データベースアクティビティの監視

データベースアクティビティモニタリング（DAM、別名：エンタープライズデータベース監査およびリアルタイム保護^[1]）は、データベースアクティビティを監視および分析するためのデータベースセキュリティ技術です。DAMは、ネットワークベースの監視データとネイティブ監査情報を組み合わせて、データベースアクティビティの包括的な状況把握を可能にします。DAMによって収集されたデータは、データベースアクティビティの分析とレポート作成、侵害調査のサポート、異常発生時のアラート通知に使用されます。DAMは通常、継続的かつリアルタイムで実行されます。

データベースアクティビティの監視と防止 (DAMP) は、監視とアラートを超えて不正なアクティビティもブロックする DAM の拡張機能です。

DAM は、企業がPCI DSS ( Payment Card Industry Data Security Standard )、 HIPAA ( Health Insurance Portability and Accountability Act )、SOX ( Sarbanes-Oxley Act )、NIST 800-53 などの米国政府規制、EU 規制などの規制コンプライアンス要件に対応するのに役立ちます。

DAMは、機密データベースをサイバー犯罪者による外部攻撃から保護するための重要なテクノロジーでもあります。2009年版Verizon Businessのデータ漏洩調査報告書（2008年にVerizon Businessが確認した90件の漏洩事例と2億8,500万件の漏洩記録の分析データに基づく）によると、漏洩記録の75%は、侵害されたデータベースサーバーから取得されていました。

ガートナーによると、「DAMは、ネイティブデータベースのログ記録や監査機能とは独立した、特権ユーザーおよびアプリケーションアクセス監視機能を提供します。管理者のアクティビティを監視することで、特権ユーザーの職務分離の問題に対する補償制御として機能します。また、この技術は、アプリケーション層から異常なデータベースの読み取りおよび更新アクティビティを検出することで、データベースのセキュリティを向上させます。データベースイベントの集約、相関、レポート作成により、ネイティブデータベース監査機能（監査レベルが上がるにつれてリソースを大量に消費する）を有効にすることなく、データベース監査機能を提供します。」^[2]

独立系オラクル・ユーザー・グループ（IOUG）の調査によると、「ほとんどの組織は、データベース管理者やその他の特権データベースユーザーによる財務、人事、その他のビジネスアプリケーションにおける機密情報の読み取りや改ざんを防ぐためのメカニズムを導入していません。多くの組織は、依然としてこうした侵害やインシデントを検知することさえできていません。」

フォレスターはこのカテゴリーを「データベース監査とリアルタイム保護」と呼んでいます。^[1]

DAMの一般的な使用例

特権ユーザーの監視：データベース管理者（DBA）、システム管理者（sysadmin）、開発者、ヘルプデスク、アウトソーシング担当者など、通常、企業のデータベースに自由にアクセスできる特権ユーザー（スーパーユーザー）を監視することは、外部および内部の脅威から保護するために不可欠です。特権ユーザーの監視には、すべてのアクティビティとトランザクションの監査、異常なアクティビティ（機密データの閲覧、スーパーユーザー権限を持つ新規アカウントの作成など）の特定、および観察されたアクティビティ（テーブルの追加や削除など）と承認された変更要求の照合が含まれます。

ほとんどの組織は既に境界レベルで保護されているため、特権ユーザーを監視し、保護する必要があることは大きな懸念事項です。したがって、データベースセキュリティと内部脅威からの保護の必要性には高い相関関係があります。ほとんどの特権ユーザーは、ストアドプロシージャ、トリガー、ビュー、難読化されたトラフィックといった高度な手法を用いてデータベースを攻撃できるため、これは複雑な課題です。これらの攻撃は、従来の方法では検出が困難な場合があります。

さらに、標的型攻撃では攻撃者が特権ユーザーの資格情報を取得することが多いため、特権アクティビティを監視することも侵害されたシステムを特定する効果的な方法です。

その結果、監査人はセキュリティのベストプラクティスや幅広い規制の遵守のために、特権ユーザーの監視を強く求めています。特権ユーザーの監視は、以下の点を確実に実現します。

•データプライバシー：承認されたアプリケーションとユーザーのみが機密データを閲覧できるようにします。 •データガバナンス：重要なデータベース構造と値が企業の変更管理手順の範囲外で変更されないようにします。

アプリケーションアクティビティの監視:アプリケーションアクティビティの監視の主な目的は、エンドユーザーの説明責任をより高め、データベースへの直接アクセスではなく、エンタープライズアプリケーション経由で発生する不正行為 (およびその他の正当なアクセスの乱用) を検出することです。

