実際の製品に見るデータベース・ファイアウォールの特長

実際の製品に見るデータベース・ファイアウォールの特長

データベース・ファイアウォールは進化を続けており、IBM社やImperva社などからもこのデータベース・ファイアウォールの考え方に合致した製品が出ていますが、筆者の所属するアシストでも導入実績があり、先ほど述べた5つの選定ポイントをすべて満たした製品の例として、「Oracle Database Firewall」を紹介します。

「Oracle Database Firewall」は、アプリケーションとデータベースの中間で、ネットワーク・トラフィックからSQLを収集し、ログとして記録、管理、レポートする「モニタリング機能」と、SQLの解析により危険と判断されるものはブロックや警告でデータベースを保護する「ブロッキング機能」を備えています。Oracle社製品ではありますが、Oracleだけでなく、SQL サーバー、DB2、MySQL、Sybase等のデータベースにも対応しており、以下の特徴があります。

透過的

• 既存のアプリケーションやデータベースの変更が不要な独立した構成

パフォーマンス

• モニタリングだけの場合、オーバーヘッドはなし

運用、導入が容易

• ホワイト・リスト、ブラック・リストのどちらにも対応
• アクセス・ログ情報からホワイト・リスト、ブラック・リストの生成が可能
• モニタリングだけなら即日導入、運用開始が可能

正確な検知＆ブロック

• データベース・ベンダーならではの高速かつ高度なSQL文法解析エンジンを搭載

漏れのない監視

• データベースへのローカル接続等、Oracle Database Firewallを経由しないSQLも監視

ストレージ使用量

• XML監査ログと比べて、必要な容量が1/50に圧縮

レポーティング

• PDF、Excel形式でのレポーティングが可能
• 20種類以上のレポート・フォーマット、スケジュール配信をサポート

また、データベースがOracleの場合にはデータ、通信、バックアップをすべて暗号化するAdvnaced Security Optionなどを併用することで、セキュリティを一層強化することが可能です。

図2：Oracle Database Firewall 導入イメージ（クリックで拡大）

最後に

これまで3回にわたり、データベース・セキュリティ・コンソーシアムから公開されている「データベースセキュリティガイドライン　第2.0版」、「緊急提言：オンラインサービスにおけるデータベースと機密情報の保護」、および最近のセキュリティ事案を参考に、あらためて今考えるべきデータベースのセキュリティ対策について解説してきました。

データベースへの攻撃手法は日々進化、巧妙化しており、これだけを想定していれば大丈夫というものではありません。今回、データベースを不正アクセスから守る「データベース・ファイアウォール製品」についてご紹介しましたが、この機会にデータベース・セキュリティ対策の１つの選択肢として導入を検討してみてはいかがでしょうか。

【参考文献・リンク】

データベース・セキュリティ・コンソーシアム

• 「データベースセキュリティガイドライン　第2.0版」
• 「緊急提言：オンラインサービスにおけるデータベースと機密情報の保護」
• 「DBSCからの情報発信　第１回 データベースセキュリティ新時代」
• 「DBSCからの情報発信　第２回　DBセキュリティを本気で見直す時が来た！」
• 「DBSCからの情報発信　第３回　境界線のない時代に求められるDBセキュリティ」
• 「DBSCからの情報発信　第４回　遠隔操作ウイルス、標的型攻撃とデータベースを考える」

データベース・ファイアウォール製品

• Oracle Database Firewall（アシスト）

（リンク先最終アクセス：2012.12）