FAQ
お客様から寄せられたPISOに対するご質問及び、その回答を掲載しています。
- 個人情報保護法に対応するためには何が必要ですか?
- 個人情報は外部と内部の両方から漏洩する可能性があるので、その両方に対応する必要があります。外部漏洩対策としてはファイヤーウォールや不正侵入検知システムなどが考えられ、これらの普及率はほぼ100%に近いと言えるでしょう。 一方、個人情報漏洩事件の約80%が内部漏洩が原因であるにもかかわらず、現状ではほとんど手付かずの状態です。PISOは内部漏洩対策に重点を置いたセキュリティソリューションです。
- セキュリティ関連のソフトはたくさんあります。PISOの位置づけ・特徴は?
- 守るべき情報が格納されたデータベースの「最小限の対応で最大限の効果を発揮する」監査を実現します。 主な機能として、「監査ログ管理機能」「不正アクセス警告機能」「流出経路追跡調査機能(データマイニング)」があります。
- 他社製品との違いは何ですか?
- PISOは監視対象データベースの中のメモリ領域(SGA領域)から直接情報を取得しますので、データベースのパフォーマンスに影響を与えません。
- データベースのセキュリティを強化したい。どうすればよいですか?
-
データベース・セキュリティの概要は大別すると
- ユーザー認証
- ユーザ一元管理
- アクセスコントロール
- 暗号化 (格納データ)
- 監査
- PISO を導入すると何がわかりますか?
-
PISOは、監視対象データベースのパフォーマンスに影響を与えずに、「個人情報テーブル」に対するアクセスを監視します。「個人情報テーブル」に対して実施されたSQL文(全文)を取得することにより、以下の内容を把握することができます。
「いつ」 ・・・・・ 日付 「誰が」 ・・・・・ OSユーザ、Oracleユーザ 「どこで」 ・・・・・ マシン、端末 「何を」 ・・・・・ オブジェクト 「どのように」 ・・・・・ 実行プログラム 「どれくらい」 ・・・・・ 取得行 「どうしたのか」 ・・・・・ 実行していたSQL文 - PISO で情報漏洩を防ぐことが出来ますか?
- PISOは不正/公正を問わず通常の振る舞いと違うSQL文を警告に上げます。PISOの警告は企業内のモラル維持を実現するでしょう。実際に、PISOの存在自体がもたらす犯罪の抑止効果や情報漏洩リスクの低減に成功したというお客様の声もたくさんお聞きします。
- 成りすまし(アクセス権限のあるユーザ)を監視することはできますか?
- PISOは、Oracleデータベースサーバに依存しない方法で監視しているため、成りすまし等アクセス権限のあるユーザを監視することが可能です。
- インターネット・データ・センターを運営してます。PISOを用いてどのような運用が可能ですか?
- お客様へ定期的に蓄積した監査ログを提出するとともに、その内容から監査設定、内容の見直しを実施する運用はいかがでしょうか? PISOでは「マイニングサーチ」,「監視設定」機能で簡単に実現できます。
- PISO を導入するためには何が必要ですか?
- PISOを導入するためには、取得したログを蓄積・分析するための専用サーバ(ISM)をご用意いただく必要があります。
- なぜ、ログ蓄積・分析サーバ(ISM)を別途用意する必要があるのですか?監視対象のデータベースに保存することはできないのですか?
-
必要があります。別途ログ蓄積・分析サーバを立てる理由(メリット)は次のようになります。
- 監視対象データベースのパフォーマンスへの影響が減る
収集したログを監視対象サーバに保存する場合、データベースやファイル等保存方法を問わず、システムリソース(CPUやディスクI/O)を使用するため、パフォーマンスに影響します。 - 収集したログデータの改ざんを防ぐ
外部サーバに、収集したログを格納することにより、監視対象データベースにアクセスできる人が、ログに直接アクセスできないようになります。結果として、収集したログの改ざんを防げるようになります。 - ログの一元管理ができる
複数のデータベース管理の際に、ログ蓄積・分析サーバを使用することにより、最大8インスタンスを効率良く監視できます。 - DBサーバのダウンする可能性を減らす
ログが監視対象サーバに保存されるため、ログの削除等の管理を怠ると、ディスクがいっぱいになり、DBサーバをダウンさせる可能性があります。そのようなリスク削減や管理の手間をなくします。
- 監視対象データベースのパフォーマンスへの影響が減る
- PISOでサポートしているOSは?
