米国カリフォルニア州サンフランシスコでOracleの年次カンファレンス「Oracle OpenWorld 2017(OOW2017)」が開催されている。会期3日目となる米国時間10月3日の基調講演に登壇した会長兼最高技術責任者(CTO)のLarry Ellison氏は、講演時間の大半をサイバーセキュリティに割いたが、初日に発表した自律型データベース「18c」と並んでユーザーにさまざまな影響を与えるかもしれない。
不正な行為をあぶり出す
セキュリティ新サービスを発表したOracle 会長兼CTOのLarry Ellison氏
Ellison氏がこの日発表したのは、クラウドベースのセキュリティサービス「Oracle Intelligent Security and Management Suite」だ。自律型データベースをうたう18cと同様に学習技術を活用し、システム上での不正な行為を検出するという。
具体的には、各種システムから出力される膨大かつ多様なログの情報やイベント、またサードパーティなどが提供しているセキュリティ情報などを相関分析することで、ユーザーの正常な行動パターンと不正が疑われる異常なパターンを識別し、異常なパターンに対して管理者などにアラートする。
Oracle Intelligent Security and Management Suiteの概要。SIEMと呼ばれるセキュリティソリューションにあたるサービスになるようだ
この仕組みは、セキュリティ分野では「Security Information and Event Management(SIEM)」と呼ばれ、セキュリティ専業ベンダーを中心にさまざまな製品やサービスが既に提供されている。目新しいものではないが、Oracleがこれを提供するというのが、新しい動きとして注目される。
初日の基調講演でEllison氏が発表した18cは、同社が数十年をかけて蓄積してきたデータベース管理にまつわる知見を生かして、チューニングやパッチ適用といったデータベース管理者の作業の多くを自動化する特徴を掲げる。新しいセキュリティのサービスにもこのアプローチが取り入れられ、データベースへの不正アクセスによって発生する機密情報の漏えい対策に焦点を当てている。
オンプレミスやクラウドのシステムから出力されるさまざまなログ情報を分析、学習してシステム上での異常な振る舞いを検知する。ただ、このインテグレーションは容易ではない場合が多い
これまでの対策は、ファイアウォールや不正侵入検知/防御システム(IDS/IPS)、サンドボックス解析といった多層的な防御システムを講じて、データベースへの不正アクセスを事前にブロックすることに力点が置かれた。これらの防御システムでは、専業ベンダーが提供する攻撃手法の情報やマルウェアを検出する定義ファイルなどが利用されるが、それを駆使していても侵入を防ぐのは難しい。それにも増して難しいのは、正規の権限を持つ管理者などの不正行為である。
Ellison氏によれば、18cもセキュリティの新サービスも、できる限り人手をかけた運用を排除することで、作業ミスなどによる障害リスクやセキュリティのリスクを低減するという。これが実現されれば、システムの信頼性や安全性は格段に向上すると期待される。しかし、そのためには正常と異常を高精度に識別できるよう膨大なデータを学習し続け、判定アルゴリズムを継続的に改善させないといけない。
ログやイベント情報の収集、蓄積、分析が可能とされる主な製品やサービスの一覧
現在のSIEMソリューションもログの収集と蓄積、分析のためのデータの精査、異常を検知するためのアルゴリズムの改善といった点で多くの時間と労力が必要とされる。そのためSIEMを駆使できるのは、セキュリティ監視センター(SOC)を運営し、セキュリティアナリストと呼ばれる専門人材のいるセキュリティサービス事業者や大企業に限られる。ユーザーがOracleの新しいセキュリティサービスの効果を手にするには、それだけのリソースとノウハウが求められることになりそうだ。
ただ、企業に対する信用の失墜や被害者への補償といった有形無形の損害をもたらす情報漏えいの発生源となりがちなデータベースの対策において、Oracle自身がそのソリューション提供に乗り出した意義は大きいと言えるだろう。