目次


InfoSphere Guardium が提供する情報漏えい対策ソリューション

InfoSphere Guardium の紹介

Comments

はじめに

IBM InfoSphere Guardium (以下 Guardium) は、企業規模でのデータベース・アクティビティを監視するソリューションです。
Guardium を使用するお客様は、正規ユーザーによる不正な操作や潜在的ハッカーによる攻撃の脅威からデータベース内の機密情報を守るために、アクセス状況を常に監視することによって、信頼できる情報基盤を維持することができます。また、Guardium は、全ての主要なプラットフォームに対応し、監視および管理の集中化・自動化を達成し、業界や政府が規制する法令等 (例:J-SOX (日本版 SOX 法)、PCIDSS (クレジット業界におけるグローバルセキュリティー基準)) の対応、および個人情報保護対応の絶え間なく変化するプロセス遵守において、お客様の効率的な運用をサポートします。

データガバナンスの必要性 – なぜデータベースなのか?

情報漏えいを防止すべく、企業のセキュリティー対策はこれまで着実に進化を遂げてきており、どのような操作が行われたのかまで監視するシステムも開発されています。また、セキュリティー製品も高度化を続け、利用の裾野も拡大しています。一方、データベースには、企業にとって最も価値のある機密情報をはじめとしたさまざまな情報が集約されており、情報資産保護の観点からもデータベース・セキュリティー対策が非常に重要になっています。

Guardium の特徴

Guardium により提供されるソリューション

Guardium により提供されるソリューションを図 1 に示しました。
Guardium は、データベース・セキュリティーとコンプライアンス・ライフサイクル全体を、統合された Web コンソール、バックエンド・データ・ストア、およびワークフロー自動化システムで処理するソリューションです。
財務情報や ERP 情報、顧客およびカード所有者データ、知的所有権など、企業のシステムに格納されているさまざまな情報を保護するためのシンプルかつ堅固なソリューションを提供します。

Guardium 製品の特長は次のとおりです。

  • データベースの自動検索、およびデータベース内にある機密情報の検出や分類を行います。
  • データベースの脆弱性および構成欠陥の自動診断を行います。
  • 機密データが関係するデータベース・トランザクションの可視性を高め、詳細なレベルで表示できるようにします。
  • エンタープライズ・アプリケーション (Oracle EBS, PeopleSoft, SAP, Siebel, Business Objects, Cognos など) 経由でのアクセスにおいて、アプリケーションユーザー情報をデータベースの操作内容と関連付けてトラッキングできるようにします。
  • 機密データへのアクセス監視、データベースの変更に関する制御、特権ユーザーによるアクセス監視などの幅広いポリシーを適用し、モニターします。
  • 異種混在の多数のシステムやデータベースに対応する、一元化されたセキュアな単一の監査リポジトリーを作成します。
  • レポートの作成や配布、コメントや署名の取得など、コンプライアンス対応に関するプロセス全体を自動化します。
図 1. Guardium により提供される包括的なソリューション
Guardium により提供される包括的なソリューション
Guardium により提供される包括的なソリューション

Guardium の構成

Guardium は、データベース・サーバーに専用ソフトウェア「S-TAP」をインストールし、それらで収集されるアクセス・ログを専用アプライアンス「コレクター」で蓄積・管理する手法をとっており、データベースのパフォーマンスの低下を最小限に抑えます。また、データベースへのアクセス時に必要とされる ID やパスワードがたとえ合致していたとしても、アクセス時のさまざまな振る舞いなどから不正アクセスを検知・制御することで、より高度なデータベース・セキュリティーを実現します。なお、図 2 のような Oracle、SQL Server、DB2、Sybase、PostgreSQL、MySQL、Netezza など異種データベースが混在する環境にも柔軟に対応し、データベースへの影響と負担を最小限に留めた形で導入が可能です。
ポリシー、ログの一元管理、コンプライアンス・ワークフローによる運用自動化のための機能を備えております。また、アプライアンス約百台、管理対象データベース・サーバー約数千台のような大規模環境における運用事例もあります。たとえば図 2 のような超大規模環境構成での適用も可能です。