- マルチプラットフォーム対応です。AIX、HP-UX、Solaris、Windows2003、Windows2000、Red Hat Linux、Miracle Linux
- PISOでサポートしているOracleのバージョンは?
- Oracle Database 8.0 以降をサポートしています。 8.0 以前のバージョンについてはお問合せ下さい。また、RACにも対応しています。
- PISOの価格体系
- PISOは、監視対象サーバ上で、アクセスログを取得する「Target側モジュール」と、PISOによって取得したログを蓄積・分析するサーバにインストールする「ISM」の2製品によって構成されております。 価格はPISOの導入されるサーバ上に搭載されているプロセッサ(CPU)の総数により決定します。また、導入対象がクラスタ構成の場合、コールドスタンバイ運用に限り、そのマシン用のライセンスを購入する必要はありません。
- Oracleのバージョンアップやパッチなどに対応できるのか?
- 対応しております。 ただし、PISOはSGA領域内のメモリのアドレスを参照していますのでOracleのバージョンアップによってアドレスが変更される可能性がありますので、バージョンアップの際は、別途ご相談ください。
- PISO を導入する際に、稼動中のデータベースを止める必要がありますか?
- 稼動中のデータベースを止める必要は全くありません。データベースを止めることなく導入が可能です。
- PISO 導入後の運用コストはかかりますか?
- PISO導入後は、メンテナンスサポート費用(年間保守)のみかかります。
一般
機能
- PISOはどのようなアクセスを監視、警告しますか?
- PISOの監視・警告対象はこちら
- PISOはどのような警告通知手段を実装していますか?
- PISOのコンソール以外に、メール、SNMP TRAP、SYSLOG/EVENTLOGの通知手段を実装しています。また、パトランプを接続することにより音と光で警告を認知できます。 更に、警告通知時に ISMおよびTargetで設定したコマンドラインを実行することも出来ます。
- PISOはどのような情報を取得しているのですか?
- PISOはデータベースへのアクセスに関わる全てのデータを取得、蓄積します。データベースから情報を抽出する最小単位はSQLです。SQLのアクセスログは情報流出時の監査証跡となります。PISOが取得する詳細な情報はこちら
- PISOはアクセスログを取得する際にどのようなOracleの情報を参照しているのですか?
-
PISOは以下の2つの情報を参照しています。
- SQL
SQL文は弊社の独自技術である「SQL Collector」を使用して取得します。 SQL CollectorはOracleの機能に一切依存することなく低負荷でSQLを取得する。 - セッション
OracleのAuditTrailを使用してアクセスログを取得しています。SQL Collectorが取得したSQLだけではなく、ログオン失敗などAuditTrailが得意とする監査項目を利用することもできます。
- SQL
- 取得したSQLは全文が記録されるのでしょうか?
- 監視対象となったオブジェクトに関するSQL全文をアクセスログとして蓄積しています(取得バイト数のデフォルトは約20MB)。但し、同一SQLが2回以上実行された場合は、2回目以降、キー情報で蓄積しています。これは容量上の問題を解決するためにできるかぎり蓄積量を低減します。
- SQLにビューやシノニムが使用されている場合でも、アクセスした元テーブル情報を記録することはできますか?
- できます。万が一、犯人がビューやシノニムを作成し個人情報にアクセスがあっても、監視や警告を上げることが可能です。
- どうやって取得したアクセスログを検索し犯行を特定するのですか?
- PISOの「マイニングサーチ」機能を活用して、「期間(時間)」「オブジェクト(行動)」「ユーザ(人)」など様々な条件から絞り込んで、蓄積された全てのアクセスログの中から、疑わしいと思われるSQL文を特定することができます。
- アクセスログの検索に時間はかかりませんか?
