アットマーク・アイティ @IT@IT情報マネジメント@IT自分戦略研究所QA@ITイベントカレンダー  
 @IT > さまざまなポリシーと自動学習機能でデータベースへの不正行為を検出する「Symantec Database Security 3.0」
 
@IT Special

 

PR

SDS3.0
情報漏えい対策の本命!
さまざまなポリシーと自動学習機能で
データベースへの不正行為を検出する
「Symantec Database Security 3.0」

 企業にとっての重大なセキュリティリスクとして、ウイルスやワーム、スパイウェアとともに近年特にクローズアップされているのが情報漏えいである。シマンテックでは新たに、情報漏えい対策の“要”となるデータベースセキュリティ製品「Symantec Database Security 3.0」をSymantecVision2007に参考出品した。

 世界中のウイルス解析や検疫などを担うシマンテックセキュリティレスポンスによる開発という点でも、注目度の高い製品だ。その主要機能や特徴を紹介しよう。

  多大な経営リスクを伴う情報漏えい
データベースセキュリティの強化は必須

 顧客の信用失墜やブランドイメージの低下、さらには多額の損害賠償など、ひとたび情報漏えいを起こせば、企業は甚大なダメージを被る。たとえば、2006年に起きた米国復員軍事省による退役軍人2,650万人の情報漏えい事件では、実に総額約3兆円もの賠償を要求される事態となった。これは漏えい人数・賠償額ともに極端な例ではあるが、日本においても顧客情報などの漏えい事件・事故は後を絶たない。

 また、日本は米国よりも情報漏えいに対して敏感であるともいわれている。シマンテックによれば、2006年の米国における情報漏えい報告件数は116件、対象となったのは65万人だ。これに対して日本の報告件数は1000件で、米国の10倍近い数にのぼる。その一方、対象となったのは9万人と米国の約7分の1だ。つまり、日本では比較的小規模な情報漏えいも報告されており、それだけ情報漏えいを重く捉えているというわけだ。

 こうした中で、企業の最も重要な情報が保管されているデータベース自体を守るための「データベースセキュリティ」に対するニーズが高まりを見せているのは必然の結果といえる。加えて、日本版SOX法に代表される内部統制への対応においても、データベースセキュリティの強化は必須となってくる。

 データベースセキュリティの強化を図るためには、データベースに標準で備わるログ監査機能やアクセス制御機能を活用することも有効だ。しかし、これらの機能では正当なアクセス権限を持つ従業員による不正行為などを検知することが難しい。

 データベースへの不正行為のパターンとしては、外部の第三者がSQLインジェクションなどの手段によってファイアウォールの外側からデータを詐取するケースと、社内の従業員が直接または何らかのアプリケーションを介してデータベースから不正にデータを取得するケースが考えられる。確実に情報漏えいを防ぐには、これらすべてをブロックする必要がある。

 シマンテックが新たに発表した「Symantec Database Security 3.0」(SDS 3.0)は、このような課題にも対応し、堅牢かつ柔軟なデータベースセキュリティを実現するための製品だ。

  シマンテックセキュリティレスポンスの技術・ノウハウを具現化
待望のグローバルリリースで日本語に完全対応

 SDS 3.0は、データベースに対するSQLクエリ、それに対するデータベースの応答から、情報の詐取や漏えいなどのインシデントをリアルタイムで検出し、アラートやレポーティングのサービスを提供する。

 主な使い方としては、SQLアクティビティの「監査」、外部および内部からの不正行為による「詐取検出」、クレジットカード番号などの重要情報の取得を識別して検出する「情報漏えい警告」の3つ。ポリシーに基づいてSQL自体の挙動から異常動作を判断するため、内部の正規ユーザーによる不正アクセスやデータベース側から送信される応答の異常なども漏らさずに検知することが可能だ。

 SDS 3.0の前バージョンにあたる「Symantec Database Security & Audit 2.0」(SDSA 2.0)は、2006年秋に北米地域でリリースされ、すでにワシントンポストなど多くの有力企業に採用されている。シマンテックによると、欧州や日本、アジアでは未発売だったにも関わらず、SDSA 2.0に関心を寄せていた日本企業も少なくないという。

 今回のSDS 3.0は、北米以外のユーザーのニーズや期待にも応えるべく、グローバルでリリースされる最初のバージョンとなる。グローバルリリースにあたって、もちろん日本語にも完全対応。ユーザーインターフェイスもすべて日本語化されている。

SDS3.0日本語インターフェイス
日本語化されたSDS 3.0のインターフェース(画像をクリックすると拡大します)

 また、SDSA 2.0はハードウェアを含めたアプライアンス製品として提供されていたが、SDS 3.0の提供形態は「ソフトウェアアプライアンス」となる。これは、カスタマイズされたOSに必要なアプリケーションを統合したものであり、通常のアプライアンスからハードウェアのみ除いたものと考えればよい。

 なお、SDS 3.0のコア・エンジンは、シマンテックが誇る世界最大のインターネットセキュリティ研究所「シマンテックセキュリティレスポンス」のチームが開発。世界中のウイルス解析や検疫などを担うセキュリティ研究の最前線で誕生した、まさに「メイド・バイ・シマンテック」とでもいうべき製品だ。

  ソフトウェアアプライアンスだから導入は簡単
パフォーマンスに影響を与えずにSQLを監視

 SDS 3.0ならではの特徴として、導入・設置がいずれも非常に簡単に行えることが挙げられる。前述のとおり、ソフトウェアアプライアンスとしてOSとアプリケーションが一体となって提供されるため、OSのインストール作業やOSハードニング(要塞化)などの設定が不要となる。

