不正を見極めるための条件設定が鍵
まず、DBからの抽出への対策としては、DBアクセスのログ監査/リアルタイム監視&ブロックなどを実施できるツールを中心に、それを生かす体制の構築、運用が基本となる。
DBアクセスログ監査は、DBからの漏えいの迅速な発見、発覚後の検証を可能にするが、予防には抑止力としてのみ働く。実行者が発覚を恐れない場合、発覚の可能性に気付いていない場合などには、少なくとも1回は抽出されてしまう可能性がある。
被害を最小限にとどめるためには、繰り返し行われないようにこまめに監査、検証をしたり、大量流出できないよう防止する設計をシステムに取り入れるなど、ツールの機能を生かすことが重要だ。
即時ブロックする機能を備えたDBアクセス監視ツールであれば、ルール違反のアクセスに対する備えとして役立つ。ただし、いずれにせよ通常のアクセスと異常なアクセスを区別するための条件設定が鍵となる。
DBやファイルサーバなどデータが蓄積されている場所から業務以外でデータを取り出せないようにする手段は、情報流出を防ぐための重要な対策の1つ。今回のようなユーザーの不正な利用はもちろん、組織内の端末に侵入したマルウェアやアプリケーションサーバ乗っ取りなどによる不正アクセスへの備えとしても有効だ。
DBへのアクセスを監視するツールとしては、DBの機能(アドオンなど)やDBサーバに導入するエージェント、またファイアウォールのようにDB直前に設置するなど、いくつかの形態があるが、いずれも外部からDBへのアクセスを全てロギング・監視するという目的に沿って作られたものとなっている。
ツールの仕様・組み合わせによっては、DBのみならずアプリケーションやネットワークへのログイン、通信内容なども監査や監視の対象とすることが可能だ。
こうしたDBアクセス監査/監視ツールを使う上で、まず重要となるのが、不正アクセスを識別する条件だ。取得したログから事後的に監査、あるいはアクセスをリアルタイムに監視し、あらかじめ設定した条件に基づいて、通常のアクセスと不正なアクセスを識別している。
その条件としては、例えば、通常使うはずのないテーブルにアクセスがあった場合、また、結果行数が通常使う範囲を超えている場合など、いくつかのパターンが考えられる。ほとんどのツールで複数のパラメータを組み合わせた条件設定も可能だ。また、どのくらいの範囲までが通常かを学習する機能を備えたツールもある。
なお、一般的に、社内クライアントやアプリケーションサーバからの通常のDBアクセスはパターンが特定しやすいのに対し、DB管理者が業務で行うDBアクセスは作業内容によって多岐にわたる傾向がある。そのため、DBアクセスアクセスパターンによる検知は、マルウェアなどによって社内クライアントやアプリケーションサーバを乗っ取られた場合には分かりやすいが、今回の事件のようなケースでは不正アクセスを見抜くのが難しくなり得る。そのため、特にDB管理者に関しては他のツールやルールなども併用し、多重の対策を施すことが望ましい。
