメモリやディスクの増設によって、少なからぬ投資が必要とされてきた。加えて、従来からの対策は、いわば“過去”の履歴を参考にしたものだけに対策が後手に回らざるを得ず、そのことが情報漏えいに万全を期す上で大きな障壁となってきた。

 だがGuardiumは、データベースサーバに専用ソフトウェア「S-TAP」をインストールし、それらで収集されるアクセスログを専用アプライアンス「コレクター」で蓄積・管理する手法をとっており、データベースのパフォーマンスの低下は最小限に抑えられている。加えて、データベースへのアクセス時に必要とされるIDやパスワードがたとえ合致していたとしても、アクセス時のさまざまな振る舞いなどから不正アクセスを検知できる。これらによってデータベースセキュリティの大幅な高度化が実現するわけだ。

 「IDやパスワードが解析されてしまった場合、従来からのセキュリティ対策では不正アクセスの被害を回避することは技術的に困難でした。ですが、Guardiumでは深夜や休日といったアクセス時間や、コピーのためにレコードのすべてを選択するといった各種操作から不審なアクセスを特定でき、アクセスを遮断するなどプロアクティブな対策も実施できます。併せて、データベース監査のためのレポートも自動化され、そのための業務負荷の大幅な軽減も見込めます」(永森氏)

100種類以上のレポート作成機能により監査対応も容易に

 IBMはGuardiumの提供にあたり、アプライアンスに蓄積されたログに対しては、ユーザー企業でも一切、修正、変更、消去などは行えない仕様としている。実はこれも、データベース監査に必用とされるログの監査証跡としての有効性を担保するためにほかならない。従来からのデータベースのアクセスログは、データベース管理者に改ざんされるおそれがあったが、そのリスクを回避できるわけだ。

 そもそもGuardiumはSOX法の施行によって、銀行や保険会社などの金融機関における情報管理の徹底が強く求められたことを背景に開発されたもの。そのため、各社のベストプラクティスを基に複雑な監査要件へ対応するため、各種の機能の実装が進められてきた。「監査」や「セキュリティ」、「コンプライアンス」といったメニューが用意され、それらをドリルダウンで選択するだけで100種類以上のレポート作成でき、また、特別なカスタマイズを実施することなく導入できるのも現場のニーズを汲み取ってきた結果といえる。

 加えて、マルチプラットフォーム環境にも対応しており、OracleやMicrosoft SQL Server、Netezzaなどの異機種、異OS混在環境下でも利用できる。1台のコレクターで複数台のデータベースサーバを管理でき、コレクターを増設することで管理対象のDBサーバをリニアに増やすこともできる。 「Guardiumでデータベースのアクセスログを統合管理すれば、これまで手作業であった管理業務を標準化でき、管理品質を均一に保てるようになります。また、アプライアンス製品だけに導入に必要とされる作業も、データベースサーバへの専用ソフトウェアのインストールとアプライアンスへの簡単な設定作業だけで、現場での使い勝手にも配慮しています」(永森氏)

Guardiumの特長

不正侵入を織り込んだ対策が不可欠に

 これまで日本では、対策の必要性があまり認知されず、また、売上に直結するわけでもないことから、アクセスログを活用したデータベースセキュリティ対策に取り組む企業は「まだ2割にも達していない」(永森氏)のが実情だという。だが、クレジットカード情報を扱うシステムに準拠が求められるセキュリティ基準「PCI DSS」への対応や、いわゆる日本版SOX法の施行により、データベース監査に対応し得るだけの機能の実装を求める声が高まりつつある。

「監査に対応するためには、データベースに誰が、いつアクセスし、何を行ったのかまで明らかにする必要があります。そのためにはログのすべてを収集し、監査要件を踏まえた上でレコードの構造を変更して各種のレポートを迅速に作成しなければなりません。その結果、データベース・アクティビティ・モニタリング(DAM)が実現され、疑念を証拠によって証明できる環境が整えられます。ひいてはセキュリティ対策の徹底も実現されるでしょう」と永森氏は指摘する。ログが揃っていなければ問題点の究明すら満足に行えず、対策が不十分にならざるを得ないことは言うまでもないだろう。

 情報漏えいは企業経営にとって大きなリスクでありながら、その対策には専門的な知識が求められることから、多くの企業では対応を情報システム部門に一任せざるを得なかった。だが、Guardiumはその利用に専門知識をそれほど必要としないことから、経営層からの引き合いも数多いという。

 データが業務の生命線とされる金融業界はもちろん、自社で課金データを保有する通信業界など、Guardiumを採用した企業はすでに全世界で600社を数え、その業種も多岐にわたる。これも、データの重要性がますます高まりつつあるからこそだ。

 導入も早ければ1カ月、長くても5カ月で完了するという。採用した企業の多くは、まずは標準の設定で利用し、半年ほど使って要件を見極めた上で、セキュリティポリシーを見直すケースが多いという。こうした使い方が可能なのも、設定変更などを容易に行えるからであろう。

 IBMでは今後、IT部門に加え経営層にもデータベースセキュリティの必要性を引き続き訴求することでDAMの啓蒙活動に取り組み、売上の向上につなげる考え。Guardiumによってデータベースセキュリティは新たな段階を迎えそうだ。

この記事に興味のある方におすすめのホワイトペーパー

 データベースに対して包括的なセキュリティー対策を実施するにあたり必要不可欠な8つのベスト・プラクティスを紹介する。

ホワイトペーパーのダウンロードページへ (TechTargetジャパン)

 データベース・セキュリティーとコンプライアンス・ライフサイクル全体を統合管理する IBM InfoSphere Guardium 8 の機能を詳しく解説しています。

ホワイトペーパーのダウンロードページへ (TechTargetジャパン)

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本アイ・ビー・エム株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2011年9月30日

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -