FAQ よくあるご質問

データベース監査、操作ログについて

データベース監査とは何ですか?

データベースでどういった操作がされたか、操作ログを取得し、不正な操作がされていないかモニタリングしたり、監査対応のログレポートを出力したりすることをデータベース監査といいます。

データベースの操作ログを取る必要はありますか?ネットワークのログは取得しているので必要ないと思うのですが。

データベース上のデータをどのように操作したのか、というデータベース操作ログ は、SQLインジェクションなどアプリケーションではつかめない攻撃や、管理者による内部不正を検知することができるのはデータベースにおける操作ログです。
また、内部統制においてはデータベース内のデータに対して正しい操作を行った履歴 としても要求されます。事故前提の対策、多層防御の考え方が重要になってきており、データベース層での対策の重要性が高まっています。

データベース操作ログはどういった法制やガイドラインで必要とされていますか?

ログの取得とモニタリングは、あらゆる法制、規制、ガイドラインで要求されています。
JSOX(金融商品取引法)、システム管理基準追補版(財務報告に係るIT 統制ガイダンス)、FISC安全対策基準、ISO27001/ISMS、PCI DSS などで規定されています。
データベース・セキュリティ・コンソーシアム(DBSC)で作成したデータベースセキュリティガイドラインも参考にしていただけます。

データベースは暗号化しているので、ログは必要ないのではないですか?

暗号化された状態のデータは正しく参照できませんが、復号化後のデータを漏えいから防ぐことができないので、暗号化は方法によっては必ずしも完全に情報漏えいを防げるわけではありません。
また、暗号化したからといって、データの改ざんは防げません。

AUDIT MASTER の機能、構成について

データベースサーバにエージェントやアプリケーションを入れるのですか?

対象データベースサーバには何もいれる必要がありません。※1 オンプレミス、クラウド、国内、海外といった対象データベースの場所にも影響を受けません。 対象データベースサーバにエージェントをインストールしたり、データベース構成を変更したりしないので、短期間で導入することができ、対象データベースへの影響を最小に抑えることができます。また、あらゆる環境のデータベースに対応しシームレスに一元管理することも可能です。

※1 ファイル出力形式のログ取得の場合には、AMエージェントやSSHサーバ接続を使って取得することもできます。

データベース監査ログをとると、データベースに負荷がかかるのではないですか?

データベースに対する操作のログを、データベースの機能(監査/ログ機能)によって取得すると、デーベースに負荷がかかるとよく聞きますが、適正な設定とログ管理によって、負荷は最小限にできます。
Oracle におけるログ出力設定で 1処理で追加されるログ出力処理時間は、わずか 0.1 msec です。
また、アクアシステムズがお客様の本番導入前の性能試験で実施した検証結果では、 2,000 tps の環境において、1時間に5万件のログ出力をした場合で、CPU使用率はわずか 0.4% の上昇であり、ほぼ影響がないという結果が出ています。

稼働中のデータベースに影響はないですか?

データベースによっては(OracleやMySQL)、パラメータ変更・再起動が必要ですが、それ以外に変更する必要はありません。ネットワークやシステム構成の変更も必要がなく、既存の環境への影響はほぼありません。

管理者、特権ユーザー(DBA)の操作ログはとれますか?

はい、取得できます。データベース標準の機能を使っていますので、あらゆるタイプや経路の操作を取得することができます。
【参考】
・ネットワークパケットを利用する製品の場合、ネットワーク負荷が高い環境だと100%取得できませんし、ローカル操作、暗号化通信の場合は取得できません。
・メモリを参照するエージェント製品の場合、メモリ参照であり100%取得されません(性能試験の際の実測データでは60%程度の取得結果が出ています)。メモリ参照で取得できるのは、Oracle の場合でのデータ参照・更新(select/update/delete/insert)操作のみで、ログイン・ログアウトやユーザー作成・権限付与といった管理処理操作の取得はできません。

通信だけでなく、データベースのデータを暗号化していますが、問題ないですか?

ありません。ログはデータベースサーバに渡された処理文(SQL文)で出力、収集されます。

監査レポートのテンプレートはありますか。

お客様の要件に合わせたレポートを柔軟に作成でき、それをテンプレートとして必要なタイミングでジョブ実行することが可能です。
また「PCI DSS向けレポートテンプレート」などをご提供することができます。

AUDIT MASTER 導入環境について

複数のデータベースが対象ですが、AUDIT MASTER 1台でいくつのデータベースを管理できますか?

収集するログ量、ネットワークの負荷、AUDIT MASTERサーバのスペックに依存しますが、1台の AUDIT MASTERで10 DB程度までの実績は十分にあります。
1DBあたりのログ量/サイズが大きくはないところで、100 DBを管理しているところもあります。

仮想環境で使用することはできますか?

はい、AUDIT MASTER 本体、対象DB、いずれも仮想環境で対応可能です。
仮想環境に依存して起こった問題以外はサポートされます。

AUDIT MASTER をインストールするにはどれくらいのスペックが必要ですか?

CPU 2コア以上、メモリ 2GB以上、を推奨しています。
なお、ディスクはログ量/サイズ、保存期間に依存しますので、個別のお見積りとなりますが、250GB以上の空き領域があれば1つの対象DBで1年程度は問題なく管理できます。

AUDIT MASTER ライセンスについて

ライセンス価格の計算方法を教えてください。

AUDIT MASTER 本体ライセンス(AUDIT MASTER インストール先につき1つ)+対象DBサーバライセンス(対象DBサーバライセンス×台数)
対象DBサーバライセンス単価は、サーバ毎のCPUコア換算数により決まります。
CPUコア換算数はCPU総コア数×CPU係数で算出されます。

対象DBサーバライセンスはデータベースの数分必要ですか

対象DBサーバのサーバ数(仮想環境の場合はゲストOS数)になります。
データベースやインスタンスが複数あってもサーバ単位となります。