DCS セキュリティ総合サイト 三菱総研DCS株式会社

Webアプリケーション・セキュリティ

HOME > データベース・セキュリティ

お問い合わせ・資料請求

技術推進事業部ビジネス基盤第3グループ
電話:03-3458-8680
E-mail: security-biz@in.dcs.co.jp

Imperva ホワイトペーパー
DataBase Security Consortium DBセキュリティガイドライン DBセキュリティ製品別機能対応表 DBセキュリティ安全度セルフチェック

データベース・セキュリティ

SQLインジェクションに代表されるデータベースへの侵害が急増し、攻撃手法も高度化しています。

重要データが格納されるデータベースをこれらの侵害から守り、安全を維持し運用するためには、データベースへの脅威を把握し、脆弱性についての情報(DBユーザに対する過剰な権限設定やパッチの不適用など)を収集し、これらに迅速に対処していく維持・運用が必要になる事は既に皆様もご存知の通りです。

まず、外部および内部からの攻撃からデータベースを守る対策が必要となります。

例えば、データベースユーザに対する過剰な権限設定を修正する事やベンダーから発表されているパッチの適用などが上げられます。

さらに、運用フェーズでは、J-SOX対応も視野に入れた重要データへのアクセスログ監査が非常に重要となります。 これは、DB管理者、アプリケーションプログラム、正規エンドユーザ、さらにハッキングで侵入した不正ユーザも含め、「誰が」・「いつ」・「どのテーブルに」・「どのような操作」をしたのかを記録し(監査証跡取得)、不審あるいは不正なアクセス違反の存在の有無を確認し、重要データの正当性を証明する事が求められています。

上記のニーズを如何に完全に、自動的に、しかも既存システムへのインパクト無しに行い、省力化(つまりコストダウン)出来るかが皆様の最も関心のある点だと考えております。

三菱総研DCSは、この監査、監査ログ分析、防御の3つの対策のためのソリューションをご提供しております。

データベースセキュリティの課題と対策

データベース・セキュリティ対策は、昨今非常に重要度を増しています。データベースに格納している情報の中には、様々な攻撃の的となる社会的・戦略的な重要資産(情報)が含まれています。これら重要資産の管理には、非常に厳しい規制監督が敷かれ、法令を遵守しなければなりません。さらに、ビジネスアプリケーションを通したデータベースへの不正侵入、ワーム感染、改ざん、さらに内部からの不正アクセスなど、絶え間く脅威は続き、被害者の立場から、ある日突然お客様に対して加害者の立場になるケースも出現しています。
データベースへの脅威が常に変化する厳しい環境においては、セキュリティ責任者、運用責任者およびコンプライアンス責任者には、プロアクティブにデータベースを要塞化し、運用フェーズでは重要情報の利用を常時監視し、評価し、監査し、かつ防御する対策が求められています。

データベース事故の変化

2004年に発生した一括大量漏洩事件の特徴

プロバイダー、信販会社、カード会社などで連続して発生した漏洩事件は、アクセス権限を持つ委託先を含む内部者による犯行が主な原因でした。

不正アクセス監視対策の始まり

個人情報保護法施行(2005/4)の前後から、データベースへのアクセスログ(SQL)を保存し、分析するという事後の責任追及性を目的とした“監視”対策が始まりました。

個人情報の価値上昇と犯罪の高度化

  • 法律施行により、金銭に直結する重要情報(クレジットカード番号や口座番号など)のブラックマーケットでの売買価格が上昇

  • 犯罪の分業化と高度化:情報を盗み取るIT専門技術の高度化と個人情報を売買する犯罪集団へと分業化が進みました

内部犯行から外部からの攻撃へ

2005年中頃から、外部からのSQLインジェクション攻撃により注入されたワーム(不正プログラム)が、データベースを直接スキャンする攻撃が増加してきました。 さらに海外の危険なサイトへ誘導する為の不正コードも注入(インジェクト)されるようになりました。

これまでとられてきた対策

脆弱性の修正

ネットワーク、プラットフォーム/ミドルウェア/アプリケーションに対しては、脆弱性の検査、修正が行われてきましたが、データベースのセキュリティ検査はついつい後回しになり、軽んじられていました。

アクセスログの取得

いわゆる監視カメラの設置により、内部者対しての“抑止効果”は得られ、内部犯行は減少してきました。しかし、高度化する外部からの攻撃手段への対抗手段にはなり得ませんでした。

これからの対策

事前の対策を

  • データベース・セッティングを検査し、セキュリティホール(危険部位)を除去し、要塞化することで、不正アクセスや注入されたワームなどからの攻撃に耐えうるセッティングとすることが求められています。

アクセス監視と同時に、自動的なリアルタイムの防御を

  • 事故の説明責任を果たすための監査ログ分析の世界から、水際で事故を防ぐ監視&防御対策が必要となりました。

  • ネットワーク/Webアプリケーションサーバにファイアウォールを設置するのと同様にデータベースにも異常アクセスに対するファイアウォールが必要になってきました。

三層構造における完全な監査証跡の保存(SOX法対策)

クライアント層、アプリケーション層、データベース層から成る三層構造において、アプリケーション・サーバ経由でデータベースにアクセスする全てのエンドユーザ(アプリケーションユーザ)を自動的に特定して、重要データへのアクセス行動記録を残すことがコンプライアンス上求められています。
つまり、財務情報の真正性を証明するための操作記録(誰が何をどうした)の提出が必要です。

