データベースセキュリティで重要な特権ユーザーのアクセスログをシステムに負荷なく取得：インサイトテクノロジーの「PISO」

データベースには、取引先情報や個人情報など重要データが格納されている。機密情報に誰がアクセスし、どんな操作をしたのかを記録しておくことは、データベースセキュリティや内部統制の観点から重要だ。ログを取る際に問題になるシステムへの負荷を気にせずに、アクセスログを収集できる「PISO」について、開発、販売するインサイトテクノロジーに聞いた。

[PR／ITmedia]

PR

連載 第2回：特権ユーザーのアクセスログをシステムに負荷なく取得
連載 第1回：Performance Insightによるパフォーマンス管理でコストを削減

システムに負荷なく監査に耐え得るログを確実に取得する

　日本版SOX法の施行以降、情報システムのログ管理に高い関心が寄せられている。情報システムには、OSのアクセスログ、アプリケーションごとに記録されるログなどさまざまな情報がある。中でも厳密に管理すべきなのがデータベースのログだ。データベースには、取引や販売情報、個人情報など重要データが格納されている。データベースへのアクセス者や操作内容の詳細な記録は、内部統制監査の証跡としても利用できる。

　一般にデータベースソフトウェアには、監査用ログを取得する機能がある。ところが、その機能はログを取得する際にシステムに負荷を掛けるため、結果としてデータベースの性能に影響が出ることが多い。また、データベースのバージョンにより監査レベルも左右される。こうして、監査に耐え得る詳細なログを取得すると、データベースに負荷が掛かり、パフォーマンスが著しく劣化してしまうのだ。ログ取得で性能が劣化するとなれば、ログ取得のためだけにシステムを増強しなければならず、基幹系システムなどでこれを利用するのは難しい。

　データベース処理に影響を与えずにログを取得するために、ネットワークを流れるパケット情報をキャプチャして取得するツールもある。この方法ならばデータベースの性能に影響を出さずにログを取得できる。

インサイトテクノロジー取締役 マーケティング本部長
下山勝義氏

　だが、問題もある。ネットワークを経由せず直接コンソールなどからアクセスした操作ログが取得できないのである。

　インサイトテクノロジー取締役 マーケティング本部長の下山勝義氏は「人による直接アクセス、中でも特権ユーザーのアクセスはリスクが高い。監査においても、特権ユーザーの操作を確実に記録する必要があります。ところが、管理者などの特権ユーザーは、直接コンソールから操作することも多い。そうすると、ネットワークキャプチャー型のログ取得ツールでは、肝心の特権ユーザーのアクセスログが取得できないのです」と話す。

　「製品としてはあらゆるアクセス経路のログを容易に取得できることが必要です。ネットワークキャプチャー型ではそれが難しい」と下山氏は説明する。データベースの監査ログ取得機能ではパフォーマンスに影響が出てしまうし、ネットワークキャプチャー型では肝心の特権ユーザーのログが取得できない。この2つの課題を同時に解決するツールが、インサイトテクノロジーの「PISO」なのだと下山氏は強調する。

　「PISOの特徴は、データベースが利用しているメモリから直接アクセスログを取得するところにあります。そのため、データベースの処理にほとんど影響を与えずに、特権ユーザーのアクセスまで確実に取得できます」（下山氏）

　インサイトテクノロジーは、データベース技術のプロフェッショナル集団である。そのため、同社は過去のノウハウを数多く蓄積している。データベースの内部構造にも精通している。その技術力の高さから生まれたのが、データベースの利用するメモリ空間を直接参照しアクセスを監視するPISOなのである。

膨大に蓄積されるログをライフサイクルで効率的に管理

　多くのログ取得ツールは、ログを効率的にため込む機能があっても、蓄積されたログを分かりやすく表現するレポーティング機能が弱い。またレポート機能が充実しているツールでも、継続的に蓄積される膨大なログ情報をライフサイクルで確実に管理する機能が弱いものも多い。

　PISOでは、取得したログを改ざんされないよう専用サーバに保存する。取得した膨大なログを活用するため、ILM(Information Lifecycle Management)によるデータ管理やパーティショニング、データ構造の正規化など様々な技術が実装されている。バックアップの自動化やログ管理サーバの障害対策機能を利用して、莫大な量におよぶログ情報を継続的に運用することが容易なのだ。

　また、ユーザーがよく利用するレポートのテンプレートを多数用意している。例えば、監査レポート、特権ユーザーの操作履歴やログイン失敗情報のレポートなどを提供しているので、蓄積されたログ情報を参照し、利用する環境があらかじめ整っている。

警告ルール別検知回数のレポートサンプル

　「ログ管理では情報の量も大きな問題になります。ログを無闇に収集してもそれを扱えなければ、意味がありません。PISOには監査に耐え得る水準のログを収集しつつ、ログの量を最適化する機能もあります」（下山氏）

　PISOは当初、Oracle専用のツールとして提供された。現状では、Microsoftの「SQL Server」や富士通のデータベース「Symfoware Server」にも対応する。そして、Oracle純正の監査ログ機能がEnterprise Editionでしか利用できないのに対し、PISOはStandard Editionなどにも適用可能だ。多くの企業のシステム環境では、監査対象がOracleのEnterprise Editionにとどまらず、さまざまなエディション、バージョン、ほかのデータベースも混在している。そして、それら純正の監査ログ機能ではログフォーマットがバラバラとなり管理が難しくなる。

　「PISOのお客様は大企業中心で、基幹システムなどシステム規模も大きなものが多い。PISOを使って、数十台から百台規模のデータベースサーバを一元管理されるお客様も最近めずらしくなくなりました」（下山氏）

　そんな中でログを取得する必要があったため、PISOは対応するデータベースの範囲を順次拡大しつつ一元管理できるように拡張してきたのである。

　下山氏は、日本版SOX法をきっかけに監査に耐え得るログをきちんと取得し、管理していこうという意識が確実に顧客の中に生まれたのは大きな変化だと指摘する。日本版SOX法やデータベースセキュリティに対応していくには中長期的な視点が必要だ。

　「今後は情報システムにおいて、誰が何を行ったかが把握できていない、ということは許されなくなっていきます。特にデータベースはそう。こうした流れに応え、今後もPISOの強化を継続していきます。また、データベースのみならず、システム全体のログを統合管理したいという顧客ニーズは確実に高まっており、統合ログ管理ツールとの連携も強化していく予定です」（下山氏）

　データベース監査ツールシェアナンバーワン（*）のPISOに今後も期待したい。

データベース監査ツール PISOについてもっと詳しく → （製品詳細のページへ）

* 出典: 株式会社ミック経済研究所「情報セキュリティ市場の現状と将来展望2008」
　「【内部漏洩防止型ソリューション編】」2008年5月30日