「データベースの監査ログは、情報漏洩対策に役立つ。だが、それだけではない。米国企業は、SOX法(企業改革法)対策として積極的に利用している」。データベースのセキュリティ管理ソフトを開発・販売する米アイピーロックスで社長兼CEO(最高経営責任者)を務める坂本明男氏(写真)は、こう話す。
監査ログは、データベースに対する参照や更新などすべてのアクセス履歴を記録したもの。データベース管理システム(DBMS)が備える監査機能を利用して出力する。この監査ログを事前に設定したルールに基づいて分析すれば、データベースに対する不正なアクセスがないか、業務が正しく進められているかを把握できる。このため、「SOX法対策で重要な役割を果たす」と坂本社長は主張する。データの更新しか記録しない通常のログ・ファイルは、障害発生時の復旧が主な用途で、SOX法対策には不向きという。
例えば、会計システムで「受注情報をデータベースに入力した後に、関連するコストが半年以上発生していない場合、空受注とみなす」などとルールを設定しておく。その上で会計システムが利用するデータベースの監査ログを監視・分析すれば、空受注の可能性が高い受注情報を見つけ出し、警告を出すことができる。
上長の承認が必要な金額の受注にもかかわらず、複数回に分けて受注したように見せかけて承認を受けずに処理する、といった行為を見つけ出すのにも使える。この場合は、部長・課長などが承認できる金額の上限や、特定期間(例えば四半期)内に同じ顧客が入金できる回数、1回あたりの金額の上限といったルールを組み合わせて利用する。
坂本社長は、「監査ログを生かすカギは、いかにルールをうまく作れるかにある」と話す。ルールを設定したら、あとはスクリプトを使って監査ログを監視・分析するプログラムを記述すればよい。ただし、ルールの数が多くなるとスクリプトが複雑になり、作成に手間がかかる。「その場合は当社のデータベース向けセキュリティ管理ソフトであるIPLocksを使えば、ルールの作成を効率化できる」(坂本社長)。日本でのIPLocksのユーザー数は約110社。「多くは情報漏洩対策のために導入している。近い将来、内部統制対策として導入する企業が日本でも増えるはず」と坂本社長はみている。
