ここがポイント! DBセキュリティの実装(2)

不正行為を未然に防ぐログの分析と活用

 

フォーティネットジャパン株式会社
セールスエンジニアリング部 シニアコンサルティングSE
成田泰彦
2010/2/1

ログの分析と活用でセキュリティを維持する

 データベースセキュリティ製品を使ってアクセスログを監視、分析することによって、さまざまな事象が分かり、不正アクセスや情報漏えいの防止が可能になります。

 ログイン失敗を記録したログを例に取りましょう。エンドユーザーが単純にパスワードをタイプミスした場合に、次のログインで成功している場合は正常な振る舞いと見なすことができます。しかし、同じIDで何度もログインの失敗が続けば、パスワードを探るための辞書攻撃と見なすことができます。また、操作の失敗を監査したときに、Webサーバ/APサーバ経由のアクセスによる通常のアプリケーション操作では、実行されるSQLコマンドはプログラムで規定されているので、基本的に処理の失敗は起こりません。もし、そのアクセス経路で失敗が記録されているとしたら、システムに詳しい運用担当者やデータベース管理者が正規のアクセス経路を装って、不正にアクセスしている可能性があると判断できます。

●図2 ログイン失敗のログから判断できること

 ユーザーアカウントとアクセスポイントの関係を監査したときにも、いろいろな状況を判断することができます。通常、固定された端末からWebサーバ/APサーバ経由でアクセスされる場合は、端末のOSへのログインID、Webサーバ/APサーバへのログインID、データベースへのログインIDの組み合わせは固定されています。しかし、規定されていないWebサーバ/APサーバ端末からWebサーバ/APサーバにログインするアカウントを利用してアクセスした場合は、誰かがWebサーバ/APサーバ用のアカウントを使って不正にアクセスしていると考えられます。また、複数のエンドユーザーが1台の端末を利用していれば、共有端末でのアクセスであるか、なりすましでのアクセスかが判断できます。

●図3 アカウントとアクセスポイントとの関係から正当性を判断する

 このほかにも、システム運用時間外のアクセスがあった場合、あるいは非常に長いセッションがあった場合は、ログインしたままの離席や帰宅など業務ルールに違反しているユーザーを特定できます。さらに、データベースによっては1回のセッションでどれぐらいのデータ量を読み取ったか、どれだけのボリュームにアクセスしたかを記録できるので、日々のオペレーション傾向が把握できます。それと比較して大量のデータ読み取りがあれば、異常なアクセスと見ることができます。

情報漏えい事件から学ぶべきこと

 第1回の冒頭で、大手証券会社の顧客情報漏えい事件の事例を紹介しましたが、不正アクセス禁止法と窃盗の罪に問われた同社のシステム部元部長代理の行動を振り返ってみると、データベースセキュリティツールでログ監査をきちんと実施していれば、事件は未然に防ぐことができたと考えられます。

【参考】
退職社員が148万人の顧客情報を持ち出し――三菱UFJ証券が発表
http://www.itmedia.co.jp/enterprise/articles/0904/08/news092.html

業績に大きな打撃、補償には適切に対応
---三菱UFJ証券の秋草社長が会見
(ITpro)
http://itpro.nikkeibp.co.jp/article/NEWS/20090418/328650/

 部長代理による犯罪の実行は、別の従業員のIDとパスワードを使用し、顧客情報を管理するサーバにアクセスして顧客情報を取得したことに始まります。このときの行為をさらにブレークダウンすると、

  • Windows端末に自分のIDでログイン
  • →データベースアクセスツールに他人のIDでログイン
  • →データベースにアクセスして148万人の顧客情報を不正に取得

という流れで実行されています。このときに犯行を発覚しにくくするために、特定端末を長時間使用しないなどの工作を行っていたことも後に判明しています。

 同社ではログの収集をしていたと思われますが、セキュリティツールによってそのログを活用していれば、OSのユーザーIDとデータベースアクセスツールのユーザーID、さらにアクセス端末の組み合わせによって「正規でないアクセス」であるとすぐに判断できたはずです。また、このアカウントの組み合わせにより、端末だけを数回変えた複数のアクセス元から、何度かログイン/ログアウトした点も把握できたと考えられます。さらに、数回に分けたとしても数百万人ものレコードを読み取ったことは、通常のオペレーション傾向と比較して明らかに異常だと検知できたと思われます。

 このように、犯行に結び付く怪しいアクセスがあったことをログの分析で把握していれば、顧客情報が外部に流出する手前で疑わしい人物を特定できたでしょうし、犯行を未然に防ぐことができたかもしれません。

 ログを収集していても、それを分析して不正かどうか判断することを人間が行うのでは負荷もコストも増大します。収集したログをリアルタイムで検知し、通報する、データベースセキュリティツールの重要性の高さを理解し、正しくログを「運用」しましょう。

【関連記事】
セキュリティ、そろそろ本音で語らないか(10)
誌上セミナー「拡大を続けるログ砂漠」
(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/rensai/talk10/talk01.html

セキュリティ、そろそろ本音で語らないか(12)
セキュリティシステムをマネジメントせよ
(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/rensai/talk12/talk01.html

筆 者 略 歴

成田泰彦 (なりた やすひこ)

フォーティネットジャパン株式会社

セールスエンジニアリング部 シニアコンサルティングSE

株式会社アシストにてRDBMSを使ったアプリケーション開発の技術支援エンジニアとしての経験を基に、後年ではシングルサインオン・アクセスコントロールシステムの構築支援・コンサルタントを担当。

その後アイピーロックスジャパン、日本オラクルにてDBセキュリティ、ID管理セキュリティソリューションをプリセールスエンジニアおよびセールスマンとして担当。

さらにはDBセキュリティコンソーシアムの研究員も務めるなどして、ここ最近の約10年間はセキュリティソリューションにどっぷり漬かってきている。

現在はフォーティネットジャパンにてコンサルタントとして奮闘中。つい最近ゴルフを始めたばかりで、下手くそな自分と一緒にラウンドしていただける忍耐力の強い方を募集中。
前のページへ 3/3  

Index
不正行為を未然に防ぐログの分析と活用

Page 1
データベースセキュリティの実効性を高めるログ管理
データベース監査機能における大きな課題

Page 2
ログ収集の方式
Audit型
メモリ参照型
パケットキャプチャ型
→
Page 3
ログの分析と活用でセキュリティを維持する
情報漏えい事件から学ぶべきこと

ここがポイント! DBセキュリティの実装


Database Expert フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Database Expert 記事ランキング

本日月間