インサイトテクノロジーは2023年3月31日、データベース監査ツール「PISO」の関連製品で、ログ管理サーバーの新版「PISO Manager 2.0」を提供開始した。新版では、また、あるユーザーが通常では使っていないSQLを実行したときに警告できるようにした。また、PISOでログを長期保存しつつ外部のSIEMにアクセス情報をニアリアルタイムに伝えらえるようにした。
インサイトテクノロジーの「PISO」は、データベース監査ツールである。「いつ、誰が、どのようなデータベース操作をしたのか」といった、内部統制上必要になる情報を収集して分析する(関連記事:データベース監査ツール「PISO」、Amazon RDSの全DBエンジンで利用可能に)。
PISOの特徴は、監査ログの収集方法として、トランザクションログと同等の情報を、データベース管理システム(DBMS)のメモリー領域から取得する方式を採用していること。これにより、DBMSにかける負荷を低く抑えている。この上でさらに、それぞれのDBMSが備える監査機能を利用して、ログイン成功/失敗や特権ユーザーによるデータベース操作といった情報を取得する。
PISOには、関連ツールとして、ログ管理サーバー「PISO Manager」がある。データベースのアクセスログを収集して一元管理する。今回、PISO Managerをバージョンアップして、サイバー攻撃などを検知する機能を強化した。
強化点の1つとして、あるユーザーが通常では使っていないSQLを実行したときに、警告の対象とする設定を追加した。これにより、通常の操作と、通常と異なる操作を分離できるようになり、異常なSQLを発行した際に、これを検知できるようになった。
従来のPISOでも、ある特定のオブジェクト(テーブルなど)へのあるユーザーからのアクセスを監視ルールと設定し、検知・警告する機能はあった。一方、テーブルにアクセスする必要がある場合は、あるユーザーの特定操作について警告対象から除外して運用していた。
このため、従来は、悪意あるユーザーにアカウントを乗っ取られた場合、悪意あるユーザーによるアクセスを検知できなくなる課題があった。PISO Managerで異常なSQLを検出することで、こうした課題を解決できるようにした。
もう1つの強化点は、IT製品のログを収集して分析するSIEMなどの外部製品にデータをニアリアルタイムで連携できるようにしたことである(図1)。SIEMにデータベースへのアクセス情報を伝えつつPISOでログを長期保存することで、SIEMの保存情報が肥大化することを防ぐ。
図1:「PISO Manager 2.0」とSIEMの連携イメージ(出典:インサイトテクノロジー)拡大画像表示
SIEMの監視対象としてデータベースも例外ではないが、従来は、監視によってデータベースに与える負荷が高いことや、情報として取得できる内容が限られていることなどの課題があった。また、監査情報をすべて保持し続ける用途にはSIEMは適していないという課題があった。PISO Managerに追加したSIEM連携機能は、こうした課題を解決する。
インサイトテクノロジーでは、サイバー攻撃対策におけるデータベースの位置づけについて、「攻撃者によるSQLインジェクションなどの不正操作を検知・追跡するため、データベース監査の重要性が増している」と指摘する。
