日本オラクル、データベース・フォレンジックを推進

日本オラクルは先日開催されたセミナーの中で、データベース・フォレンジックに力を入れていく方針を示した。

[高橋睦美，ITmedia]

　日本オラクルはこの12月より、セキュリティ企業のラックと組んで、「データベース・フォレンジック・サービス」を提供する計画だ。また同時期に、フォレンジック技術を持つ複数の企業によるコンソーシアムも設立する方針という。9月1日に開催されたセミナーの中で、同社代表取締役社長の新宅正明氏が明らかにした。

　2005年4月に予定されている個人情報保護法の全面施行を前に、企業は技術的にも、組織の面でも対応を迫られている。新宅氏はその義務の1つに、同法に沿った「説明責任」を果たすことも挙げられると指摘。データベース・フォレンジックはそれを支援する役割を果たすという。

　同氏は、東京電機大学教授の佐々木良一氏による「コンピュータ・フォレンジック」の定義（警察庁のWebページで説明されている）を引き合いに出しながら、データベース・フォレンジックの同社なりの定義を紹介した。すなわち、「データベース内に格納された情報への侵害に対し、データベースが備えているログや監査機能などを利用して、その原因と犯人特定を証拠性を維持しながら行うための手法」であり、インシデントレスポンスを進める上での「ベストプラクティス」も含まれるという。

　「もちろんデータベースはシステムの一部に過ぎないため、オラクルだけで情報システム全体のフォレンジックを実現するのは難しい。けれど不可欠な要素であることも間違いない」（新宅氏）。

　同氏はさらに、Oracle DB本体の機能だけでなく、法律的裏付けやサービスがそろってはじめてデータベース・フォレンジックが実現できると述べ、パートナーの対応を幅広く呼びかけていく姿勢を示した。ラックとの協力によるデータベース・フォレンジック・サービスの提供やコンソーシアム設立といった動きも、その一環という。

データベース・フォレンジックへの取り組みに関するロードマップ

　2005年以降は、フォレンジックに関するガイドラインの整備や、政府などと連携しての社会的コンセンサス形成に取り組んでいく計画だ。新宅氏は、「ぜひフォレンジックという考え方を知ってもらいたいし、システムの中に組み込んでもらいたい」と述べ、説明を締めくくった。

実はセキュリティ監査にも使える機能

　プログラムの最後に登場した日本オラクルマーケティング本部の北野晴人氏は、Oracle DBがフォレンジック作業をどのように支援するか、もう少し踏み込んだ形で説明した。

　「最近の情報漏洩事件を見ていると内部関係者の犯行によるものが多いが、ほとんどのケースでは流出経路が不明。疑わしい人を断定し、追及するだけの証拠がない」（北野氏）。

　現場で「おそらく流出はデータベース経由らしい」と推測はしても、そこから先の追跡は困難であり、作業が長期化してしまう。そして長期化すればするほどコストもかさみ、結果として流出経路の特定は困難なままに終わる……というのが現状ではないか、というわけだ。

　「データベースのセキュリティというと、『SQL Injection』がしばしば取り上げられる。これも深刻な問題だが、問題はそれだけではない」と北野氏は述べ、フォレンジックに備えたログや監査機能の活用の必要性を訴えた。

　実際にインシデント（情報漏洩など）が発生した場合は、周囲のサーバのログを突き合わせ、いつ、どの端末からアクセスがあって何が起きたのか、総合的な解析を進めることになる。これがいわゆるコンピュータ・フォレンジックだが、「その端末を利用していた人が果たしてデータベースにログインしていたか、何らかの検索作業を行っていたか」といった事柄を突き止めるデータベース・フォレンジックは、その重要な一部になるとした。

　同氏によれば、Oracle DBは実は高度なログ機能を備えているという。標準的な監査機能のほか、運用管理者の操作を記録する「DBA監査機能」や、監査ログを絞り込んでパフォーマンスへの影響を抑えながら管理作業の実効性を高める「ファイングレイン監査機能」などがそうで、「いつ、誰が、どの端末からどのテーブルに対し、どんなSQL文を発行したか」を把握できる。

　また、どちらかというとセキュリティ対応よりも障害対応を目的として提供されてきた「フラッシュバック機能」（いわゆる高速リカバリ）や変更履歴を保持する「REDOログ」、それに「読み取り一貫性」も、データベース・フォレンジックを手助けしてくれるという。

　こうした機能をフルに活用するには、別の課題もあるだろう。というのもデータベースが論じられる局面では、とかくパフォーマンスや開発の効率性といった側面が取り上げられてきたからだ。

　このセミナーで講演を行ったラックのJSOC事業本部長、西本逸郎氏は、「データベースのセキュリティ監視やフォレンジックは、正直言ってこれまで手付かずだった。どうしても速度が優先されるからだ」と指摘している。

　個人情報漏洩事件が頻発していることを受け、いざデータベースのログを取るよう設定したら、パフォーマンスが劇的に落ちてシステムが動かなくなってしまった……などというケースもあるようだ。「今動いているデータベースの中にどのようにフォレンジックを組み込んでいくか、どこまでやるのかはとても重要な課題になる」（西本氏）。こう考えていくと、機能／性能とフォレンジックの間の落としどころをどこに求めるかが課題となりそうだ。