NHN テコラス 「制御」「記録」「監視」で安全を守る データベース・ファイアウォール


データ量が急増する中、データベースの負荷は高まるばかりだ。一方で、データベースのセキュリティ対策も求められている。こうした中、データベースに負荷をかけないデータベース向けのファイアウォールが注目を集めている。NHN テコラスが提供する「Aegis Wall」。「制御」「記録」「監視」によりデータベースのセキュリティ強化を実現するソフトウエアである。

ファイアーウォール(防火壁、Firewall)とは、ある特定のコンピュータネットワークとその外部との通信を制御し、内部のコンピュータネットワークの安全を維持することを目的としたソフトウェア(あるいはそのソフトウェアを搭載したハードウェア)の技術概念である。外部から内部のコンピュータネットワークへ侵入しようとするクラッキング行為を火事にたとえ、それを食い止めるものとして防火壁という表現を用いている。ファイアウォールは、その動作するプロトコル階層によって細かく分類される。

→Wikipedia参照

データ流通量の急増により
高まるセキュリティリスク

NHN テコラス株式会社
セキュリティ事業本部
Aegis Wall事業部
事業部長
三浦 康暢 氏

あらゆるデバイスがネットワークにつながるIoT時代を迎えて、IT環境は大きく変化しつつある。

データ量およびデータ流通量は加速度的に増加している。これらのデータをいかに処理するか、いかにセキュアな状態に保つかは切実な課題だ。セキュリティの観点で、特に影響が大きいのはデータ流通量の急増である。

「あらゆるデータが移動したり、コピーされたりして動き回っています。移動する途中で様々な機器を介することになり、データが1カ所にとどまっている状態に比べて情報漏洩などのリスクは格段に高まります」と、NHN テコラスの三浦康暢氏は語る。同社はNHN comicoのグループ企業。同グループのB2B事業を担う中核企業として、セキュリティ事業やITインフラマネージドサービスなどを手掛けている。

サーバー攻撃側の手法は巧妙化している。オンラインショッピングでの購入履歴やクレジットカード番号、個人の年収や生年月日、家族構成、電話番号・住所など、様々な情報が闇市場で売買されている。「こうした金銭目的の攻撃のほか、政治的な目的を持ったサイバーテロや諜報活動も増えています。これに対して、日本企業のセキュリティ対策は遅れていると言わざるを得ません」(三浦氏)。

データベースの負荷を高めない
パケットキャプチャ方式を採用

増大するデータを処理する能力を高めつつ、一方ではデータを守るための対策も講じなければならないという要求を前に、企業のIT部門は頭を悩ませている。そのような課題に対するソリューションとして、NHN テコラスが提案しているのが「データベース・ファイアウォール」とのコンセプトに基づいて開発された「Aegis Wall」である。Aegis Wallは制御(アクセス制御、コマンド権限制御、マスキング、承認ワークフロー)と記録(Webレポート、セッション再現)、監視(モニタリング、アラート)という大きく三つの役割を担う、データベース向けのセキュリティソフトウエアだ。

パケットキャプチャとは、ネットワーク上で実際に流れるトラフィックのパケットを採取することです。パケットキャプチャソフトであるWireshark(ethereal から名称変更)などをインストールしたPCを対象のネットワーク機器に接続してパケットキャプチャを行うのが、一般的です。キャプチャー作業はネットワーク上で障害が発生した場合に、どこに問題があるのかを解析するためによく実施しますが、設計通りのトラフィック制御(QoSなど)が出来ているかの確認を行うために実施することもあります。

→ネットワークエンジニアとして 参照

 

[画像のクリックで拡大表示]

以前ならファイアウォールやWAF、IPS/IDSなどでサイバー攻撃を防御できていたが、今では標的型攻撃などの新たな手口によって、内部への侵入を許してしまうケースが多発。個人情報や顧客データなどのデータが抜き取られる被害も増えている。「そこで、大事なデータを守るために、データベースのためのファイアウォールを設置する。これがAegis Wallの考え方です。これにより、ログ記録や監視だけでなく、アクセス権限などの制御も実行できます」と三浦氏は解説する。Aegis Wallにより多層防御を実現し、データベースの安全性を一層高められる。

