SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

定期誌

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

Data Tech 2024

2024年11月21日(木)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

新エバンジェリスト養成講座

講座一覧はコチラから

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

バックナンバーはこちら

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

最新号を読む

oracletechアーカイブス!

データベース・セキュリティの実装 第4回 最前線の防御を可能にするOracle Database Firewall


Oracle Database Analyzerによるポリシーの作成

 実際にポリシーを作成するとなると、大変なイメージを持たれるかもしれないが、意外にそれほどでもない。ポリシーの設定は、Oracle Database Analyzerによって設定する。これは、Windowsにインストールするクライアントアプリケーションである。

Oracle Database Analyzer
Oracle Database Analyzer

 通常、Oracle Database Firewallを使用する際には、一定の学習期間が必要である。これは通常流れているSQLをキャプチャし続けることで、ポリシーを設定するための基礎となるSQLを一括して取得することが目的である。学習期間後は、SQL個々にPass, Block, Warnといったブロッキングのポリシーと、ロギングの設定を行う。構文が同じSQLはクラスタというグループにまとめられるので、クラスタ単位での一括した定義も行うことができる。

 例えば、単純にホワイトリストのポリシーを作成する場合は、デフォルトをBlock、通過させたいSQLをPassにするのだが、そのSQLは学習期間で取得したSQLから選べば良い。または、テキストファイルから一括してローディングすることも可能だ。ポリシーは、ユーザやIPアドレス、プログラム名といった単位でプロファイル化して、いくつかのパターンで切り替わるようにすることもできる。画一的なポリシーの設定ではなく、SQL以外の要素も組み合わせた自由度の高いポリシー設計を行う柔軟性も持っている。

Oracle Database FirewallによるSQLモニタリング

 ブロッキングについて話を進めてきたが、Oracle Database Firewallをモニタリング用途としての使用も有効である。データベースのセキュリティ要件として、「監査ログを取得すること」と記載のないRFPのほうが珍しいだろう。監査ログはセキュリティの必須要件のひとつだ。第二回で、Oracle Databaseでの監査機能や設計のポイントを述べたが、すでに稼働しているデータベースに対して、新たに監査設定をするというのはパフォーマンスの懸念を考えると躊躇してしまうのは致し方のないことかもしれない。Oracle Databaseでは、10gR2からXML監査という監査設定やファイングレイン監査といった監査の絞り込みによって性能への影響は極小化できる。しかし、それ以前のバージョンのOracle Databaseの監査ログを取得しなければならない時やOracle Database以外のデータベースではまともに監査ログを取ることができないデータベースもある。そのような場合には、Oracle Database Firewallのモニタリング機能が非常に有効になる。

 事例のひとつとして、投資銀行系のデータベースの全トラフィックの監査ログを取得するという要件でOracle Database Firewallが使われている。このシステムでは、1日 1.7億件発生するトランザクションを24時間×365日漏れなく保存するという厳しい要件が定められているが、それらを見事にクリアしている。

 前述に紹介したアウトオブバンド方式の構成であれば、既存のトランザクションへの影響はなく、パフォーマンスを気にする必要はない。さらに、Oracle Database Firewallはログを圧縮して保存している。その圧縮の効果は高く、例えば、Oracle DatabaseのXML監査ログと比較した場合、1,200万レコードの監査ログのサイズは、Oracle DatabaseのXML監ファイルだと8.4GB、Oracle Database Firewallでは172MBと約50分の1のサイズになる。監査ログはどうしても膨大になりがちだが、Oracle Database Firewallではログを保存しておくのに必要となるストレージサイズを縮小することを可能にする。

ログの圧縮効果
ログの圧縮効果

 また、ネットワークを経由しないサーバに直接ログインした場合もモニタリングを可能にするローカルモニター、サブネットを跨いだモニタリングを可能にするリモートモニター、Oracle Database Firewallの高可用性の構成など、特筆すべき機能がまだまだあるが文字数の都合上ここまでとしよう。

 より詳しい情報については、以下を参照頂きたい。
 【セミナー動画/資料】Oracle Database Firewallの全貌をご紹介

Oracle Database Security
Oracle Database Security

 全4回にわたりデータベース・セキュリティの実装ということで、エンジニアの方々が使える情報となるように心掛けて連載を続けてきた。データベースに限らずセキュリティは多層防御が基本的な考え方である。今回、紹介したOracle Database Firewallは最も最前線でデータベースを保護し、アクセス制御、監査、そして最後の砦として暗号化やマスキングが保険的な役割を果たす。是非、これらの要素をうまく組み合わせてシステムに合わせた最適なセキュリティを構築して頂きたい。

 今回の取り上げた内容が少しでもデータベース・セキュリティを実装する際のヒントになることを願い、本連載を終了することにする。

関連資料

 ・Oracle Database Firewall|オラクルエンジニア通信
 ・ユーザー・アカウントおよびセキュリティの管理|オラクルエンジニア通信

 ※この記事はoracletech.jpからの転載です。

PREV

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
oracletechアーカイブス!連載記事一覧

もっと読む

この記事の著者

oracletech.jp編集部(オラクルテックジェイピーヘンシュウブ)

oracletech.jpは、オラクル・データベースと関連製品をお使いいただいている皆様、開発に携わっているエンジニアの皆様、オラクル製品を販売いただいている皆様すべてにとって有益な情報源となることを目指しています。エンタープライズ系ITを中心に、製品情報や技術情報からテクノロジー・トレンド、キャンペーンやイベント/セミナー情報まで多岐にわたります。日本オラクルの社員だけでなく...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3540 2012/02/10 18:10

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  2. 2
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く NEW
  3. 3
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」
  4. 4
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  5. 5
    2年で従業員数5倍の企業が直面した課題 「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは
  6. 6
    JR主要駅の“消費力”をSuicaデータ×オープンデータで分析、JR東日本が推進する「駅カルテ」とは
  7. 7
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く
  8. 8
    「AI旋風」からは逃げられない、ガートナーアナリストが語った2025年からの戦略的展望 NEW
  9. 9
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション
  10. 10
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  2. 2
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く NEW
  3. 3
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」
  4. 4
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  5. 5
    2年で従業員数5倍の企業が直面した課題 「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは
  6. 6
    JR主要駅の“消費力”をSuicaデータ×オープンデータで分析、JR東日本が推進する「駅カルテ」とは
  7. 7
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く
  8. 8
    「AI旋風」からは逃げられない、ガートナーアナリストが語った2025年からの戦略的展望 NEW
  9. 9
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション
  10. 10
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは