日本オラクルは、監査統合・監査管理ソリューション「Oracle Audit Vault」の提供を開始すると発表した。「Oracle Database」に対応、データベースの監査ログを取得、保全、レポートし、企業の内部統制強化と情報漏洩防止対策を支援する。同社は「この製品により、企業は法令順守にかかわる報告を統合・簡素化、コストを削減することができ、事前にリスクを検出することにより顧客情報や営業情報など、機密性の高い情報のセキュリティを向上させることが可能になる」としている。初期版では、「Oracle 9i Database Release2」「Oracle Database10g Release1、同Release2」を対象としており、次期版以降で「Oracle Database11g」にも対応する予定だ。
「Oracle Audit Vault」は、管理者など特権を付与されたユーザー、アカウント管理、組織内での役割と権限、企業全体のオブジェクト管理、システム管理までの標準的な監査評価レポートを提供するとともに、週末などの特定の期間のログインを監視、制御する設定などができる。また、「Oracle BI Publisher」、「Oracle Application Express」のほか、他社レポート・ツールからもアクセスできる、監査ウェアハウス・スキーマを用意しており、より高度な監査、分析ができるようになっている。
アラート機能も特徴の一つで、疑わしいと思われるアクセスなどを事前通知、企業内部の脅威から、システムを防御、情報漏えいの危険性を低減する。また、「Oracle Audit Vault」内の監査データへのアクセスは、厳密に管理され、権限のあるDBAのユーザーも、監査データを参照、変更ができない。監視者でも監査データの変更は不可能だという。
|
|
|
日本オラクル システム製品統括本部 営業推進本部 Fusion Middleware推進部北野晴人ディレクター |
最近、多数の企業機密が不正に持ち出される事件などがおきているが、同社 システム製品統括本部 営業推進本部 Fusion Middleware推進部北野晴人ディレクターは「十分な監視をして、ログの定期的な見直し、怪しげな前兆があればチェックするといった対処をしていれば、情報漏えいは防げたかもしれない。あるいは被害を最小限にすることができたのでは」と話す。
同社では今回、監査ログについての課題として、監査対象となるデータベースについて、パフォーマンスが劣化してしまう弊害に特に注目している。データベースが内蔵している監査機能を頻繁に使用すると、当該のデータベース自体のパフォーマンスが低下してしまう。そこで「Oracle Audit Vault」では、通常のデータベースのログ、データベース管理者、変更履歴のログなど、目的に応じた監査・収集機能を備えるなど、ログの収集を効率化させ、パフォ-マンスに対する影響を最小限に抑えるしくみを構築した。
また、同社によれば、従来のネットワークキャプチャ型、データベースのメモリアタッチ型の監査システムの場合、負荷が増大すると、メモリが対応し切れなかったり、一定間隔でしかメモリ内部のログを収集しない、といった理由で、ログの取りこぼしが発生していたほか、通信を暗号化するとログがとれなくなっていた。さらに、増大する一方のログに対し、ログ用のデータベースが追いつかなくなったり、監査ログシステムそのものの性能が劣化してしまうという。これらの課題に対して「Oracle Audit Vault」は、自動的にパーティショニングを実行、パフォーマンスを向上させるとともに、拡張性を確保、取りこぼしをなくし、負荷の膨張に対処している。
|
|
|
日本オラクル 三澤智光 常務執行役員 システム製品統括本部長 |
同社は、企業のガバナンス、リスク、コンプライアンス(以下:GRC)を統合的にITで管理、制御するGRC製品の整備を推進しており、「Oracle Audit Vault」もその構成要素となる。三澤智光 常務執行役員 システム製品統括本部長は「データベースなどへのアクセスログををどのように管理し、また、それを活用、分析するかというのは、内部統制で重要となっている」としてうえで「オラクルのGRCは、IT、業務処理全般のセキュリティーに有効となる」と話している。
また、「Oracle Audit Vault」の今後の方向性について三澤常務は「時期は未定だが、マイクロソフトのSQL ServerやIBMのDB2もロードマップには載っている。日本独自の監査対象も考えている」と述べ、さらに幅広いデータベースを「Oracle Audit Vault」の監査対象としていく意向を示した。
