Denaliなら性能劣化のないデータベース監査機能が実現できる
「ここ最近、データベースシステムの案件では、監査ログをきちんととれるかどうかということが、要件としてよく挙げられます」
日本マイクロソフト サーバープラットフォームビジネス本部 クラウド&アプリケーションプラットフォーム製品部でSQL Server製品を担当しているエグゼクティブプロダクトマネージャの北川 剛氏は、データベースシステムのセキュリティ要件として、監査への対応を求められることが多いという。いつ、誰が、どういう手法でデータベースにアクセスしたのか。その記録を、監査に耐えうるような形できちんと保管したい。
監査への対応について、SQL Serverでは標準機能だけで実現できるが、ときには3rdパーティー製品と組み合わせたり、ユーザーが独自に作り込んだりすることで実現する場合もあるという。監査ログの取得については、SQL Server 2008からその機能が大きく強化されている。北川氏によれば、「標準機能だけでも十分なものが揃っている」という。すでに実績も多数あり、日本においては東芝セミコンダクター社がISMに準拠した運用を行うためにSQL Serverが標準で提供している監査機能を適用した事例が公開されている。
とはいえ、データベースの標準機能で監査ログを取得しようとすると、通常はトランザクション性能なりになんらか影響を及ぼす。とくに、最大限に監査ログを取得しようとすれば、性能への影響は大きくなることになる。そのため、ネットワーク・キャプチャ方式など、本体の動作に影響が出ないような方式を採用するなど工夫を施すことも多い。だが、ネットワーク・キャプチャ方式では、ネットワークを経由せずにサーバーへ直接アクセスする操作については、ログを取得できない不都合もある。
次期バージョンであるSQL Server 2012(Denali)では、監査ログ取得に伴う性能劣化という課題を解決する、新たな機能が搭載される。
「拡張イベントを利用し、データベースで発生したイベントをすべてログとして記録できるようになります。これにより処理を分離できるので、すべての監査ログを取得しても、本体データベースの処理性能の劣化はほとんど発生しません」(北川氏)
会社のポリシーで、その会社がデータベースの監査をすると決めてしまえば、以降導入するデータベースでは監査をきちんと行えないものは採用できなくなる。そのような際には、監査機能は必須となり、Denaliの新たな性能劣化のない監査ログ取得機能は、他の製品に対し大きな優位性になると北川氏は主張する。
