NTTぷらら
NTTぷららの選択は、効率的なデータベースアクセス監視と社員の情報セキュリティ意識向上の同時実現
企業の情報漏洩事件が相次いで発覚した2004年初頭。
インターネットプロバイダ「ぷらら」や映像配信サービスの「4th MEDIA」を運営し、総合メディアカンパニーを目指すNTTぷららにとっても、対策は火急なものとなった。
約200万件の会員情報を管理するNTTぷららはどのような対策を施したのか。ネットワーク管理部の三氏に話を聞いた。
株式会社NTTぷらら
ネットワーク管理部
副部長 荒木 孝広 氏
株式会社NTTぷらら
ネットワーク管理部
マネージャー 長谷部 勇 氏
株式会社NTTぷらら
ネットワーク管理部
影澤 潤一 氏
株式会社NTTぷらら
- 本社:
- 東京都豊島区東池袋3-1-1 サンシャイン60 24階
- 代表取締役社長:
- 板東 浩二
- 資本金:
- 78.1億円
- 事業内容:
- 電気通信事業法に定める電気通信事業/情報通信システムの開発及び保守の受託、販売並びに賃貸/情報処理/サービス業/情報提供サービス/その他
- 従業員数:
- 約180名
- ホームページ:
- http://www.plala.or.jp
対策開始からわずか7カ月で、ISMS認証取得へ
さっそく2004年2月、NTTぷららは情報漏洩を想定したテストを実施した。 その結果、流出経路の特定に時間がかかるなどの課題があることが判明。そこで翌3月から全社をあげて対策を開始した。 入退出セキュリティの強化、ネットワークアクセス制御の厳格化、コールセンターへのシン・クライアント導入を実施し、そしてデータベースのアクセス監視システム「PISO」を導入した。 こうした対策を経て、同年10月には、ISMS認証も取得した。
アクセスログの一元管理で、迅速な対応を
同社では、約200万件の会員情報をOracleデータベースで管理。新規入会や会員情報変更など、各種システムと連携して利用している。 しかし、既存のシステムではWebサーバ、アプリケーション、データベースのログイン・ログアウトといった会員情報へのアクセスログが、すべて異なるフォーマットで記録されていた。 そのため、誰が、いつ、どのような操作をしたか、というアクセス状況の把握に複数ログを分析するなど、時間がかかるケースが存在した。 この問題を解決するために、データベース側でアクセスログを一元管理し、効率的に記録、管理するシステムが必要だった。
パフォーマンスの低下なく、SQLを取得したい
そこで2004年3月から5月にかけて、新たなツール選定を行なった。
求められた要件は以下の6点である。
- SQL全文の記録
- データベースへの負荷を考慮した記録・監視
- 会員情報を大量検索したアクセスを記録・監視
- 特定アプリケーションからのアクセスを記録・監視
- 特定ユーザからのアクセスを記録・監視
- 特定時間帯のアクセスを記録・監視
当初導入されたOracleデータベースの監査機能を利用した監視ツールではパフォーマンスが著しく悪化。 1日のトランザクション量(SQL処理量)が1,000万件を超えるミッションクリティカルシステムにおいては容認できるものではなかった。 また、操作履歴として重要なSQLが取得することができなかったのも問題だった。
Oracleのためのセキュリティ、PISOの誕生
その選定過程で、長谷部氏は同社に導入済みのOracleデータベース運用管理ツール「Performance Insight」の開発元、インサイトテクノロジーを訪ねた。 そこですでに進められていた情報漏洩対策ツールのコンセプトとNTTぷららの要件を融合させて生まれたのが、Oracleのためのデータベース監査ツール「Performance Insight Security for Oracle」。 つまり、PISOである。テスト環境への導入を経て、NTTぷららで本格的に稼働を開始したのは2004年9月。 「インサイトテクノロジーが持つOracleデータベースの高い技術力に期待していました。 監視ツールでも我々の要望にしっかりと応えてくれたことに感謝しています」と荒木氏は当時を振り返る。
グラフィカルなコンソールで、効率的な監視
現在データベースへのアクセス監視を行なっているのはシステム部門。多忙を極めるシステム部門で効率的な監視を実現しているのは、PISOの監視コンソール、Overview(図)である。 「Overviewは非常にわかりやすく、イレギュラーなアクセスを検知して即座に詳細を調査できます。 これならシステム部門以外の第三者的な監査部門でも監視調査が可能でしょう」と語るのはPISO導入の検討にあたった影澤氏。
また、NTTぷららではPISOのアクセスログを徹底分析し、アクセスパターンを把握することにも成功。例えば大量検索が実行された場合、それがバッチ処理などシステム運用上で実行されたものか、アプリケーションから人為的に実行されたものなのか、といった判別を実現した。 長谷部氏は「イレギュラーアクセスの抽出はほぼ自動的に実行できるようになりました。 アクセスパターンと一致しないアクセスがあった場合、即座に警告が表示され、さらにSQL文を確認できるので、迅速かつ効率的に不正アクセスを判断できます」と語った。
PISO監視コンソール << Overview >>
円グラフをクリックするだけで、イレギュラーアクセスの監視が出来る
今後は第三者によるアクセス監視も視野に
こうした直観的なコンソールやアクセス判断の自動化は、PISOを扱う部門をシステム部門からセキュリティ部門へと移管し、第三者によるアクセス監査を行なう計画にも対応する。 「システム部門ならSQL文だけでも十分でしょう。 しかし、専門的な知識のない他の部門でも同様に不正アクセスの判別をするためには、監査レポートやアクセスパターンの分析レポートなどが必要です。 PISOの次期バージョンにはぜひ実装してほしいですね」と長谷部氏は続けた。
情報漏洩を未然に防ぐ、社員のセキュリティ意識向上
「PISO導入を社内に告知したことで、情報セキュリティに対する社員意識が向上しました。」と語るのは荒木氏。 例えば、会員情報に対して通常とは異なるアクセスを実施する際、事前申告を行うことが業務フローとして定着してきた。 PISO導入の効果は、単なるデータベースのアクセス監視にとどまらない。 情報漏洩は、監視するだけではなく、抑止する。 これが、PISOの考えるデータベースのセキュリティなのである。
本ケーススタディは情報提供のみを目的としています。Insight Technologyは、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
