システムで会計や個人情報を扱う場合、国内外の各種規制に対応していく必要がある。クラウド化が進み、サイバーセキュリティの脅威もあり、やるべきことは増えてきている。今回は監査のあるべき姿や注意点に関して、データベースにフォーカスして考える。データベースセキュリティベンダーのインパーバ(Imperva)の担当に訊いた。
データベース監査の導入前に抱える疑問、導入後に直面する課題
ITシステムが考慮すべき法律や規則にはさまざまあるものの、今回はデータベースに絞って考えよう。例えばPCI-DSSの要求事項には「DBを含む重要なサーバー等の日次ログレビュー」とあり、JSOXにもログについての定めがある。ログだけではなく、アクセスコントロールなどセキュリティについての要求もある。ただし「どうすれば、どこまでやれば十分か」は具体的には定められていない。
ITに関わる監査業務を長らく経験したインパーバ セールスエンジニア 本城学氏は実状について「現場がオーディター(監査役)と相談しながら決めていくことが多いです」と説明する。その上で、何らかのツールを用いて業務や監視を遂行していく。例えばImperva製品を使うなら、データベースへのログイン成否、セッション、特定のクエリなどを見ていくことができる。特定のクエリとはデータを操作するもの(Select、Insert、Update、Delete)、データベースのテーブルを操作するもの(Create/Drop table)、権限を操作するもの(Grant access、Revoke)などがある。データやテーブルの操作に加えて、権限を昇格させていないか、同じユーザーが別の場所からログインしていないかが攻撃や不正の兆候として注意すべきものになる。
セキュリティの観点では、本城氏は「近年はアタックサーフェス(攻撃対象となる場所)が拡大しているので、すでに侵害や侵入されていることを前提に警戒したほうがいいでしょう。これまでデータベースサーバーは『ファイヤーウォールの内側にあるから大丈夫』と考えられがちでした。しかしDXでデータ活用の高まりとともにデータの行き来が増えています。あらためて防御できているか見直す必要があります」と指摘する。
この記事は参考になりましたか?
- この記事の著者
-
加山 恵美(カヤマ エミ)
EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
