データベース監査製品

NECエンベデッドプロダクツ株式会社

(旧: NECパーソナルプロダクツ株式会社)

データベースへのアクセス監査とアカウント管理の徹底によるセキュリティ強化

個人情報を守る大要素をPISOで実現

NEC Embedded Products ×  

コンシューマー向けパソコンの企画・開発・生産・販売・サポートのほか、ビジネス向け情報機器の販売、各種情報端末機器の受託・製造に及ぶ事業を展開するNECプロダクツ。これらの事業展開において、個人情報は必要不可欠なものであり、コンプライアンスの観点から絶対に守らなければならない。

目的

個人情報を守るためにアクセス監査とアカウント管理を厳格化

NECパーソナルプロダクツIT戦略部は、個人情報保護法の施行や世間で相次ぐ情報漏洩事件をうけ、2004年10月から2005年3月にかけて、個人情報守る方針を策定し、データベースセキュリティが最も重要と判断。2005年5月、個人情報データベースに対するアクセス監視をPISOによって実施。同時にJ-SOX法対策の取り組みとして、アカウントを厳格に管理した結果、データベースアクセスの制限及び、データベースアクセスしたユーザーの特定を可能にした。

PISOを選択した理由

システムに負荷をかけずに必要なアクセスログ(アクセスしたユーザー、実行したSQL分、処理件数など)が取得できる
アクセスログの保全、運用管理、監視、検索などの機能がオールインワンで提供されている

「不正アクセスの予防」を実現したデータベースセキュリティ対策

対策 1:
情報漏洩リスクが高い運用管理者のアクセスをリアルタイム監視

業務用アプリケーション経由のアクセス及び、運用管理者のアクセスをログとして取得し、運用管理者のアクセスログをリアルタイムに監視して、さらにアカウントを厳格に管理することで、「誰がデータベースにアクセスしたか?」を、PISOから特定して「不正アクセスの予防」を実現した。

対策 2:
「不正アクセス監視」を運用する

PISO導入当初、正規アクセスが警告通知されるケースがあり、警告件数が一日あたり数百件になることがあったが、アクセスパターンを把握することで改善した結果を、運用に適した監視ルールに適宜フィードバックすることで、通常運用では警告が出ない状態として、効率的な運用を実現した。

どのように で解決したのか ?

以下の項目にご入力いただき、[download] ボタンを押してください。資料が表示されます。「*」印の項目は、入力必須項目となります。



]p