【インタビュー】クラウドもオンプレミスも、死角のないデータベース監査（アクアシステムズ）

オンプレミス環境では最下層の物理的な部分まで制御することができましたが、クラウドを利用すると見えない部分、触れない部分が出てきます。そうした制限により、オンプレミス環境と同じセキュリティ対策を適用できないケースがある点に注意が必要です。

特集特集

2012年10月18日（木） 10時23分

オンプレミス環境からクラウド環境への移行が進んでいる。クラウド事業者がインターネットと分離したプライベートクラウドサービスを始めたことにより、企業の基幹システムのクラウド環境への移行が後押しされている。

今回は株式会社アクアシステムズ安澤弘子氏に、クラウド環境に置かれたデータベースのセキュリティについて話を聞いた。同社は2004年12月からデータベース監査ソフトウェア「AUDIT MASTER」を販売しており、今年9月には監査対象データベースをAmazon AWSのRDSに広げた。

――データベースもまた、オンプレミス環境からクラウド環境へ移行が進んでいるのでしょうか

企業の基幹システムがオンプレミス環境からクラウド環境へと移行される動きが加速しています。その理由として、キャパシティの柔軟性やコスト削減といったことが挙げられます。またBCP対策という側面もあります。データベースも例外ではありません。

――データベースのクラウド移行は、とりわけセキュリティの担保が不可欠です。基幹システムとそのデータベースをクラウド環境に置く際、オンプレミス環境と比べてセキュリティ上の違いはありますか？

手元に置いていた機密情報が、地理的に社外に持ち出されるということで、直感的にセキュリティリスクが上がると感じる方もいらっしゃいます。しかし、クラウド事業者側で適切な対策は取られています。オンプレミスあるいはクラウドといった環境によらず、セキュリティ上の考慮点は同じです。

ただ、オンプレミス環境では最下層の物理的な部分まで制御することができましたが、クラウドを利用すると見えない部分、触れない部分が出てきます。そうした制限により、オンプレミス環境と同じセキュリティ対策を適用できないケースがある点に注意が必要です。

――特にデータベースのセキュリティついてはどんな懸念があるのでしょう

重要な情報はデータベースに格納されています。ネットワークの境界での対策のみならず、大元のデータベースを保護することが不可欠です。しかし、内部犯行のような、権限を持つ人への対応には難しい点があります。日常業務としてデータベースにアクセスするため、アクセス遮断という措置は取れません。そこで重要なのが、抑止効果を高め、有事に追跡できるようにするため、データベースの操作内容を取得、蓄積、分析することです。こうした処理を行うツールは、データベース監査ソフトウェアと呼ばれます。J-SOX法やPCI DSSなど、法律や業界指針の整備に伴い、監査法人の要請を受けて導入するケースも数多くあります。

ただ、データベースの操作ログを取得するプロセスは、システムの資源を大量に消費し、サーバに大きな負荷がかかります。提供サービスのパフォーマンスに与える影響を低減するために、データベース監査ソフトウェアごとにさまざまなアプローチが取られています。例えば、データベースを直接監視するのではなく、メモリ上のデータを参照したり、ネットワークを流れるパケットを監視するなど、間接的に情報を取得する方法があります。前者の場合、メモリが書き換えられる前に操作ログをすべて取得できる保証はありません。またエージェントをインストールする必要があり、Amazon AWSのRDSなど、データベースサービスでは対応不可能です。またクラウド環境ではネットワーク監視の権限がないので、後者も使えません。

――アクアシステムズ社のソリューションをご教示ください。

AUDIT MASTERでは、Oracleのaudit機能を用いて監査ログを取得しています。この手法であれば操作ログは100%取得できます。また、クラウド環境でもオンプレミス環境とまったく同様に扱うことが可能です。問題のパフォーマンスについては、GUIでチューニングを行うことで簡単に対応できるようにしています。導入事例ごとに細かいチューニング内容は異なりますが、サンプルを提示したり、コンサルティングサービスを通じて、お客様の満足が得られる結果を生み出しています。

