PR

データベース監査ツールを導入して効果を上げるには,十分なキャパシティ設計とログの活用がカギとなる。的確に運用するためのポイントや,ポリシー違反の抑止力を高めるためのポイントを解説する。

 導入で失敗しないポイントは,DB監査サーバーとDBサーバーの両方について十分なキャパシティ設計を実施することだ。導入して効果を上げるにはログを活用することが欠かせない。データベース監査の事例に詳しいラックの大野祐一氏(データベースセキュリティ研究所 所長)は,「ログを記録しているという体裁を整えるためだけにDB監査ツールを導入するケースもある。だが,そのような使い方ではもったいない」と指摘する。

DBサーバーへの影響を検証

 DB監査サーバーのキャパシティ設計は製品のタイプによらず実施したい。具体的には,アクセスごとに生成されるログのサイズとアクセスの総数を掛け算し,ログの増分を予測。それに見合うディスクを用意する。きめ細かくログを残そうとするほど,ログのサイズは膨大になる。ログをアーカイブする(長期保管するために別のストレージに移す)タイミングなど,運用ルールと併せて設計する。

 一方,(3)のパケット取得型を除いて,DBサーバーのキャパシティ設計が必要だ。特に(1)の監査ログ利用型は,DBMSがログをファイルやDBに出力するので,DBサーバーの処理性能の低下とログによるディスクの消費をきちんと計算しておかなければならない。(2)のエージェント型は,DBサーバーのディスク容量に影響はないが,処理性能にはいくらかの影響を与える。CPUの使用率やメモリー/ディスクの空き容量に余裕がないDBサーバーを監査対象に加える場合は,十分にキャパシティ設計すべきである。

 キャパシティ設計を実施したうえで,実測して確認すればなお良い。AXA TECHの大谷幸太郎氏(サービスデリバリ オープンシステムテクニカルサービス システムエンジニア)らは,DB監査ツールの導入に伴うアプリケーションへの影響を測定した。選択したAudit Masterが監査ログ利用型でもエージェント利用型でも使えることを応用し,ログイン成否とアクセス成否は監査ログ利用型で常時,SQL要求全文はエージェント利用型で数秒に1度,それぞれ取得する構成を採った。ただ,この構成でどのくらいの負荷がかかるかは,試してみないと分からない。そこで検証環境を用意し,アプリケーションごとに負荷テストしてCPU使用率の増加状況を調べた(図5)。CPU使用率の上昇が平均5%程度で済むように,ログ取得対象のオブジェクトを絞り込んだ。

図5●AXA TECHは本稼働前に負荷試験を実施
図5●AXA TECHは本稼働前に負荷試験を実施
アプリケーションごとに負荷テスト・ツールで負荷をかけ,監査対象のDBサーバーへの影響の大きさを検証した。監査に伴うCPU使用率の増加が平均5%程度で済むように,監査ログの内容を調整した

違反した社員を個別に指導

 全日本空輸(ANA)のシステムを運用するANAコミュニケーションズへのIPLocks導入を支援したメイテツコムの三浦昇一氏(第3システム事業部 東京支店)は,「監査ログの出力を最小限にし,性能を著しく低下させないようにした」と語る。IPLocksを導入するに当たり,DB内にあった270のテーブルを重要度に応じて4段階に分類。ANAの顧客情報など最重要の14テーブルだけに監査対象を絞り込んだ。DBサーバー上の監査ログは,DB監査サーバーに複写した時点で削除することもできたが,保全性を高めるために削除するのは1カ月後とした。一方,DB監査サーバー側では,3カ月分のログをオンラインで保持している。それを過ぎたログは外部ファイルに出力し,変更不能なメディア(DVD-R)にアーカイブする(図6左上)。

図6●ANAコミュニケーションズが実践する運用と抑止力向上のポイント
図6●ANAコミュニケーションズが実践する運用と抑止力向上のポイント
監査ログでシステムがパンクしないように,どのタイミングでどのようにアーカイブするかを運用設計した。また,監査ログに基づいてポリシー違反を検知。監査担当者を通じて社員を指導するなどの取り組みを徹底したことで,社内のモラルとセキュリティ意識が向上したという
[画像のクリックで拡大表示]

 ANAコミュニケーションズの渡会洋氏(総務部 業務基準室 マネージャー)らは,社員を啓蒙して抑止力を高める目的で,ログの活用に取り組んだ(図6左下)。DBサーバー上で生成された監査ログは,最長1分でDB監査サーバーに複写する。ポリシーに違反するかどうかにかかわらず,すべての成功ログと失敗ログを記録している。もしポリシー違反のアクセスがあれば,10分以内に監査担当者にメールで通知。通知を受けた監査担当者は,内線電話などですぐに状況を確認する。社員がポリシー違反に気づいていないなど,理解が不十分な場合は,その場で指導する。「全社員に対する集合教育も実施したが,個別のポリシー違反をすぐに正していく方が,社員の理解は確実に深まる。『DBの情報は業務に生かそう』といういい雰囲気を壊さずに,情報保護の機運を高められたという実感がある」(渡会氏)という。

 最後に,主なデータベース監査ツールを表1に挙げる。

表1●主なデータベース監査ツール
表1●主なデータベース監査ツール
[画像のクリックで拡大表示]

前編はこちら