 実際には、推奨ハードウェアを用意し、CDブート後にウィザードに従ってネットワーク情報を入力するだけでインストール・セットアップが完了する。なお、推奨ハードウェアは、HP ProLiant DL360 Generation 5またはDell PowerEdge 1950の2機種だが、要件を満たしていれば他ベンダのハードウェアも利用可能である。

 SDS 3.0の設置作業は、データベースやネットワークなどの既存のインフラに大幅に手を加えることなく、セットアップ完了後のハードウェアをネットワークに接続するだけでよい。接続方法は、スイッチのSPANポートを使う方法とネットワークタップを設置して接続する方法が想定されている。

SPANポート接続
図1 SPANポートへの接続
ネットワークタップ接続
図2 ネットワークタップを介した接続

 また、SDS 3.0はネットワーク上のトラフィックをキャプチャすることによりSQLアクティビティを監視する。そのため、データベースサーバ自体にクライアントモジュールをインストールする必要はない。つまり、データベースサーバにはまったく負荷を掛けないうえ、トランザクションのパフォーマンスにも影響を与える心配がないこともSDS 3.0の大きなメリットといえよう。

  学習機能で正常なSQLパターンを習得・蓄積
運用中のSQLアクティビティ再学習も可能

 実際の運用において、SQLアクティビティを監視してデータベースへの不正行為を検知するためには、どんなSQLアクティビティを「異常」と見なすのか、あらかじめポリシーを定義しておく必要がある。SDS 3.0では、独自の学習機能によって、このポリシー作成作業の工数も大幅に削減することが可能だ。

 まず、異常検知の運用を始める前に「学習モード」に設定し、通常時にデータベースにアクセスしているSQLアクティビティのパターンをSDS 3.0に学習・蓄積させる。蓄積されたSQLパターンは正常なアクティビティのマスターとなり、同じSQLパターンであれば正常な操作と判断されるようになる。

学習モード
図3 学習モード

 「検出モード」での運用時に、学習モードで習得したパターンと異なるSQLパターンが検知された場合には、異常または規約違反と見なされる。具体的には、インシデント発行・アラート通知などのアクションを行うことになる。

検出モード
図4 検出モード

 このように、学習機能で収集したSQLアクティビティをベースにして、異常なSQLアクティビティを検知するポリシーを容易に作成することができる。

 検出モードの運用に入ってからも学習を継続して、運用中のSQLアクティビティを再学習できる。これは、学習モードでリストアップできなかったSQLパターンが判明した場合や、ユーザーや運用形態が変わった場合などにも有効に活用できる機能だ。学習モードに再度切り替える場合に比べ、コストとリスクを回避できるというメリットがある。

 それだけでなく、実運用中にSQLアクティビティを再学習することによる最も重要な効果として、誤認を防ぎ、異常検知の精度を向上できることが挙げられる。

 データベースセキュリティを設計・運用・管理のライフサイクルで考えた場合、SDS 3.0では、学習モードによってポリシー作成などの「設計」の工数を削減し、すばやくスタートできる。そして「運用」フェーズでは再学習による微調整で精度を向上し、「管理」フェーズにおける監査証跡などの分析結果を次の「設計」に活かしていくことによって、ライフサイクルを通じて継続的にデータベースセキュリティを強化していくことが可能となる。

コンプライアンス・ライフサイクル
図5 コンプライアンス・ライフサイクル

  4つのポリシータイプを作成可能
複合的に不正行為を監視・検出

 SDS 3.0では、異常を検知するためのポリシーとして、以下の4タイプを使用することができる。

●ステートメントポリシー

ユーザーまたはアプリケーション側からデータベースに送信されるクエリに適用。SQLインジェクションなどを検知する

●SQL応答ポリシー

データベースからユーザーやアプリケーション側に返されるSQLクエリの応答に適用。大量のクレジットカード番号漏えいなどを検知する

●認証ポリシー

データベースへのログイン、ログアウト、ログイン失敗に適用

●トランザクションポリシー

SDS 3.0で新たに搭載された機能。SQLクエリのインバウンドとアウトバウンドの両方を監視して、あるインバウンドに対してどのようなアウトバウンドが返されるのかを相関分析して、異常を検知する

 なお、一般的によく利用される検知方法や通知のポリシーは「オペレータポリシー」として、デフォルトで15項目が登録されている。これにより、それほどデータベースの知識のないユーザーでも、導入後すぐにデータベースの監査を実施することができる。

 このデフォルトのポリシーに、学習機能によって自動作成したもの、4つのポリシータイプからカスタムで作成したものを組み合わせることにより、さまざまな形で複合的に不正行為を監視・検出できるようになっている。

プラットフォーム
MS SQL
(32&64bit)
Oracle
(32&64bit)
IBM DB2
(32&64bit)
2000
2005
8
9
10g
8
9
AIX 5          
Yes
Yes
Solaris 8    
Yes
Yes
Yes
   
Solaris 9    
Yes
Yes*
Yes*
   
Solaris 10    
Yes
Yes*
Yes*
   
Windows 2000
Yes
Yes
 
Yes
Yes
Yes
Yes
Windows 2003
Yes*
Yes*
   
Yes*
Yes*
Yes*
サポートするデータベース一覧*ローカルデータベースのホストコレクタがサポートされている)

提供:株式会社シマンテック
企画:アイティメディア 営業局
制作:@IT 編集部
掲載内容有効期限:2007年12月6日
 
関連リンク
株式会社シマンテック
シマンテックセキュリティレスポンス
SymantecVision2007

 HP ProLiant DL360 Generation 5
 Dell PowerEdge 1950


 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