インライン対応とネイティブログ監査

データベース監査を行う場合、大きく分けて2種類のアプローチがある。1つはエージェントまたはインライン、もう1つはネイティブログ監査だ。どちらも一長一短で甲乙つけがたく「どちらが正解かは弊社内でも答えはでていません」と本城氏。
エージェントとインラインは厳密には異なるものの、不適切な動作を検知したら即座にアクセスをブロックするなど素早い対応が可能となる。とはいえ、データベースやトランザクションへの影響が皆無とは言い切れない。一方、ネイティブログ監査とは出力された監査ログを元に監査や対応を行う。データベースやシステムへの影響は上記のエージェントやインラインに比べれば軽微となる。ただし不正やすり抜けなどが起きた場合にすぐ対応することは難しい。
どちらをとるかはメリットとリスクのバランスで判断することになる。企業によっては割り切ってどちらかを選んだり、併用したりすることもある。
ログ保存という落とし穴
エージェントやインラインは何らかのシステムを導入しておく必要があるのは明白だが、「(何も導入していなくても)ログさえ残しておけば、万が一の事象が起きてもなんとかなるのでは?」と考えていないだろうか。ここは落とし穴になりかねない。
ログには保存期間があり、種類もいくつかある。保存期限が過ぎてログが残っていない、あるいは必要なログが保存されていない場合も起こりうる。ログが残っていたとしても、ログは何らかのツールがないと読み解くのは難しい。監査になれば専門的な知識が必要になるため、ログから必要な情報を探すだけで何日もかかることも起こりうる。
本城氏は次のように述べている。「ログのレビューをどうしていますかとお客様に聞いたところ『エラーが起きたところを検索して確認します』と回答されたことがあります。しかし実際の不正やサイバー攻撃はエラーが出力されないところで起きることのほうが多いです。例えば通常使わないポートを使う、権限昇格する、普段アクセスしないテーブルにアクセスするなどはエラーにはなりません。ただし通常とは異なる動きなので、こうしたことを手がかりに調査を進めていきます」
こうした専門家の知恵や経験により、データベースにも監査を行うことで不正行為やインシデントを検知したり、事後のフォレンジックで使われることもある。早期に検知できれば早期の対応も可能となる。GDPRだとデータ侵害が起きた場合の報告義務は72時間以内と定められているため、早期検知はとても重要だ。
「データベース監査ではリスク対コントロールで整理し、自社のリスクを十分にコントロールできているか再確認することをおすすめします。見えていないものは守りようがありません。きちんと可視化して確認しましょう。セキュリティの観点では、NISTが定めたCSF(サイバーセキュリティフレームワーク)をデータベースにも適用できるようにしましょう」(本城氏)