不正アクセスを検知した場合の対処には、そのタイミングによって選択肢が異なってくる。DBアクセスログに対する監査であれば事後となり、他のログと突き合わせて流出ルートや不正を行った存在の解明を進める材料となる。だが、「不正が行われれば露見する」という認識により、内部ユーザーに対する心理的抑止力としての効果は期待できるものの、現場で流出を食い止めることはできない。
一方、リアルタイムの監視であれば、不正と判断される条件に合致した時点でセッションを破棄してデータ流出を防止したり、アラートメールを関係者に送信する、指定したプログラムを実行するなど、事前に設定された手段を自動的に実施し、流出をブロックすることも可能となる。
ただし、防御の仕様次第ではアプリケーションがクラッシュするなど弊害が生じる可能性も考えられる。早い段階から考慮して仕様に盛り込んでおき、周辺システムにも防御を前提とした設計を講じることが望ましい。
なお、不必要にデータを取り出せぬようにする対策としては、他にもいくつかの手法が考えられる。例えばDBやアプリケーションの設計を工夫し、一人のユーザーが一度にアクセスできる範囲を限定するように設定する手法もある。この手法をDBアクセスの監査・監視と組み合わせることで、もし持ち出された際にも全て一部だけで済み、ダメージを局限化できる。
また、特権ID管理ソフトウェアを用いる方法も考えられる。特権IDをツール上で一元管理しておき、事前の申請に沿った権限のみ都度付与するような方法だ。事後に作業ログと突合して事前申請の内容通りに行われたかを確認することで、不正アクセスを見極めることができる。
後編に続く。