- 検索結果のログ一覧を単純にリスト形式で表示するのではなく、グラフ化します。データの重要度(オブジェクト・セキュリティー・レベル)、アクセスされたデータ(オブジェクト)、アクセスしたユーザ名、時間などの条件によりGUI操作で簡単に絞り込んでいくことが可能です。
- どうやって、ユーザの異常行動を検知するのですか?
- 製品を導入後、過去のアクセス行動を分析・監査し、学習機能により通常発生しない行動なのかを検知することが可能です。
- データベースのメンテナンス時間帯は様々な操作をするので、PISOから大量に警告が発生して運用に支障をきたす可能性があります。しかし、内部監査の観点からはアクセスログを取得しなければなりません。PISOは、アクセスログを取得しながら、警告を一時的に停止させることはできますか?
- PISOは指定した時間帯だけ警告を停止する機能(ブラックアウト機能)を実装しています。この機能を使うことでアクセスログを取得しながら、設定した監視項目の警告を一時的に停止させることができます。
蓄積サーバ
- 1台のISMサーバで、最大いくつのデータベースを監視できるのでしょうか?
- 1台のISMサーバで最大8インスタンスを監視できます。監視対象インスタンス数が、9台以上の場合は、別途ご相談ください。
- ISMサーバの二重化は出来ますか?
- クラスタリング・ソフトウェアを導入することで二重化を実現することが可能です。その場合でもPISOのライセンスは1台分で大丈夫です。
- 古くなったアクセスログはどのように削除されるのですか?また、削除されたアクセスログを復元・参照することは可能でしょうか?
-
PISOでは、お客様により任意に指定されたオンライン保持期間を過ぎたデータを自動的にバックアップ領域にバックアップし削除します。
このバックアップデータをテープ装置などに保管しておくことでいつでも復元することができます。
復元・参照はWEBブラウザからPISOにアクセスし、GUI上で簡単に行うことができます。 - 不正アクセスを発見した場合の対応機能についてアクション機能はありますか?
-
現在のバージョン(PISO2.2)では、警告が発生した際に Target上で実行するコマンドラインを定義することが出来ます。
この機能を使用して、限定的なアクションを行うことは出来ます。
将来のバージョンで、より充実したアクション機能を提供する予定です。 - ISMサーバのスペックは?
-
CPUクラス : Pentium4 3GHz以上 CPU数 : 2 メモリ : 2GB以上 Disk転送速度 : 20MB/sec以上 - 1日のデータ量はどのくらいになりますか?
-
左右される要因:
- SQL文の長さ
- トランザクション量
- サンプリング・インターバル
- SQL文の一定/不定
- ISMサーバに蓄積するログの容量は?
- 5GB(通常の蓄積ログ用)+15GB(バックアップ、リカバリ用)=20GB/インスタンス/月
アクセスログの取得
- PISO を導入することで、監視対象のサーバに負荷がかかりませんか?
-
PISOのコンセプトは「監視対象サーバに極力負荷を掛けないで、より多くの情報を取得する」ということですので、弊社独自の技術である、SQL Collector を利用し負荷の低減を実現しております。
SQL文の取得に関しては、- CPU負荷
- DISK容量
- データベースサーバ
PISOモジュール150MB + 一時データ領域 500MB(変更可) - ISMサーバ
蓄積期間に依存します。(拡張可能なDISK選定を推奨)
-
現CPU稼働率 + 1〜2%程度(監視データベース毎)
- AuditTrailとどう違うのですか?
- 全てのSQL文を負荷なく取るためにはAuditTrailだけでは実現不可能です。
- 一部AuditTrailを使用しているようですが、なぜ使用しているのですか?
- ログイン、ログイン失敗、長時間ログイン、禁止時間帯ログイン、データベースへのアクション(DDL)などの不正なセッション情報を取得するためにのみ使用しています。AuditTrailを使用してSQLを取得するとシステムへ高い負荷を与えますのでSQLの取得には使用していません。PISOでは最低限の負荷で情報取得できるセッション情報の取得のみにAuditTrail機能の一部を利用しています。
- PISOは全てのSQL文が取れるのですか?
