ここがポイント! DBセキュリティの実装(2)

不正行為を未然に防ぐログの分析と活用

 

フォーティネットジャパン株式会社
セールスエンジニアリング部 シニアコンサルティングSE
成田泰彦
2010/2/1

ログ収集の方式

 現在、市販されているデータベースセキュリティツールとしては、ログ収集機能の方式によって、「Audit型」「メモリ参照型」「パケットキャプチャ型」の3タイプがあります。いずれも長所、短所があり、それぞれの特徴を生かして適材適所で選択する必要があります。

Audit型

 Audit型は監査ログ利用型ともいわれ、各社のデータベース自体が実装している監査機能を利用するものです。

 その特徴は、データベース自体がリクエストや実行された動作を記録することから、Webサーバ/APサーバ(ネットワーク)経由のアクセスであろうと管理コンソールからのダイレクトなアクセスであろうと、経路、手法を問わずにアクセスログの収集漏れがない点です。また、ネットワークや別のログ収集ツールなどが何らかの障害でダウンしていたとして、データベース側でログ収集されているので、耐障害性が高いともいえます。加えてデータベースベンダ自体がサポートしているため安心感もあります。

 一方、デメリットとしては、完全なログ収集ができる反面、取得する項目を増やせば増やすほど、データベースのパフォーマンスに影響を与えることが挙げられます。

メモリ参照型

 メモリ参照型は、データベースサーバの共有メモリにエージェントをインストールして、そのエージェントがメモリ内から実行されているSQLコマンドを収集するもの。それが正規のSQLコマンドなのか、想定外の怪しいSQLコマンドなのかをチェックして、アラートを発したり、記録したりする仕組みです。

 このタイプの一番のメリットは、エージェントの動作によりわずかなパフォーマンス劣化があるものの、データベースに負荷を与えずにモニタリングできることです。また、データベースの設定変更が一切不要であるというメリットもあります。

 反面、一定間隔でメモリをスキャンするため、サンプリング周期が長いとログを取りこぼす可能性があるとともに、メモリ上にないコマンドの処理など、一部取得できない情報もあります。そのため、メモリ参照型ツールは、怪しいアクセスを検知するリアルタイムモニタリングとして活用するツールと見るべきタイプです。なおフォレンジックも実施したい場合は、メモリ参照型はAudit機能と組み合わせて使用することもできます。

パケットキャプチャ型

 パケットキャプチャ型は、データベースサーバの手前にアプライアンスを設置し、ネットワーク上のパケットをすべて取得して、データベースに直接コマンドを実行しているパケットを選別、チェックするタイプです。

 最大の特徴は、データベースサーバの設定を変更する必要がない上に、パフォーマンスにまったく影響を与えないこと。また、データベースの設定変更をしなくてもいい点はメモリ参照型と同じです。

 一方、デメリットは、広帯域のネットワーク上のパケットをすべて捕捉することは難しく、取りこぼしが発生する恐れがあること。ネットワーク上のパケットをチェックする仕組みであるため、データベースのコンソールから直接操作するローカルアクセスには対応できず、また暗号化されたSSL通信などでも課題があります。さらに、各データベースの手前にそれぞれアプライアンスを配置しなければならない上、アプライアンスの障害に備えて冗長化することも必要になります。

●表1 DBセキュリティツールの3つのタイプ

タイプ 特徴 主な製品
●Audit型

Audit型

・どのようなアクセス経路、アクセス手法においてもアクセスログの取得漏れがない
・対障害性が高い
・DBベンダー自体がサポートする安心感
・DBサーバ側の監査ログの自動削除ができる

・IPLocks
・FortiDB
・AUDIT MASTER
・Oracle Audit Vault  など
●メモリ参照型

メモリ参照型

・DBに負荷を与えずにモニタリングできる
・Auditと組み合わせて使用可能
・DBの設定変更は一切必要なし
・メモリからは一部取得できない情報がある
・PISO
・FortiDB など
●パケットキャプチャ型

・DBサーバのパフォーマンスへの影響はゼロ
・アクセスログの取得漏れが発生する
・冗長化が必須
・設置場所がネットワークトポロジーに左右される
・ローカルアクセスとSSL通信への対応に課題がある
・Chakra
・SecureSphere
・Guardium など

 データベースセキュリティツールのタイプによるメリット/デメリットをしっかり把握し、最適なものを選択することが重要です。秘匿性の高いクリティカルなデータベースに対してはAudit型を、あるいはセンシティブなデータが少なく、レスポンスを求められるデータベースであればメモリ参照型またはパケットキャプチャ型というように、適材適所で選びましょう。

 最近では、各ベンダがそれぞれの製品を機能進化させており、各タイプのメリットを取り込み、単一の製品でそれぞれの機能を組み合わせて使用できるハイブリッド型の製品も登場しています。

前のページへ 2/3 次のページへ

Index
不正行為を未然に防ぐログの分析と活用

Page 1
データベースセキュリティの実効性を高めるログ管理
データベース監査機能における大きな課題
→
Page 2
ログ収集の方式
Audit型
メモリ参照型
パケットキャプチャ型

Page 3
ログの分析と活用でセキュリティを維持する
情報漏えい事件から学ぶべきこと

ここがポイント! DBセキュリティの実装


Database Expert フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Database Expert 記事ランキング

本日月間