【インタビュー】クラウドもオンプレミスも、死角のないデータベース監査(アクアシステムズ) | ScanNetSecurity
2024.07.27(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

【インタビュー】クラウドもオンプレミスも、死角のないデータベース監査(アクアシステムズ)

オンプレミス環境では最下層の物理的な部分まで制御することができましたが、クラウドを利用すると見えない部分、触れない部分が出てきます。そうした制限により、オンプレミス環境と同じセキュリティ対策を適用できないケースがある点に注意が必要です。

特集
「オンプレミスと同じ対策を適用できないケースがある点に注意が必要です」 株式会社アクアシステムズ 安澤弘子氏
  • 「オンプレミスと同じ対策を適用できないケースがある点に注意が必要です」 株式会社アクアシステムズ 安澤弘子氏
  • Amazon AWS を含むデータベース監査環境
オンプレミス環境からクラウド環境への移行が進んでいる。クラウド事業者がインターネットと分離したプライベートクラウドサービスを始めたことにより、企業の基幹システムのクラウド環境への移行が後押しされている。

今回は株式会社アクアシステムズ 安澤弘子氏に、クラウド環境に置かれたデータベースのセキュリティについて話を聞いた。同社は2004年12月からデータベース監査ソフトウェア「AUDIT MASTER」を販売しており、今年9月には監査対象データベースをAmazon AWSのRDSに広げた。


――データベースもまた、オンプレミス環境からクラウド環境へ移行が進んでいるのでしょうか

企業の基幹システムがオンプレミス環境からクラウド環境へと移行される動きが加速しています。その理由として、キャパシティの柔軟性やコスト削減といったことが挙げられます。またBCP対策という側面もあります。データベースも例外ではありません。

――データベースのクラウド移行は、とりわけセキュリティの担保が不可欠です。基幹システムとそのデータベースをクラウド環境に置く際、オンプレミス環境と比べてセキュリティ上の違いはありますか?

手元に置いていた機密情報が、地理的に社外に持ち出されるということで、直感的にセキュリティリスクが上がると感じる方もいらっしゃいます。しかし、クラウド事業者側で適切な対策は取られています。オンプレミスあるいはクラウドといった環境によらず、セキュリティ上の考慮点は同じです。

ただ、オンプレミス環境では最下層の物理的な部分まで制御することができましたが、クラウドを利用すると見えない部分、触れない部分が出てきます。そうした制限により、オンプレミス環境と同じセキュリティ対策を適用できないケースがある点に注意が必要です。

――特にデータベースのセキュリティついてはどんな懸念があるのでしょう

重要な情報はデータベースに格納されています。ネットワークの境界での対策のみならず、大元のデータベースを保護することが不可欠です。しかし、内部犯行のような、権限を持つ人への対応には難しい点があります。日常業務としてデータベースにアクセスするため、アクセス遮断という措置は取れません。そこで重要なのが、抑止効果を高め、有事に追跡できるようにするため、データベースの操作内容を取得、蓄積、分析することです。こうした処理を行うツールは、データベース監査ソフトウェアと呼ばれます。J-SOX法やPCI DSSなど、法律や業界指針の整備に伴い、監査法人の要請を受けて導入するケースも数多くあります。

ただ、データベースの操作ログを取得するプロセスは、システムの資源を大量に消費し、サーバに大きな負荷がかかります。提供サービスのパフォーマンスに与える影響を低減するために、データベース監査ソフトウェアごとにさまざまなアプローチが取られています。例えば、データベースを直接監視するのではなく、メモリ上のデータを参照したり、ネットワークを流れるパケットを監視するなど、間接的に情報を取得する方法があります。前者の場合、メモリが書き換えられる前に操作ログをすべて取得できる保証はありません。またエージェントをインストールする必要があり、Amazon AWSのRDSなど、データベースサービスでは対応不可能です。またクラウド環境ではネットワーク監視の権限がないので、後者も使えません。

――アクアシステムズ社のソリューションをご教示ください。

AUDIT MASTERでは、Oracleのaudit機能を用いて監査ログを取得しています。この手法であれば操作ログは100%取得できます。また、クラウド環境でもオンプレミス環境とまったく同様に扱うことが可能です。問題のパフォーマンスについては、GUIでチューニングを行うことで簡単に対応できるようにしています。導入事例ごとに細かいチューニング内容は異なりますが、サンプルを提示したり、コンサルティングサービスを通じて、お客様の満足が得られる結果を生み出しています。

――AUDIT MASTERがAWS対応になった、ということですが、具体的に何が変わったのでしょうか。

このたび新たに対応したのは、監視対象としてAmazon AWSのRDSサービスで提供されるデータベースが追加された点です。RDSはOSより上位のデータベースまで、Amazonが提供するサービスです。

Amazon EC2などクラウド業者が提供する仮想サーバや、オンプレミス環境のサーバに利用者が導入するOracleには元々対応していました。インフラの種類や場所が異なっても、AUDIT MASTERはシームレスに一元管理することができます。

また製品としてのみではなく、クラウドと同様サービスとしても提供します。現在は製品価格120万円(税抜)から、という価格体系のみです。今後は、1ヶ月5万円または3ヶ月15万円といった、期間に応じた課金体系も追加します。

--

アクアシステムズ社とアマゾン データ サービス ジャパン株式会社は、10月26日に「クラウド × データベース × セキュリティセミナー」を共同開催し、安澤氏が実際のニーズや社内テストの内容に関して「クラウド上でのセキュアなデータ管理のベストプラクティス」と題した講演を行う。
《株式会社イメージズ・アンド・ワーズ 鳴海まや子》

関連リンク

編集部おすすめの記事

特集

株式会社アクアシステムズ

クラウドサービス

特集 アクセスランキング

  1. 今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

    今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

  2. 能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

    能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

  3. アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

    アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

  4. Scan社長インタビュー 第1回「NRIセキュア 柿木 彰 社長就任から200日間」前編

  5. 【無料ツールで作るセキュアな環境(67)】〜 zebedee 5〜(執筆:office)

  6. 日本プルーフポイント増田幸美のセキュリティ情報プレゼンテーション必勝ノウハウ

  7. 作っているのはWebアプリではない ~ S4プロジェクト チーフデザイナー かめもときえインタビュー

アクセスランキングをもっと見る

Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×