――AUDIT MASTERがAWS対応になった、ということですが、具体的に何が変わったのでしょうか。

このたび新たに対応したのは、監視対象としてAmazon AWSのRDSサービスで提供されるデータベースが追加された点です。RDSはOSより上位のデータベースまで、Amazonが提供するサービスです。

Amazon EC2などクラウド業者が提供する仮想サーバや、オンプレミス環境のサーバに利用者が導入するOracleには元々対応していました。インフラの種類や場所が異なっても、AUDIT MASTERはシームレスに一元管理することができます。

また製品としてのみではなく、クラウドと同様サービスとしても提供します。現在は製品価格120万円（税抜）から、という価格体系のみです。今後は、1ヶ月5万円または3ヶ月15万円といった、期間に応じた課金体系も追加します。

--

アクアシステムズ社とアマゾンデータサービスジャパン株式会社は、10月26日に「クラウド × データベース × セキュリティセミナー」を共同開催し、安澤氏が実際のニーズや社内テストの内容に関して「クラウド上でのセキュアなデータ管理のベストプラクティス」と題した講演を行う。

【インタビュー】クラウドもオンプレミスも、死角のないデータベース監査（アクアシステムズ）

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

OWASP データブリーチ

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

Non State Actor 図鑑（3）APT アクターも「飲みニケーション」大事～成都404

カテゴリ別新着記事

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

OWASP データブリーチ

悪夢の検証 大英図書館ランサムウェア ～ 過ちが語る普遍的な物語

AI アプリ標的 ゼロクリックワーム開発／北 韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

Non State Actor 図鑑（3）APT アクターも「飲みニケーション」大事 ～ 成都404

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

OpenSSLにサービス運用妨害（DoS）の脆弱性

マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

a-blog cms に複数の脆弱性

複数の HTTP/2 実装に CONTINUATION フレームの取り扱い不備

WordPress 用プラグイン Ninja Forms に複数の脆弱性

AI アプリ標的 ゼロクリックワーム開発／北 韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

インシデント・事故 記事一覧へ

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

「落ちていたので」と手紙が届く ～ 中学校の教育相談アンケート票を紛失

日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性

調査・レポート・白書・ガイドライン 記事一覧へ

プルーフポイント、マルウェア配布する YouTube チャンネル特定

IT部門か全員かそれとも政府か ～ サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ～ JIPDEC、ITR 調査

日本のセキュリティ人材の 74 ％、2023年に昇給なし

炎上件数最多は知識や配慮不足「2023年炎上レポート」公開

研修・セミナー・カンファレンス 記事一覧へ

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ～ SECON & eGISEC 2024 開催

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ～ JPAAWG 6th General Meeting レポート

「イエラエが、今、SOCサービスを始める意義」とは？ 「IERAE DAYS」トークセッションレポート公開

警察庁、総務省それぞれの最新の取り組みは？ 官民連携、国際連携を通してより安全なサイバー空間の実現を ～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

警察庁、サイバー事案通報の統一窓口を設置

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

デロイトと JFEスチール、サイバーセキュリティの合弁会社設立

BBSec、地方公共団体のセキュリティ課題に対応するアセスメントサービス

「GMOサイバー攻撃 ネットde診断」FortiGate に対応

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

Non State Actor 図鑑（3）APT アクターも「飲みニケーション」大事～成都404

脆弱性と脅威記事一覧へ

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

インシデント・事故記事一覧へ

転職先で営業活動に活用、プルデンシャル生命保険元社員顧客情報持ち出し

「落ちていたので」と手紙が届く～中学校の教育相談アンケート票を紛失

日水コンコーポレートサイトに不正アクセス、個人情報一部流出の可能性

調査・レポート・白書・ガイドライン記事一覧へ

IT部門か全員かそれとも政府か～サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス記事一覧へ

韓国の 2024年セキュリティ市場規模 8,000 億円見込～ SECON & eGISEC 2024 開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント～ JPAAWG 6th General Meeting レポート

「イエラエが、今、SOCサービスを始める意義」とは？「IERAE DAYS」トークセッションレポート公開

警察庁、総務省それぞれの最新の取り組みは？官民連携、国際連携を通してより安全なサイバー空間の実現を～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向記事一覧へ

「GMOサイバー攻撃ネットde診断」FortiGate に対応

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