PR

データベース・ファイアウォール導入への不安を解消する、5つの選定ポイントとは

2012年12月6日(木)
小河 昭一(オガワ ショウイチ)

前回、データベースを中心に据えたセキュリティ対策として考えるべき重要事項には「データベースのアクセス・ログの取得」、「データベースへのアクセスの分類」、「不正アクセスの検知とブロック」の3点があり、これらを機能として備え、データベース・サーバーの直前に配置してデータベースを不正アクセスから守る「データベース・ファイアウォール製品」の存在についてご紹介しました。

しかし、データベース・ファイアウォール製品は実装が困難、導入することで逆に大幅な性能劣化を招くといった漠然とした不安が大きく、実装に二の足を踏むIT関係者が多いのではないでしょうか。

昨今のデータベース・ファイアウォール製品はこのような不安が解消されるように様々な機能改善がなされています。最終回となる今回は、このデータベース・ファイアウォール製品を選定する際のポイントを「データベースのアクセス・ログの取得」、「データベースへのアクセスの分類」、「不正アクセスの検知とブロック」の3つの観点からご紹介します。

「データベースのアクセス・ログの取得」で求められること

選定ポイント1:データベースへのすべてのアクセスを漏れなくログとして記録できるか。

少し前まではログの取得に関し「特定のサーバーの特定のプログラムから実行されるSQLは正規のアクセスなのでログを取得する必要がない」、「ログの取得によりデータ量が増えるためこれを抑えたい」といった考え方もありました。しかし現在は、一見正規アクセスと思われるものの中に不正規のアクセスが紛れ、これが重大な事件に発展するケースが多発しています。

データベースのアクセス・ログは、データベースが不正アクセスされたかどうかを確認する唯一の手がかりです。外部なのか、内部なのか、また業務系アクセスなのか、管理系アクセスなのかを区別せず、データベースへのすべてのアクセスを以下の観点で漏れなくログとして記録しておくことが重要です。

  • いつ
  • 誰が
  • どこから
  • どのデータに
  • どのように

これが可能かどうかが、データベース・ファイアウォール製品選定の重要なポイントとなります。

選定ポイント2:データベースへのアクセス・ログ取得でパフォーマンス劣化しないか。

データベースに対するすべてのアクセス・ログを取得することは重要です。しかし、このアクセス・ログをデータベースの機能で取得、あるいはデータベース・サーバーで取得した場合、性能劣化を招くことが大きな問題となっていました。例えば、オンライン・ショッピング・サイトで大幅な性能劣化が発生し、処理できるトランザクションが半減してしまうと、売り上げに大きく影響します。

最近のデータベース・ファイアウォール製品の中には、データベース機能ではなくネットワーク上のパケットのキャプチャーなどにより、データベース・サーバーに負荷をかけずにパフォーマンス劣化を極力発生させないものがあります。

選定ポイント3:データベースへのアクセス・ログを高圧縮して保管できるか。

また、データベースへのすべてのアクセス・ログを取得することになった場合の大きな懸念事項として、膨大なアクセス・ログを蓄積するためのストレージ容量があります。

以前は、ストレージ容量を節約するために、特定のサーバーの特定のプログラムから実行されるSQLなど、正規のアクセスと考えられるものはログとして記録しないといった対策を行うこともありました。しかし、前述したように現在は一見正規のアクセスと思われるものの中に不正規のアクセスが紛れていることが想定されるため、このような対策では不正アクセスがあった際の重要な証拠を捨ててしまうことになりかねません。そのため、データベース・ファイアウォール製品に、膨大なアクセス・ログを蓄積してもストレージの使用量を抑えることのできる高圧縮機能が備わっていることも重要です。

著者
小河 昭一(オガワ ショウイチ)
株式会社アシスト

株式会社アシスト 情報基盤事業部データベース製品統括部 技術部長
業務アプリケーションのプログラマー、プロジェクト・マネージャを経てアシストへ入社。アシスト入社後は、メインフレーム上のデータベースからOracleデータベースへのダウンサイジング案件を多数手がける。2005年 データベース・セキュリティ・コンソーシアムにおいて、「データベースセキュリティガイドライン」の作成に参画、2012年からは同コンソーシアムの運営委員として活動を行っている。

連載バックナンバー

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています

データベース・ファイアウォール導入への不安を解消する、5つの選定ポイントとは | Think IT(シンクイット)

Think IT(シンクイット)

サイトに予期せぬエラーが起こりました。しばらくたってから再度お試しください。