図 2. Guardium 構成図
Guardium 構成図
Guardium 構成図

Guardium の各機能概要

監査&レポート

Guardium では、データベース・アクティビティーを監査ログとして保管し、さまざまな視点から閲覧可能なレポート機能を提供します。70種類以上のレポートテンプレートを標準で備えており、ログを取得できる状態であれば即時に参照可能です。また、図 3 のようなログ内容を詳細調査、分析するためのドリルダウン機能や、レポートをブラウザー上で簡単かつ自在にカスタマイズするためのクエリー・ビルダー、レポート・ビルダー機能を提供します。

図 3. レポート機能
レポート機能
レポート機能

保護

重要機密データに対する不正アクセスが発生した場合、図 4 のように詳細な監査ログを記録するとともに即座に然るべき管理者/担当者に警告情報を送るリアルタイム・アラート機能を提供しております。また、重要機密データへの不正アクセスを許さないケースに対して、ユーザーからの SQL コマンドが DB に到達する前にアクセスを遮断する機能も備え、非常に強力な未然防止機能を提供します。

図 4. リアルタイム・アラート機能
リアルタイム・アラート機能
リアルタイム・アラート機能

検索&分類

ネットワークに散在するデータベースの自動検出および情報分類機能により、機密データが保管されている場所を特定し、カスタマイズ可能な分類ラベルを利用して機密オブジェクトに適用するセキュリティー・ポリシーの実施を自動化できます。このセキュリティー・ポリシーにより、権限を有すべきユーザー以外が機密情報を表示したり変更したりしないようにすることができます。スケジュールして機密データの検出を定期的に実行することで、機密データが入っているにもかかわらず認識されていないサーバーの存在を排除して、重要な情報が「忘れ去られて」しまわないようにすることができます。

図 5. データベース自動検出機能
データベース自動検出機能
データベース自動検出機能

評価&堅牢化

各データベース固有の脆弱性情報 (例:適用されていないパッチ、不適切な特権構成、デフォルト・アカウントなど) や、取得したログを元に脆弱性をチェックするデータベース・レベルでの脆弱性評価機能があり、図 6 のように定期的にテストを実施することが可能です。
また、構成監査システム (バージョン 7 では、変更監査システムと呼んでいました) にてデータベース環境下で通常変更が発生しない構成ファイル、スクリプト・ファイル、環境変数、レジストリーなどの変更を監視・通知する機能を備えています。

図 6. 脆弱性評価テスト結果
脆弱性評価テスト結果
脆弱性評価テスト結果

コンプライアンス

データベース・セキュリティー/監査対応において、実行/出力すべき各種レポート、脆弱性診断、データベース自動検索などを図 7 のようなコンプライアンス・ワークフローで自動化し、然るべき管理者/担当者に結果を送付する機能を備えています。送付された先で管理者/担当者がレポート類を確認した記録を残すサインオフ機能も提供し、レポートの作成から送付、確認までを自動化し、監査対応の効率化を促進します。

図 7. コンプライアンス・ワークフロー画面
コンプライアンス・ワークフロー画面
コンプライアンス・ワークフロー画面

まとめ

Guardium は金融、通信、製造系、公共機関等、国内 60社程、海外を含めると 450社以上の導入実績があり、特に J-SOX、PCIDSS、および個人情報保護対応における特権ユーザーの作業監視、記録管理等に高いニーズがあります。
Guardium は、信頼できる情報をシステム全体で定義、統合、保護、管理するための統合プラットフォームであり、監査証跡としてのログを保護する機能を備えている点も非常に特徴的です。また困難な課題を単純化し、信頼できる情報をより速く伝達するのに必要なパフォーマンス、スケーラビリティー、信頼性を提供します。


ダウンロード可能なリソース


関連トピック


コメント

コメントを登録するにはサインインあるいは登録してください。

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Information Management
ArticleID=794228
ArticleTitle=InfoSphere Guardium が提供する情報漏えい対策ソリューション
publish-date=02232012