【インタビュー】クラウドもオンプレミスも、死角のないデータベース監査(アクアシステムズ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

【インタビュー】クラウドもオンプレミスも、死角のないデータベース監査(アクアシステムズ)

特集 特集

オンプレミス環境からクラウド環境への移行が進んでいる。クラウド事業者がインターネットと分離したプライベートクラウドサービスを始めたことにより、企業の基幹システムのクラウド環境への移行が後押しされている。

今回は株式会社アクアシステムズ 安澤弘子氏に、クラウド環境に置かれたデータベースのセキュリティについて話を聞いた。同社は2004年12月からデータベース監査ソフトウェア「AUDIT MASTER」を販売しており、今年9月には監査対象データベースをAmazon AWSのRDSに広げた。


――データベースもまた、オンプレミス環境からクラウド環境へ移行が進んでいるのでしょうか

企業の基幹システムがオンプレミス環境からクラウド環境へと移行される動きが加速しています。その理由として、キャパシティの柔軟性やコスト削減といったことが挙げられます。またBCP対策という側面もあります。データベースも例外ではありません。

――データベースのクラウド移行は、とりわけセキュリティの担保が不可欠です。基幹システムとそのデータベースをクラウド環境に置く際、オンプレミス環境と比べてセキュリティ上の違いはありますか?

手元に置いていた機密情報が、地理的に社外に持ち出されるということで、直感的にセキュリティリスクが上がると感じる方もいらっしゃいます。しかし、クラウド事業者側で適切な対策は取られています。オンプレミスあるいはクラウドといった環境によらず、セキュリティ上の考慮点は同じです。

ただ、オンプレミス環境では最下層の物理的な部分まで制御することができましたが、クラウドを利用すると見えない部分、触れない部分が出てきます。そうした制限により、オンプレミス環境と同じセキュリティ対策を適用できないケースがある点に注意が必要です。

――特にデータベースのセキュリティついてはどんな懸念があるのでしょう

重要な情報はデータベースに格納されています。ネットワークの境界での対策のみならず、大元のデータベースを保護することが不可欠です。しかし、内部犯行のような、権限を持つ人への対応には難しい点があります。日常業務としてデータベースにアクセスするため、アクセス遮断という措置は取れません。そこで重要なのが、抑止効果を高め、有事に追跡できるようにするため、データベースの操作内容を取得、蓄積、分析することです。こうした処理を行うツールは、データベース監査ソフトウェアと呼ばれます。J-SOX法やPCI DSSなど、法律や業界指針の整備に伴い、監査法人の要請を受けて導入するケースも数多くあります。

ただ、データベースの操作ログを取得するプロセスは、システムの資源を大量に消費し、サーバに大きな負荷がかかります。提供サービスのパフォーマンスに与える影響を低減するために、データベース監査ソフトウェアごとにさまざまなアプローチが取られています。例えば、データベースを直接監視するのではなく、メモリ上のデータを参照したり、ネットワークを流れるパケットを監視するなど、間接的に情報を取得する方法があります。前者の場合、メモリが書き換えられる前に操作ログをすべて取得できる保証はありません。またエージェントをインストールする必要があり、Amazon AWSのRDSなど、データベースサービスでは対応不可能です。またクラウド環境ではネットワーク監視の権限がないので、後者も使えません。

――アクアシステムズ社のソリューションをご教示ください。

AUDIT MASTERでは、Oracleのaudit機能を用いて監査ログを取得しています。この手法であれば操作ログは100%取得できます。また、クラウド環境でもオンプレミス環境とまったく同様に扱うことが可能です。問題のパフォーマンスについては、GUIでチューニングを行うことで簡単に対応できるようにしています。導入事例ごとに細かいチューニング内容は異なりますが、サンプルを提示したり、コンサルティングサービスを通じて、お客様の満足が得られる結果を生み出しています。

――AUDIT MASTERがAWS対応になった、ということですが、具体的に何が変わったのでしょうか。

このたび新たに対応したのは、監視対象としてAmazon AWSのRDSサービスで提供されるデータベースが追加された点です。RDSはOSより上位のデータベースまで、Amazonが提供するサービスです。

Amazon EC2などクラウド業者が提供する仮想サーバや、オンプレミス環境のサーバに利用者が導入するOracleには元々対応していました。インフラの種類や場所が異なっても、AUDIT MASTERはシームレスに一元管理することができます。

また製品としてのみではなく、クラウドと同様サービスとしても提供します。現在は製品価格120万円(税抜)から、という価格体系のみです。今後は、1ヶ月5万円または3ヶ月15万円といった、期間に応じた課金体系も追加します。

--

アクアシステムズ社とアマゾン データ サービス ジャパン株式会社は、10月26日に「クラウド × データベース × セキュリティセミナー」を共同開催し、安澤氏が実際のニーズや社内テストの内容に関して「クラウド上でのセキュアなデータ管理のベストプラクティス」と題した講演を行う。
《株式会社イメージズ・アンド・ワーズ 鳴海まや子》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×