Webシステムにおける「データベースのログにユーザー情報が残らない」という課題を解決する製品が、今年から来年にかけて相次ぎ登場する。内部統制を確立するため、データベースに誰が何をしたかを明らかにすることが求められ始めたからだ。
「データベース(DB)のログを取っても、Webシステムでは、不正行為の犯人は特定できない」。大手セキュリティ・ベンダーであるラックの大野祐一データベースセキュリティ研究所所長は、こう指摘する。DBのログに記録されているのはAPサーバーからのログインIDのみで、実際のユーザーの情報ではない。アプリケーション(AP)サーバーは通常、システムの性能を上げるために、あらかじめDBサーバーとの間でコネクションを張り、複数ユーザーで共有させるためである(図)。
 図●APサーバー経由のDBアクセスにおける問題を解決する方法 [画像のクリックで拡大表示] |
この問題は以前から指摘されていたが、APサーバーでのログイン認証やDBへのアクセス権管理によって不正アクセスを防げればいいと考えられてきた。それが、内部統制を確立するために、個々のDBアクセスは誰が行ったのかを明らかにする必要が出てきた。そうしたニーズの高まりを受け、DBログとユーザー情報を関連付ける製品が相次ぎ登場し始めたのである(表)。
 表●データベースにアクセスした実ユーザーを特定する製品 [画像のクリックで拡大表示] |
もちろん最近のDBは、APサーバー経由でのアクセスでもユーザー情報をログに残せる仕組みを備える。ただ、その仕組みを利用するには、DBアクセス部分を中心にWebアプリケーションを大幅に改修しなければならない。表の3製品は、従来型のWebアプリケーションのままで使えるのが特徴だ。
SecureSphereは、エンドユーザーとAPサーバー間、AP-DBサーバー間の2カ所で通信パケットを取得。その内容を突き合わせることで、ユーザー情報とアプリケーションが発行したSQLを関連付ける。パケットの突き合わせは、事前に複数の利用パターンをSecureSphereに覚え込ませることで実現する。その網羅性などが突き合わせ可能率を左右する欠点はあるが、既存システムに負荷をかけないこと、主要DBMSに対応していることが利点だ。最小構成の価格は約695万円。
富士通の製品は、APサーバーからDBへのアクセス時に、ユーザー情報を自動的に付加する。一方の日立製作所製品は、APサーバーのログとDBのログの関連付けができる情報を生成し、やはりAPサーバーからDBへのアクセス時に付加する。どちらも自社製APサーバーとDBMSの組み合わせでしか使えないが、完全なログを取得できる。提供時期は、富士通が未定。日立は次期版に組み込む計画だ。