Oracle EBS、PeopleSoft、JD Edwards、SAP、Siebel Systems 、Business Intelligenceなどの多層エンタープライズアプリケーション、およびIBM WebSphereやOracle WebLogic Serverなどの標準的な中間層サーバー上に構築されたカスタムアプリケーションは、データベーストランザクションレベルでエンドユーザーのIDを隠蔽します。これは、「接続プーリング」と呼ばれる最適化メカニズムによって行われます。プールされた接続を使用することで、アプリケーションはすべてのユーザートラフィックを、汎用サービスアカウント名のみで識別される少数のデータベース接続に集約します。アプリケーションアクティビティモニタリングにより、組織は特定のデータベーストランザクションを特定のアプリケーションエンドユーザーに関連付け、不正なアクティビティや疑わしいアクティビティを特定できます。

サーベンス・オクスリー法などのデータガバナンス要件では、エンドユーザーのアカウンタビリティが求められることがよくあります。また、米国公開会社会計監視委員会（Public Company Accounting Oversight Board）によるSOX法遵守に関する新たな監査ガイドラインでも、不正防止管理の重要性が高まっています。

サイバー攻撃からの保護： SQLインジェクションは、リレーショナルデータベースを使用するアプリケーションにおける不適切なコーディング手法を悪用する攻撃の一種です。攻撃者は、アプリケーションを利用して、既存のSQL文に攻撃者が追加したSQL文を連結したSQL文を送信します。 ^[3]

多くのアプリケーション開発者は、文字列を連結してSQL文を作成し、プリペアドステートメントを使用しません。この場合、アプリケーションはSQLインジェクション攻撃の影響を受けやすくなります。この手法は、アプリケーションのSQL文を、無害なSQL呼び出しから悪意のある呼び出しへと変換し、不正アクセス、データの削除、または情報の盗難を引き起こす可能性があります。^[3]

DAM が SQL インジェクションを防ぐ方法の一つは、アプリケーションのアクティビティを監視し、「正常な動作」のベースラインを生成し、通常の SQL 構造やシーケンスからの逸脱に基づいて攻撃を特定することです。別の方法としては、データベースのメモリを監視します。データベースの実行計画と SQL 文のコンテキストの両方が可視化され、ポリシーに基づいてオブジェクトレベルできめ細かな保護を提供できます。

DAMのコア機能

ガートナーの定義によると、「DAMツールは、複数のデータ収集メカニズム（サーバーベースのエージェントソフトウェアやインラインまたはアウトオブバンドのネットワークコレクターなど）を使用し、データを一元的に集約して分析を行い、セキュリティポリシーやシグネチャに違反する動作や異常な動作に基づいてレポートを作成します。DAMの需要は、主にコンプライアンス関連の監査結果に対処するための特権ユーザー監視の必要性と、データベースアクセスを監視するための脅威管理要件によって推進されています。エンタープライズDAMの要件は、悪意のあるアクティビティや不適切な、あるいは承認されていないデータベース管理者（DBA）アクセスを検出する機能など、基本機能を超えて拡大し始めています。」^[4]

より高度な DAM 機能には次のものがあります:

データベース内攻撃やバックドアをリアルタイムで監視する機能 (ストアドプロシージャ、トリガー、ビューなど)
暗号化やネットワークトポロジなど、ほとんどのITインフラストラクチャ変数に依存しないソリューション
トランザクションにインラインで接続せずにブロックと防止を行う
リスクのあるデータの積極的な発見
アプリケーショントラフィックの可視性の向上
明確に定義された一貫性のあるネットワークトポロジがない仮想環境やクラウドでもデータベースアクティビティの監視を提供する機能

一部の企業は、次のような他の機能も求めています。

米国サーベンス・オクスリー法で要求される監査に準拠するための構成監査
セキュリティ上の懸念事項、およびペイメントカード業界（PCI）やその他のデータ中心の規制フレームワークのデータ識別と保護の要件に対応するDLP機能
幅広い規制で要求されるデータベースユーザー権限証明レポート
明確に定義された一貫性のあるネットワークトポロジがない仮想環境やクラウドでもデータベースアクティビティの監視を提供する機能
脆弱性スキャン製品との統合強化

一般的なDAMアーキテクチャ

インターセプションベース：現代のDAMシステムの多くは、データベースクライアントとデータベースサーバー間の通信を「監視」することで、データベースの動作情報を収集します。DAMシステムは、データベースからの介入を必要とせずに通信ストリームを監視し、リクエストとレスポンスを取得できる場所を見つけます。データベースセキュリティプロキシは、DAMにとって非侵入的な手法です。インターセプション自体は、データベースメモリ（SGAなど）、ネットワーク（通信が暗号化されていない場合はネットワークTAPまたはSPANポートを使用）、オペレーティングシステムレベル、データベースライブラリレベルなど、複数のポイントで実行できます。^[3]