- PISOはデフォルトでは200milli-second単位でSGAスキャンを行います。そのときに見るSQL情報は「現在実行中」と「直前に実行された」のものです。このときに取りこぼしが発生する可能性があるのはインターバル内で「直前に実行されたSQLの『さらに直前』」のSQL情報です。PISOでは200milli-secondすなわち1秒間に5回のサンプリングをデフォルトとしていますが、サンプリング回数を最大100回まで増やしてもCPU負荷は微少です。
- SQL情報取得のインターバルはどのように決めるのですか?
- 200milli-secondすなわち1秒間に5回がデフォルトです。これはSQL文の実行前に行われるParsing(翻訳)にかかる時間がおおよそ200milli-second(最少)であることから採用された値です。取得頻度を上げると取得されるデータ量は増えますが、システムにかかる負荷はほとんど上がりません。
- ターゲット側にエージェント・プログラムを入れるのですか?
- 監視対象データベースにエージェント・プログラムを導入する必要があります。しかし、弊社の独自技術である「SQL Collector」を使用することにより、パフォーマンスへ影響を与えることはありません。これがなければOracleのAuditTrailを補完するだけのソフトにしかならず、一番重要なSQL文ベースでの追跡が出来なくなります。
- なぜ、エージェントプロジェグラムを入れても、データベースのパフォーマンスに影響がないのですか?
- PISOは、データベースの中のメモリ領域(SGA領域)から直接情報を取得しますので、データベースのパフォーマンスに影響を与えません。
- ターゲット側のエージェント・プログラムが使用するメモリーリソースはどの程度でしょうか?
- デフォルトサイズは約20MBです。取得されたSQL文は5秒ごとに蓄積サーバにhttpで転送されます。5秒間蓄積しておくSQL文の数と長さに比例してメモリ使用量は増加します。
- ターゲット側のエージェント・プログラムが使用するCPU使用率はどの程度でしょうか?
- 環境にある程度左右されますが、SQL文の取得に関しては、現CPU稼働率 + 1〜2%程度(監視データベース毎)です。
- 大量トランザクションによる負荷増や、ネットワーク遅延などの理由によりログの収集漏れは発生するのでしょうか?
- 例えばネットワークやログ蓄積サーバのハード障害などでデータの転送が出来なくなった場合は、一定のサイズ(デフォルト500MB)までファイル書き込みを行います。障害復旧後、通常どおりにログ蓄積サーバにログを転送することにより、ログの収集漏れ等の対応をしています。
- 取得行(Rows_Processed)等のSQL統計情報は累計値を元に算出していますか?
- いいえ、累計値を実行数等で割るような不正確な算出を行いません。PISOでは、あるセッションから実行された特定のSQL文の統計を差分値から算出しているため正確な値を表示しています。
- ネットワーク負荷は大丈夫ですか?
- 蓄積サーバの配置上、業務に直接影響することはありません。また、弊社の独自技術であるハッシュ管理を利用することにより、過去に実行されたSQLテキストは、蓄積サーバに送らず、独自ハッシュ値のみ転送することにより、不必要なネットワーク負荷を避ける仕組みを採用しています。
- 「DBMS_APPLICATION_INFO」を設定するメリットはありますか?
- メリットは、複数のアプリケーションが存在する環境で不正アクセスを行ったアプリケーションが特定できることです。アプリケーション改ざんなどの不測の事態により、アプリケーションから通常は発生しない事象を監視し、DBMS_APPLICATION_INFOから問題のアプリケーションが特定できます。
- Web3階層構成(Web→AP→DB)の場合、DBMS_APPLICATION_INFOはどこに設定すればいいのですか?
- 通常、Web3階層構成では、DBMS_APPLICATION_INFOをアプリケーションサーバで稼動するアプリケーションに設定しますが、PL/SQL(ストアドプロシージャ)を基本としているアプリケーションの場合は、PL/SQL(ストアドプロシージャ)にDBMS_APPLICATION_INFOを設定します。これによって、どのマシン(サーバ)から発行されたSQL文か認識できるので不正アクセスがあったアプリケーションを特定できます。
- DBMS_APPLICATION_INFOによる情報追加によって、監視対象サーバのSQL解析時間に影響を与えないでしょうか?
- 影響はありません。DBMS_APPLICATION_INFOはセッション情報に区分けされます。従ってSQLの解析等には影響を及ぼしません。
