データベース監査の導入前に抱える疑問、導入後に直面する課題
ITシステムが考慮すべき法律や規則にはさまざまあるものの、今回はデータベースに絞って考えよう。例えばPCI-DSSの要求事項には「DBを含む重要なサーバー等の日次ログレビュー」とあり、JSOXにもログについての定めがある。ログだけではなく、アクセスコントロールなどセキュリティについての要求もある。ただし「どうすれば、どこまでやれば十分か」は具体的には定められていない。
ITに関わる監査業務を長らく経験したインパーバ セールスエンジニア 本城学氏は実状について「現場がオーディター(監査役)と相談しながら決めていくことが多いです」と説明する。その上で、何らかのツールを用いて業務や監視を遂行していく。例えばImperva製品を使うなら、データベースへのログイン成否、セッション、特定のクエリなどを見ていくことができる。特定のクエリとはデータを操作するもの(Select、Insert、Update、Delete)、データベースのテーブルを操作するもの(Create/Drop table)、権限を操作するもの(Grant access、Revoke)などがある。データやテーブルの操作に加えて、権限を昇格させていないか、同じユーザーが別の場所からログインしていないかが攻撃や不正の兆候として注意すべきものになる。
セキュリティの観点では、本城氏は「近年はアタックサーフェス(攻撃対象となる場所)が拡大しているので、すでに侵害や侵入されていることを前提に警戒したほうがいいでしょう。これまでデータベースサーバーは『ファイヤーウォールの内側にあるから大丈夫』と考えられがちでした。しかしDXでデータ活用の高まりとともにデータの行き来が増えています。あらためて防御できているか見直す必要があります」と指摘する。
