ソフトバンクBB株式会社 様
情報システム本部 事業開発統括部 C&Sシステム企画部 部長
松田 恭典 様(左)
コマース&サービス統括 コーポレート事業推進本部 MD弟2統括部
ソフトウェアマーケティング1部3課
室伏 光太郎 様(右)
スピードと内部統制の両立
Yahoo BBをはじめとするブロードバンド総合サービスを核に、ブロードバンドコンテンツの開発やパソコン・ケータイ・テレビのシームレスな環境構築を進めている ソフトバンクBB株式会社。同社は、デジタル産業の至上命題でもある“スピード”を重視する企業文化から、データベースのパフォーマンス向上を最優先課題 に据えている。そこで取り組んだのが、Oracleプロフェッショナルサービスを提供するアクアシステムズのコンサルティングによる、既存データベースの 高速化と安定稼働であった。
まず第1のフェーズとして、データベース操作に伴う処理や、実行制御といったデータベースの「振る舞い」の見える化に着手。システムの高速化が見込める 基本フレームを構築した上で、新たに取り組んだのが、データ処理操作自体の見える化であり、「データ」の正当性をいかに確保するかであった。
データの正当性・妥当性をいかに証明するかは、内部統制を論じる上でいま重要なトピックとなっている。個人情報保護法、そしてJ-SOX法(金融商品取 引法)へと、「コンプライアンス」が市場での企業価値を決定づけるいま、ソフトバンクBBにおいても、社内のセキュリティフレームワークを策定し、内部統 制の強化を推進することは、重要命題と位置づけている。こうした背景が、データベースのパフォーマンス向上を最優先に据えながらも、データベース層でのコ ンプライアンス対策を強く求めた理由だ。
必要なログを確保しつつ、データベース監査でのパフォーマンス負荷を最小限に
データの安全性・信頼性を高めるデータベース設計について、アクアシステムズのコンサルタントは以下のような構築案を提示した。まず、運用を見据えたアクセス管理/権限管理のルールを策定した上で、それを実現するデータベースのセキュリティ設計、及びデータベースログ活用を進めること。なかでも、特権ユーザー(DBA*1)による操作詳細は、データベースのログによるモニタリングが唯一の対策となるため最重要トピックとした。
これらの条件を満たすため、まずはデータベースログの取得や活用を実現する新たなソリューションの開発が検討された。しかし、スピード重視というソフト バンクBBの特性から、圧倒的に導入期間が短く、コスト面でもメリットの高い既存ツールの導入を決定。Oracleに関する高い技術とノウハウを持つアク アシステムズ社のコンサルティングに信頼を寄せていたこともあり、同社の開発したAUDIT MASTERの導入検証を実施した。
AUDIT MASTERはインストール ― ポリシー適用 ― テスト・評価まで、システム側での所要期間が4、5日程度。まさしくソフトバンクBBの目指す事業スピードの要請に応えるものであったといえる。残る懸念 としては、監査ログを取得することによって、パフォーマンスに影響がでるのではないかという点である。
[負荷検証概要]
現行システム実施されているSQL文*2からテストトランザクションを作成し、監査設定前後で流して実際の実行環境をシミュレートし、「トランザクションの実行時間」「監査ログ出力量(件数、容量)」を監査設定前後で比較する。
[基礎性能と、監査設定との評価]
| NO | 多重度 | 監査設定 | 実行時間 | 比率 |
|---|---|---|---|---|
| 1 | 1 | × | 3分35秒 | – |
| 2 | 3 | × | 6分3秒 | – |
| 3 | 5 | × | 8分2秒 | – |
| 4 | 1 | ○ | 3分40秒 | 102% |
| 5 | 3 | ○ | 5分59秒 | 99% |
| 6 | 5 | ○ | 8分21秒 | 104% |
適用予定の監査設定では、オンライン性能への影響は平均約2%。また多重度を上げても影響度は大きくは変わらないという結果から、監査設定による影響は問題ないと判断された。
運用を見据えたログのモニタリングには、柔軟なレポートで
データベースのログを経営資源として実際に活用するためには、業務部門や監査対応部門と連携しながら、業務手順やフローを策定していく必要がある。そこで、こうした検証作業と同時に具体的なレポート設計やログ運用設計にも着手した。
【データベース監査ログの活用スキーム】
1.入退社によって発生するアカウント作成・削除、異動に伴う権限変更についてのアカウント変更申請とともに、対応結果レビュー
2.未使用アカウントのレポーティングによるアカウントの棚卸
3.特権ユーザー(DBA*1)操作についての、DB使用申請と承認、DB変更・更新作業の承認
せっかく取得したログは活用されなければ意味がない。とはいえ、業務フローや要求事項はクライアント(ソフトバンクBB)の事業特性を十分に踏まえながら 構築する必要があるため、モニタリングの監査ログレポートの設計・作成にはかなりの時間がかかることが想定された。しかし『AUDIT MASTER』標準のレポート機能は、出力条件や形式などカスタマイズが容易なため、レポート作成におけるプロセスも大幅に短縮された。ここでもソフトバ ンクBBの“スピード”の命題に応えることが可能となったわけである。
ユーザビリティと導入の容易さは運用者にとって重要
データベース監査システムを実際に運用していくにあたり、当面は情報システム部門が担当となる。それでも、必ずしもデータベース監査の機能や要件に詳しいというわけではない。『AUDIT MASTER』のGUI*3は シンプルで直観的な操作ができるため、その点でも現場からの評価が高い。また、今後管理するデータベースの追加や、セキュリティポリシーの適用を順次進め ていくことになるが、それらにまつわる各種設定等もAUDIT MASTER側での対応だけで可能なことも、運用者にとって大きなメリットとなっている。
データベース監査ツールとして積極的にすすめられることを実感
ソフトバンクBBでは、各種ITソリューションを扱うIT流通サービスも事業の一部として展開している。この流通サービス事業を通じて「データベース監査」の認知度やニーズがここ最近で急激に高まっているのを実感しているという。
同社のITソリューションには、既に『AUDIT MASTER』もラインナップされている。しかし、本案件を通じて実際に同社のデータベースシステムに導入し、効果を実感したことで『AUDIT MASTER』が“データベース監査”の市場へ自信をもって勧められる製品であることをあらためて確認できたという。システム運用者だけでなく、ソリュー ション提供者にとっても大きなメリットをもたらす『AUDIT MASTER』。データベース監査市場の盛り上がりを見据え、その将来性は計り知れない。
*1 DBA
DBAとはDatabase Administratorの略で、データベース管理者のこと。DBAの主な役割は、データベースの設計、ユーザーのアクセスなどの管理、トラブル発生に備えたバックアップやリカバリの計画と実施、運用管理を行うことなど。
*2 SQL文
SQL とは Structured Query Language(構造化問合せ言語) のこと。データベースの定義や操作などを実現するためのデータベース言語の一つで、リレーショナル型データベースの事実上の標準。
*3 GUI
グラフィカル・ユーザー・インターフェースの略語。ユーザに対する情報の表示にグラフィックを多用し、大半の基礎的な操作をマウスなどのポインティングデバイスによって行なうことができるユーザインターフェースのこと。
