自動車保険などを手がけるエース損害保険は,情報漏えいの防止など顧客情報データベースを安全に運用するための手立てとして,データベース・サーバーへのアクセス履歴を監視・監査するアプライアンス「SecureSphere DMG」を,2007年12月に導入した。導入コストは数百万円の単位。同アプライアンスの開発会社は米Impervaで,導入を実施した販売代理店は東京エレクトロンデバイス。
エース損害保険が導入したSecureSphere DMGは,SQLによるデータベース・アクセスの監査に特化したシステム。データベースへのアクセスを監視して,個々のトランザクションが本来あるべきアクセスか否かを調べ,不正アクセスをリアルタイムで警告したり,定時に監査レポートを出力したりする機能を備える。データベース・サーバーにアクセスするネットワーク上にインラインで設置する方法に加えて,スイッチのミラー・ポートからパケットをキャプチャする運用が可能であるため,既存のネットワーク環境に影響を与えずに導入が可能である。
主要なシステム構成は以下の通り。エース損害保険では取り扱う保険商品の違いによって複数のWebアプリケーションとデータベース・サーバーを稼働させている。利用しているデータベース・ソフトは,Oracle,SQL Server,Sybase,DB2の4種類である。このうち,自動車保険を扱うOracleと,海外旅行保険を扱うSQL Serverについて,SecureSphere DMGを導入して監視・監査する。2つのデータベース・ソフトはいずれも同一セグメントに所属しており,ともに接続されているネットワーク・スイッチに,1台のSecureSphere DMGをつなぎこんだ。
手薄となっていたDBアクセス監視を監査法人が指摘
SecureSphere DMGを導入した直接のきっかけは,付き合いのある監査法人の指摘。データベースに対する不正アクセスを監視していない点を指摘されたという。もともとエース損害保険では,インターネットからのWebアクセスや社内LANのセキュリティ用途に,ファイアウォールやIPS(不正侵入防御装置)を運用してきた。「IBM Proventiaシリーズ」などである。ところが,ピンポイントでのデータベース監査は手薄となっていた。
2007年12月の導入以降,データベース・アクセス監視のポリシーを調整しつつ,同社にとって最適な監視条件を詰めていった。同社で情報システム本部システム運用部グループリーダーを務める木下昌子氏は,導入当初,「こんな細かいことまで分かるのか。これでは誰かが不正を働こうとしても無理だ」と,その監視情報量に驚いた。その後,「クライアントPCからデータベース・テーブルにアクセスする権限の把握」(同氏)や「営業時間外のデータベース操作」(同氏)といった,真に監視すべき項目に絞って監視するようにしていった。予測外のアクセスが発生した時はセキュリティ担当者へ即座にメール通知するほか,週次で監査レポートを出力している。
監査の効用は,あるべき情報システムの理想形に近付くこと
SecureSphere DMGによるデータベース・アクセス監査の効用は,コンプライアンス(法令順守)の観点だけでなく,社員の意識改革や,例外を認めない本来あるべきシンプルなシステム開発/運用が可能になっていく点が挙げられる。例えば,理想的でシンプルなシステム構成やネットワーク構成をとりやすくなるほか,運用においても,正しい権限を持った人が正しい時間帯に正しい手続きを踏んで情報システムを操作することが習慣化されていく,という具合だ。
データベース・アクセス監査製品の選択にあたっては,アプライアンスやソフトウエア製品を含め,4つの製品を比較検討した。このうち,SecureSphere DMGに決めた主な理由について,情報システム本部システム運用部長の加藤文武氏は以下の4点を指摘する。(1)コストが比較的安価で済む,(2)同社が利用する4種類のデータベース・ソフトを監視できる,(3)既存のネットワーク構成に変更を加える必要がない,(4)ソフト/ハードが一体化したアプライアンスであり,導入が容易でサポートを受けやすい――である。
| ■変更履歴 ユーザーの意向により,第4段落を修正しました。[2008/06/16 20:20] |
