データベース・ファイアウォール導入への不安を解消する、5つの選定ポイントとは

前回、データベースを中心に据えたセキュリティ対策として考えるべき重要事項には「データベースのアクセス・ログの取得」、「データベースへのアクセスの分類」、「不正アクセスの検知とブロック」の3点があり、これらを機能として備え、データベース・サーバーの直前に配置してデータベースを不正アクセスから守る「データベース・ファイアウォール製品」の存在についてご紹介しました。

しかし、データベース・ファイアウォール製品は実装が困難、導入することで逆に大幅な性能劣化を招くといった漠然とした不安が大きく、実装に二の足を踏むIT関係者が多いのではないでしょうか。

昨今のデータベース・ファイアウォール製品はこのような不安が解消されるように様々な機能改善がなされています。最終回となる今回は、このデータベース・ファイアウォール製品を選定する際のポイントを「データベースのアクセス・ログの取得」、「データベースへのアクセスの分類」、「不正アクセスの検知とブロック」の3つの観点からご紹介します。

「データベースのアクセス・ログの取得」で求められること

選定ポイント1：データベースへのすべてのアクセスを漏れなくログとして記録できるか。

少し前まではログの取得に関し「特定のサーバーの特定のプログラムから実行されるSQLは正規のアクセスなのでログを取得する必要がない」、「ログの取得によりデータ量が増えるためこれを抑えたい」といった考え方もありました。しかし現在は、一見正規アクセスと思われるものの中に不正規のアクセスが紛れ、これが重大な事件に発展するケースが多発しています。

データベースのアクセス・ログは、データベースが不正アクセスされたかどうかを確認する唯一の手がかりです。外部なのか、内部なのか、また業務系アクセスなのか、管理系アクセスなのかを区別せず、データベースへのすべてのアクセスを以下の観点で漏れなくログとして記録しておくことが重要です。

• いつ
• 誰が
• どこから
• どのデータに
• どのように

これが可能かどうかが、データベース・ファイアウォール製品選定の重要なポイントとなります。

選定ポイント2：データベースへのアクセス・ログ取得でパフォーマンス劣化しないか。

データベースに対するすべてのアクセス・ログを取得することは重要です。しかし、このアクセス・ログをデータベースの機能で取得、あるいはデータベース・サーバーで取得した場合、性能劣化を招くことが大きな問題となっていました。例えば、オンライン・ショッピング・サイトで大幅な性能劣化が発生し、処理できるトランザクションが半減してしまうと、売り上げに大きく影響します。

最近のデータベース・ファイアウォール製品の中には、データベース機能ではなくネットワーク上のパケットのキャプチャーなどにより、データベース・サーバーに負荷をかけずにパフォーマンス劣化を極力発生させないものがあります。

選定ポイント3：データベースへのアクセス・ログを高圧縮して保管できるか。

また、データベースへのすべてのアクセス・ログを取得することになった場合の大きな懸念事項として、膨大なアクセス・ログを蓄積するためのストレージ容量があります。

以前は、ストレージ容量を節約するために、特定のサーバーの特定のプログラムから実行されるSQLなど、正規のアクセスと考えられるものはログとして記録しないといった対策を行うこともありました。しかし、前述したように現在は一見正規のアクセスと思われるものの中に不正規のアクセスが紛れていることが想定されるため、このような対策では不正アクセスがあった際の重要な証拠を捨ててしまうことになりかねません。そのため、データベース・ファイアウォール製品に、膨大なアクセス・ログを蓄積してもストレージの使用量を抑えることのできる高圧縮機能が備わっていることも重要です。