ここがポイント! DBセキュリティの実装(2)
不正行為を未然に防ぐログの分析と活用
ログ収集の方式
現在、市販されているデータベースセキュリティツールとしては、ログ収集機能の方式によって、「Audit型」「メモリ参照型」「パケットキャプチャ型」の3タイプがあります。いずれも長所、短所があり、それぞれの特徴を生かして適材適所で選択する必要があります。
Audit型
Audit型は監査ログ利用型ともいわれ、各社のデータベース自体が実装している監査機能を利用するものです。
その特徴は、データベース自体がリクエストや実行された動作を記録することから、Webサーバ/APサーバ(ネットワーク)経由のアクセスであろうと管理コンソールからのダイレクトなアクセスであろうと、経路、手法を問わずにアクセスログの収集漏れがない点です。また、ネットワークや別のログ収集ツールなどが何らかの障害でダウンしていたとして、データベース側でログ収集されているので、耐障害性が高いともいえます。加えてデータベースベンダ自体がサポートしているため安心感もあります。
一方、デメリットとしては、完全なログ収集ができる反面、取得する項目を増やせば増やすほど、データベースのパフォーマンスに影響を与えることが挙げられます。
メモリ参照型
メモリ参照型は、データベースサーバの共有メモリにエージェントをインストールして、そのエージェントがメモリ内から実行されているSQLコマンドを収集するもの。それが正規のSQLコマンドなのか、想定外の怪しいSQLコマンドなのかをチェックして、アラートを発したり、記録したりする仕組みです。
このタイプの一番のメリットは、エージェントの動作によりわずかなパフォーマンス劣化があるものの、データベースに負荷を与えずにモニタリングできることです。また、データベースの設定変更が一切不要であるというメリットもあります。
反面、一定間隔でメモリをスキャンするため、サンプリング周期が長いとログを取りこぼす可能性があるとともに、メモリ上にないコマンドの処理など、一部取得できない情報もあります。そのため、メモリ参照型ツールは、怪しいアクセスを検知するリアルタイムモニタリングとして活用するツールと見るべきタイプです。なおフォレンジックも実施したい場合は、メモリ参照型はAudit機能と組み合わせて使用することもできます。
パケットキャプチャ型
パケットキャプチャ型は、データベースサーバの手前にアプライアンスを設置し、ネットワーク上のパケットをすべて取得して、データベースに直接コマンドを実行しているパケットを選別、チェックするタイプです。
最大の特徴は、データベースサーバの設定を変更する必要がない上に、パフォーマンスにまったく影響を与えないこと。また、データベースの設定変更をしなくてもいい点はメモリ参照型と同じです。
一方、デメリットは、広帯域のネットワーク上のパケットをすべて捕捉することは難しく、取りこぼしが発生する恐れがあること。ネットワーク上のパケットをチェックする仕組みであるため、データベースのコンソールから直接操作するローカルアクセスには対応できず、また暗号化されたSSL通信などでも課題があります。さらに、各データベースの手前にそれぞれアプライアンスを配置しなければならない上、アプライアンスの障害に備えて冗長化することも必要になります。
●表1 DBセキュリティツールの3つのタイプ
| タイプ | 特徴 | 主な製品 |
|---|---|---|
●Audit型 |
・どのようなアクセス経路、アクセス手法においてもアクセスログの取得漏れがない |
・IPLocks ・FortiDB ・AUDIT MASTER ・Oracle Audit Vault など |
●メモリ参照型 |
・DBに負荷を与えずにモニタリングできる ・Auditと組み合わせて使用可能 ・DBの設定変更は一切必要なし ・メモリからは一部取得できない情報がある |
・PISO ・FortiDB など |
●パケットキャプチャ型 |
・DBサーバのパフォーマンスへの影響はゼロ ・アクセスログの取得漏れが発生する ・冗長化が必須 ・設置場所がネットワークトポロジーに左右される ・ローカルアクセスとSSL通信への対応に課題がある |
・Chakra ・SecureSphere ・Guardium など |
データベースセキュリティツールのタイプによるメリット/デメリットをしっかり把握し、最適なものを選択することが重要です。秘匿性の高いクリティカルなデータベースに対してはAudit型を、あるいはセンシティブなデータが少なく、レスポンスを求められるデータベースであればメモリ参照型またはパケットキャプチャ型というように、適材適所で選びましょう。
最近では、各ベンダがそれぞれの製品を機能進化させており、各タイプのメリットを取り込み、単一の製品でそれぞれの機能を組み合わせて使用できるハイブリッド型の製品も登場しています。
 |
2/3 |  |
| Index | |
| 不正行為を未然に防ぐログの分析と活用 | |
| Page 1 データベースセキュリティの実効性を高めるログ管理 データベース監査機能における大きな課題 |
|
 |
Page 2 ログ収集の方式 Audit型 メモリ参照型 パケットキャプチャ型 |
| Page 3 ログの分析と活用でセキュリティを維持する 情報漏えい事件から学ぶべきこと |
|
 |
ここがポイント! DBセキュリティの実装 |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
 |
|
|
|
|