WAFとは、外部ネットワークからの不正アクセスを防ぐためのソフトウェア(あるいはハードウェア)であるファイアーウォールの中でも、Webアプリケーションのやり取りを把握・管理することによって不正侵入を防御することのできるファイアウォールのことである。

→BINARY参照

不正侵入検知システム(IDS)と不正侵入防御システム(IPS) IDSとはIntrusion Detection Systemの略で、Intrusion(=侵入)をDetection(=検知、検出)するシステムとして、侵入検知システムと呼ばれています。

→ITトレンド参照

通常のファイアウォールは社内ネットワークの入り口に置かれ、外部からの攻撃を防ぐ役割を果たしている。一方、Aegis Wallは社内ネットワークの内側で、データベースを取り囲む壁のようなものだ。したがって、外部だけでなく内部不正への対策にもなる。データベースのアクセス制御により、権限を持たないユーザーの接続を禁止したり、あるいは権限を持つユーザーが不正な利用をしないよう監視したりできる。

Aegis Wallの機能面での特長は大きく四つある。

第1に、パケットキャプチャ方式の採用。データベースに対してエージェントを常駐させる、あるいは監査ログを吐き出させるなどの要求を与えれば、その分のリソースが消費されてしまう。パケットキャプチャ方式はこうした負荷をかけないので、データベースはデータ保存・参照など本来の機能に集中することができる。

「ただでさえ蓄積されるデータが急増している中で、データベースにセキュリティのための仕事をさせたくない。そんな設計思想に基づいて、Aegis Wallは開発されました」と三浦氏は説明する。

エージェントとは、仲介を行うものである。コンピュータ科学の研究分野としてソフトウェアエージェントがある。これは、ユーザが何らかの目的を達するための代理として機能し、他のユーザやソフトウェアなどと通信しながら、自らがある程度の判断能力を持って自律的に振る舞い、永続的に活動するソフトウェアを意味する。

→e-words参照

異種データベースを統合管理
セッションを再現する機能も

第2に、複数台のデータベースを統合管理できることである。「例えば、OracleとDB2、MySQL、PostgreSQLといった異種データベースを一括で管理できます。また、データベースはもちろん、データベースが動いているサーバーについても同時に監視できるので、管理効率を高められます」と三浦氏は話す。

[画像のクリックで拡大表示]

第3に、オンプレミスだけでなく、クラウド環境にも対応していること。Aegis Wallはオンプレミス、クラウド、ハイブリッドクラウドそれぞれの環境に導入できる。三浦氏は「AWSはもちろんですが、Aegis Wallは各種パブリッククラウドに幅広く対応しており、お客様のニーズや環境に合わせた提供が可能です」という。

“オンプレミスとは、企業の業務システムなどで、自社で用意した設備でソフトウェアなどを導入・利用すること。自社運用→e-words参照

“ソフトウェアやハードウェアの利用権などをネットワーク越しにサービスとして利用者に提供する方式を「クラウドコンピューティング」(cloud computing)と呼び、データセンターや、その中で運用されているサーバ群のことをクラウドという。→e-words参照

 

 

第4に、セッション再現機能。Aegis Wallの持つ管理ツールにより、ユーザーの操作を動画で再生できる機能である。

「いつ・誰が・どのコマンドを実行したかをログとして記録するだけでなく、操作内容を動画で再現できます。また、テキスト検索と動画をひも付けられるので、見たい動画を一発で検索できます。例えば、外部の保守ベンダーによるリモートアクセスの記録、踏み台サーバー経由の作業を監視するなどの用途に活用できるでしょう」(三浦氏)

以上のような特長を持つAegis Wallは、セキュリティ対策に真剣に取り組む多くの企業から注目を集めている。

例えば、大手インターネットサービス企業では、監査ログの統合管理で運用負荷を低減できること、データベース監視とサーバー監視の両方を実現できることなどが決め手となり導入に至った。また、ある金融機関はリアルタイム制御やデータマスキング機能、コストパフォーマンスなどを高く評価して、Aegis Wallの導入を検討しているという。

ますます重要性を増すデータベースの防御力を高めるため、NHN テコラスは製品のさらなる強化を進めている。

 

 

 

2 thoughts on “NHN テコラス 「制御」「記録」「監視」で安全を守る データベース・ファイアウォール

  1. Pingback: D/s

  2. Pingback: Pendaftaran CPNS Kemenkumham

Comments are closed.