データベース監査に求められる要件とは

さて、データベース監査の目的や有効性についてご紹介してきましたが、導入の実際に即した「機能性」に視点を移し、データベース監査の仕組みに求められる要件を確認してみましょう。

 データベース監査を導入し運用していくにあたっては、その目的はもちろん、ログを取得し管理・運用する仕組み自体の特性も考えておく必要があります。それは、いかに継続するかということで、自社開発するにせよツールで実行するにせよ、「運用」を見据えたソリューションでなければならないということを強調したいと思います。
 また、導入運用方法を策定していくにあたり、企業、対象部門毎でのリスク評価及び規模や業務特性にあわせて検討していくことは重要ですが、ある程度一般的な指針にそって進めていくのが近道です。経済産業省「システム管理基準 追補版」や、クレジットカード業界のセキュリティ対策基準 PCI Security Standard Council 「Payment Card Industry (PCI) Data Security Standard “Requirements and Security Assessment Procedures” PCI データセキュリティ基準 要件及び評価手順」(通称PCI DSS)などがよく引かれています。

 それらも踏まえ、データベース監査に求められる要件を、データベース監査ログに必要な要素と、監査システムの運用の視点から以下の5点にまとめました。

データベース監査ログの要件

1. ログの保管および管理ができること
 (機密性 、Confidentiality)
 ログは対象データベースとは別のところに保管し、参照や改ざんを防止すること
2. 必要なログは完全に取得できること
 (完全性 Integrity)
 情報価値を評価し、重要度が高いものについての操作ログはもれなく取得すること
3. ログが必要な時に参照できること
 (可用性 Availability 特にデータべース監査では可監査性 Auditable)
 ログは定期的にモニタリングし、必要な時に容易に参照できること

 セキュリティに言われるいわゆる”CIA”的な要素が、監査ログにも必要と考えればよいのではないでしょうか。

データベース監査システムの要件

1. 対象者と管理者が分離していること
2. 継続的に維持運用が可能で、管理が容易であること

 あるべき姿からこれからの運用者を想像し、環境などの変化に柔軟に対応できることも忘れてはならないでしょう。