暗号化されていないネットワークトラフィックがある場合は、パケットスニッフィングを使用できます。この方法の利点は、ホスト上で処理が行われないことですが、ローカルトラフィックと高度なデータベース内攻撃の両方を検出できないという大きな欠点があります。ローカルアクセスを捕捉するために、一部のネットワークベースベンダーは、ホスト上で実行されるプローブを導入しています。このプローブはすべてのローカルアクセスを傍受するだけでなく、ネットワーク機器を使用しない場合やデータベース通信が暗号化されている場合には、すべてのネットワークアクセスも傍受できます。ただし、エージェントはすべての処理を実行するのではなく、すべての処理が行われるDAMアプライアンスにデータを中継するため、すべてのローカルトラフィックによってネットワークパフォーマンスに影響を与える可能性があり、リアルタイムセッション終了が遅すぎて不正なクエリを中断できない可能性があります。

メモリベース：一部のDAMシステムには、保護対象データベースに接続し、システムグローバル領域（SGA）を継続的にポーリングしてSQL文の実行状況を収集する軽量センサーが搭載されています。同様のアーキテクチャは、SGAやその他の共有データ構造を利用するパフォーマンス最適化製品でも以前から採用されていました。^[3]

この技術の最新バージョンでは、軽量センサーがホスト上で実行され、 OSレベルでプロセスにアタッチしてプライベートデータ構造を検査します。このアプローチには、以下の大きな利点があります。

すべてのデータベーストランザクションを完全にカバーします。センサーは、ネットワーク、ホスト、およびバックドア (ストアドプロシージャ、トリガー、ビュー) からのトラフィックをカバーします。
ほとんどのITインフラストラクチャ変数に依存しないソリューション - ネットワークを再設計したり、SPANポートを開いたり、ネットワークが暗号化されている場合にキー管理を心配したりする必要がなく、このモデルは仮想化環境やクラウドに展開されたデータベースを保護するためにも使用できます。

ログベース：一部のDAMシステムは、トランザクションログ（例えば、REDOログ）から情報を分析・抽出します。これらのシステムは、データの多くがREDOログに保存されているという事実を利用し、これらのログをスクレイピングします。残念ながら、必要な情報のすべてがREDOログに含まれているわけではありません。例えば、SELECT文はREDOログには含まれていないため、これらのシステムは、図3に示すように、ネイティブ監査証跡から収集したデータでREDOログから収集したデータを補完します。これらのシステムは、真のDAMシステム（DBMSから完全に独立）と、データベースによって生成されたデータに依存するSIEMのハイブリッドです。これらのアーキテクチャは通常、データベースサーバーのオーバーヘッドを増加させます。^[3]

eBPFベース：一部のDAMシステムは、Linuxカーネルの拡張Berkeley Packet Filter（eBPF）テクノロジーを使用して、オペレーティングシステムレベルでデータベースアクティビティを外部的に監視します。これらのシステムは、関連するシステムコールやネットワークイベントに軽量プログラムをアタッチすることで、データベースログやプロキシに依存せずに、クエリ操作（DDL、DML、SELECT文など）をリアルタイムでキャプチャします。eBPFはカーネル内で動作するため、パフォーマンスオーバーヘッドを最小限に抑えながら詳細な可視性を提供し、攻撃者による改ざんが困難です。ただし、Javaベースの暗号化セッションや複雑なワイヤプロトコルによって完全な検査が制限される可能性があるため、これらのシステムは他の方法と組み合わせて完全なカバレッジを実現する場合があります。

主要プロバイダー

インペルヴァ [1]
IBM ガーディアム
Aurva.io [2]
オラクル

参考文献

^ ab 「The Forrester Wave: Enterprise Database Auditing And Real-Time Protection, Q4 2007、2007年10月、Jonathan Penn、Katie Smillie、Forrester Research」。2019年6月28日時点のオリジナルよりアーカイブ。 2009年12月10日閲覧。
^ セキュリティ監視および不正検出技術によるパターン検出、Mark Nicolett、Avivah Litan、Paul E. Proctor、2009年9月2日、Gartner Inc. ^{[リンク切れ]}
^ abcde HOWTO Oracle 10g および 11g のセキュリティ保護と監査、Ron Ben Natan、Ph.D.、CRC Press、2009
^ データベースアクティビティモニタリング市場の概要、Jeffrey Wheatman、Mark Nicolett、2009 年 2 月 3 日、Gartner Inc.

[autogenerated1-1] 「The Forrester Wave: Enterprise Database Auditing And Real-Time Protection, Q4 2007、2007年10月、Jonathan Penn、Katie Smillie、Forrester Research」。2019年6月28日時点のオリジナルよりアーカイブ。 2009年12月10日閲覧。

[2] セキュリティ監視および不正検出技術によるパターン検出、Mark Nicolett、Avivah Litan、Paul E. Proctor、2009年9月2日、Gartner Inc. ^{[リンク切れ]}

[autogenerated2-3] HOWTO Oracle 10g および 11g のセキュリティ保護と監査、Ron Ben Natan、Ph.D.、CRC Press、2009

[4] データベースアクティビティモニタリング市場の概要、Jeffrey Wheatman、Mark Nicolett、2009 年 2 月 3 日、Gartner Inc.