データベースの監視・監査に対するお客様のご要望

  • DBサーバの処理性能の低下は避けたいため、RDBMSが標準搭載している監査機能はONにできない。

  • DBサーバに負荷を与えてしまうソリューションは導入したくない。

  • DBAなど内部者による監査ログの改ざんを避けたいため、管理を分離したい。

  • 既存のインフラには、一切変更を加えたくない。

  • アクセスログ(SQLコマンド)は、100%全て取りたい。

  • 明らかに不正なSQLは、実行される前に水際で防御したい。事後でのアラートは遅すぎる。

  • 暗号化されたSQLパケットや管理者によるローカルアクセスにも対応したい。

  • 運用管理には余計な手間をかけたくないため、ログのバックアップやルールのチューニングを自動化したい。

  • 通常のアクセスの範囲か、いつもと逸脱した不審なアクセスかを自動的に判別したい。

  • 参照された(抜き取られた)データが何かを正確に把握したい。

  • 三層構造において、Appサーバ経由のエンドユーザのDBアクセス行動を自動で補足したい。誰が、いつ、どのデータをSelect, Insert, Delete, Updateしたかをトレースしたい。

  • 取得した監査証跡は、長期間(例えば5年間)保存したい。分析も行いたい。

データベースの監視・監査製品における現状の問題点

監査ログ型製品の課題

  • DB搭載の標準監査機能をONにすることにより、どうしてもDBサーバへの負担が増えてしまう。

  • アーキテクチャ的にどうしても不正アクセス後(事件後)のログ分析にならざるを得ない。

  • 増え続けるログファイルの管理の負担が増える。

  • DBAが改ざんできてしまう。

エージェント型(メモリ参照型)の課題

  • CPUへの負荷が少ないとはいえ、サンプリング方式のため、SQLの取り損ねが発生する可能性は残る。100%監査は、難しい。

パケットキャプチャ型の課題

  • DBサーバへのSQLの遅延、パケットロスの発生の危険がある。(処理性能の問題)

  • DBAのローカルアクセスや暗号化パケットに対応できないものがある。

共通の課題

  • 三層構造への対応
    エンドユーザがフロントエンドのWebアプリケーションを通してデータベースにアクセスする場合(このケースが一番多いのですが)、従来のDB監査製品は、Webアプリケーションをデータベース・ユーザとして捕らえるだけにとどまり、実際のエンドユーザとデータベースアクティビティを結びつけることが不可能でした。これを実現するためには、Webアプリケーションにエンドユーザアクセスを記録するエージェントを開発し、常駐させ、DBアクセス記録と照合しSQLを特定する特殊な開発が個別に必要となりました。誰も稼働中のアプリケーションの変更は避けたいもので、インパクトフリーの実装は困難でした。

  • 導入立ち上げから、本稼動に至るまでの“ポリシーのチューニング”、“ストレージの管理”、さらに新しい攻撃手法への対応などに、予想以上の労力がかかるので、これを自動化したい。

  • 参照された(抜き取られたデータ)が何かを把握できない。

  • 高額になる導入コスト
    平均のベースコスト300万円前後に加え、1インスタンスあるいは1DB当たり50〜500万円のコストが必要となる価格体系が多く、複数DBを監視する場合、高額になりがちで、導入規模を抑えざるを得ない。

  • Webアプリケーションファイアウォールのメーカーとは別になるため、両方を導入する場合、統一した運用管理マネジメントができない。

今、求められているDBセキュリティとは、

完全自動化した「監視・監査・防御」対策を打つ

  • 自動化されたソリューションでなければなりません。運用に負担をかけてはいけません。

  • ビジネスアプリケーションを通した不正侵入、ワーム感染、外部からの攻撃、内部の不正アクセスなどの脅威を全て取り除かねばなりません。

  • 既存システムへ変更や負担を与えてはなりません。
    → “Imperva SecureSphere DAM/DBF”

三菱総研DCSの提供するデータベース・セキュリティ ソリューション


データベース監視・防御・監査 〜 Imperva SecureSphere DAM/DBF 〜

Imperva SecureSphere DAMは、三層構造(エンドユーザ⇔Webアプリケーション⇔データベース)に対応したデータベース・アクセス監査ソリューションです。
Imperva SecureSphere DBFは、データベースへのアクセスをデータベースの前で監視、評価、および防御するための完全に自動化されたアプライアンス・ソリューションです。

データベース監視ログ分析ツール 〜 Forensic for SecureSphere 〜

Forensic for SecureSphereは、Imperva SecureSphere DAM/DBFが収集したデータベースへの大量なアクセスおよびレスポンスログを管理/検索/分析するためのオプション製品(ソフトウェア)です。
Forensic for SecureSphereは、長期間あるいは大量のログ保存が必要な場合や、SecureSphereが提供する標準機能以上の検索が必要な場合の対応として有効なソリューションです。

データベース・セキュリティ ソリューションメニュー

データベース監視・防御・監査
Imperva SecureSphere DAM/DBF
データベース監視ログ分析ツール
Forensic for SecureSphere
Copyright© 2007- Mitsubishi Research Institute DCS Co.,Ltd. All rights reserved.
サイトマップ
セキュリティ用語集