ITpro Special
週間WEEKLY ITpro Special ITpro

サイバー攻撃は「制御、記録、監視」で防ぐ

NHN テコラス
「制御」「記録」「監視」で安全を守る
データベース・ファイアウォール

データ量が急増する中、データベースの負荷は高まるばかりだ。一方で、データベースのセキュリティ対策も求められている。こうした中、データベースに負荷をかけないデータベース向けのファイアウォールが注目を集めている。NHN テコラスが提供する「Aegis Wall」。「制御」「記録」「監視」によりデータベースのセキュリティ強化を実現するソフトウエアである。

データ流通量の急増により
高まるセキュリティリスク

NHN テコラス株式会社
セキュリティ事業本部
Aegis Wall事業部
事業部長
三浦 康暢 氏

 あらゆるデバイスがネットワークにつながるIoT時代を迎えて、IT環境は大きく変化しつつある。

 データ量およびデータ流通量は加速度的に増加している。これらのデータをいかに処理するか、いかにセキュアな状態に保つかは切実な課題だ。セキュリティの観点で、特に影響が大きいのはデータ流通量の急増である。

 「あらゆるデータが移動したり、コピーされたりして動き回っています。移動する途中で様々な機器を介することになり、データが1カ所にとどまっている状態に比べて情報漏洩などのリスクは格段に高まります」と、NHN テコラスの三浦康暢氏は語る。同社はNHN comicoのグループ企業。同グループのB2B事業を担う中核企業として、セキュリティ事業やITインフラマネージドサービスなどを手掛けている。

 サーバー攻撃側の手法は巧妙化している。オンラインショッピングでの購入履歴やクレジットカード番号、個人の年収や生年月日、家族構成、電話番号・住所など、様々な情報が闇市場で売買されている。「こうした金銭目的の攻撃のほか、政治的な目的を持ったサイバーテロや諜報活動も増えています。これに対して、日本企業のセキュリティ対策は遅れていると言わざるを得ません」(三浦氏)。

データベースの負荷を高めない
パケットキャプチャ方式を採用

 増大するデータを処理する能力を高めつつ、一方ではデータを守るための対策も講じなければならないという要求を前に、企業のIT部門は頭を悩ませている。そのような課題に対するソリューションとして、NHN テコラスが提案しているのが「データベース・ファイアウォール」とのコンセプトに基づいて開発された「Aegis Wall」である。Aegis Wallは制御(アクセス制御、コマンド権限制御、マスキング、承認ワークフロー)と記録(Webレポート、セッション再現)、監視(モニタリング、アラート)という大きく三つの役割を担う、データベース向けのセキュリティソフトウエアだ。

[画像のクリックで拡大表示]

 以前ならファイアウォールやWAF、IPS/IDSなどでサイバー攻撃を防御できていたが、今では標的型攻撃などの新たな手口によって、内部への侵入を許してしまうケースが多発。個人情報や顧客データなどのデータが抜き取られる被害も増えている。「そこで、大事なデータを守るために、データベースのためのファイアウォールを設置する。これがAegis Wallの考え方です。これにより、ログ記録や監視だけでなく、アクセス権限などの制御も実行できます」と三浦氏は解説する。Aegis Wallにより多層防御を実現し、データベースの安全性を一層高められる。

 通常のファイアウォールは社内ネットワークの入り口に置かれ、外部からの攻撃を防ぐ役割を果たしている。一方、Aegis Wallは社内ネットワークの内側で、データベースを取り囲む壁のようなものだ。したがって、外部だけでなく内部不正への対策にもなる。データベースのアクセス制御により、権限を持たないユーザーの接続を禁止したり、あるいは権限を持つユーザーが不正な利用をしないよう監視したりできる。

 Aegis Wallの機能面での特長は大きく四つある。

 第1に、パケットキャプチャ方式の採用。データベースに対してエージェントを常駐させる、あるいは監査ログを吐き出させるなどの要求を与えれば、その分のリソースが消費されてしまう。パケットキャプチャ方式はこうした負荷をかけないので、データベースはデータ保存・参照など本来の機能に集中することができる。

 「ただでさえ蓄積されるデータが急増している中で、データベースにセキュリティのための仕事をさせたくない。そんな設計思想に基づいて、Aegis Wallは開発されました」と三浦氏は説明する。

異種データベースを統合管理
セッションを再現する機能も

 第2に、複数台のデータベースを統合管理できることである。「例えば、OracleとDB2、MySQL、PostgreSQLといった異種データベースを一括で管理できます。また、データベースはもちろん、データベースが動いているサーバーについても同時に監視できるので、管理効率を高められます」と三浦氏は話す。

[画像のクリックで拡大表示]

 第3に、オンプレミスだけでなく、クラウド環境にも対応していること。Aegis Wallはオンプレミス、クラウド、ハイブリッドクラウドそれぞれの環境に導入できる。三浦氏は「AWSはもちろんですが、Aegis Wallは各種パブリッククラウドに幅広く対応しており、お客様のニーズや環境に合わせた提供が可能です」という。

 第4に、セッション再現機能。Aegis Wallの持つ管理ツールにより、ユーザーの操作を動画で再生できる機能である。

 「いつ・誰が・どのコマンドを実行したかをログとして記録するだけでなく、操作内容を動画で再現できます。また、テキスト検索と動画をひも付けられるので、見たい動画を一発で検索できます。例えば、外部の保守ベンダーによるリモートアクセスの記録、踏み台サーバー経由の作業を監視するなどの用途に活用できるでしょう」(三浦氏)

  以上のような特長を持つAegis Wallは、セキュリティ対策に真剣に取り組む多くの企業から注目を集めている。

 例えば、大手インターネットサービス企業では、監査ログの統合管理で運用負荷を低減できること、データベース監視とサーバー監視の両方を実現できることなどが決め手となり導入に至った。また、ある金融機関はリアルタイム制御やデータマスキング機能、コストパフォーマンスなどを高く評価して、Aegis Wallの導入を検討しているという。

 ますます重要性を増すデータベースの防御力を高めるため、NHN テコラスは製品のさらなる強化を進めている。

お問い合わせ