損保業界を主軸とするSIベンダーのシステムエグゼは2006年12月12日,Microsoft SQL Serverを用いた業務アプリケーションを監査する,内部統制用ソフトの新版「SSDB監査Ver.1.1」を出荷した。SQL Serverが標準で備える監査ログ出力/レポート生成機能を扱いやすくする製品である。価格は,監視対象サーバー1台の最小構成で150万円(税別)から。
SSDB監査は,Microsoft SQL Serverをベースとする業務システムを監査するためのソフトである。SQL Serverのデータベース・アクセス記録をログとして残したり,ログに対して条件検索をかけることで所望のレポートを生成する。こうしたデータベース監査の手段として,SQL Serverが標準で備える2つの機能,「プロファイラ」と「レポーティングサービス」を利用する。SSDB監査は,これらSQL Serverの標準機能のGUIフロントエンドであり,データベースの専門家でなくても簡単に監査できるようにする。
2006年7月に出荷した初期版と比べた新版の特徴は,監査対象となるSQL Serverのリソース負荷に応じて監査作業を続行するかどうかを指定できるようにした点である。監査によって監査対象サーバーに負荷を与えてしまうことがあるため,追加した機能である。高負荷時の振る舞いとして,以下の3種類のいずれかを指定できる。(a)監査対象サーバーの負荷を考慮せずに監査を続行,(b)高負荷時には重要な監査項目であるログオン状況だけを監視,(c)負荷が下がるまで監査を停止,である。
SSDB監査の機能は大きく2つある。1つは,SQL Serverが標準で備える監査ログ出力ツールであるプロファイラのGUIフロントエンドとなり,プロファイラを簡単に扱えるようにする機能である。監査ログの出力条件として,監査対象データベースの指定や監査ログに出力する項目の指定,ログ出力のスケジュール実行,などをGUIで指定できる。背景には,プロファイラの操作は難解であり,素のままでは欲しい監査ログを得にくい,という状況があるという。
監査ログの出力条件として,ログオンや権限操作,ユーザー追加やSQLコマンドの種類など,標準で9個の監視項目を用意している。標準設定で足りない場合は,カスタム設定で,RPC(遠隔プロシージャ呼び出し)の開始など,SQL Serverで取得可能な40~50個程度の項目を任意に選択できる。さらに,上記の項目に対して,ユーザー名やイベント番号,開始時刻や終了時刻,成功/失敗などのイベントに関するどの情報を記録するかを指定できる。
もう1つの機能は,監査対象のSQL Serverが出力した監査ログを基に,レポートを生成する機能である。監査ログは,監視対象サーバーからネットワーク経由で取得し,SSDB監査のリポジトリ(SQL Serverを使用)に蓄積する。この監査ログのデータに対し任意の切り口で監査データを抽出するために,監査ログを蓄積したSQL Serverが標準で備えるレポート出力機能「レポーティングサービス」を利用する。SSDB監査は,レポーティングサービスのGUIフロントエンドになり,CSV,XML,Excel形式,PDFなど,レポーティングサービスが出力可能な形式で出力する。
レポートの抽出条件として,監査ログの出力条件で指定したログオン状況やSQLコマンドなどを選択し,条件に合致したデータを抽出する。あらかじめ指定したしきい値を超える異常データだけを出力するといった検索も可能だが,条件に合致したデータを抽出する作業が主となる。レポート作成ソフトのように結果をグラフ化する機能は備えていないため,必要であれば,SSDB監査が出力するレポートを別途レポート作成ソフトから利用する必要がある。
SSDB監査の稼働OSは,Windows Server 2003 R2 Standard Edition以上。別途,監査ログを蓄積するためにSQL Server 2005 Standard Edition以上が必要。ソフトウエアの販売に加えて,ソフトウエアを1Uラックマウント・サーバーにプリインストールしたアプライアンス「SSDB監査Expressサーバ」も用意した。同アプライアンスの価格は,監査対象サーバー2台で298万円(税別)である。また,アプライアンスのレンタルも実施する。レンタル価格は月額8万円(税別)である。
