- CASE

カテゴリーで絞り込む

導入事例一覧に戻る

国内大手損害保険会社様

データベース操作ログの統合管理により全社レベルでのガバナンス強化に貢献

AUDIT MASTER

金融庁監査指針に耐えられるよう、100台を超えるデータベースサーバのセキュリティ、監査ログの統合管理、モニタリングを実現

金融庁ガイドラインであるFISC (金融機関等コンピュータシステムの安全対策基準・解説書) にのっとり、データベース操作の管理、モニタリングは必須とされています。そのため、OracleデータベースのAudit機能を使って操作ログを取得するよう標準化されていました。 しかし、多数のデータベースがあり、複数のベンダーに管理を委託され、データベース操作ログの取得、ログ管理をベンダーに依存していたことで、統制が取れているとは言えない状態にありました。また、出力された操作ログの管理をそれぞれのデータベースでバッチプログラムを作り込んで実施しており、非効率でした。
課題は「操作ログのモニタリング・監査を自社にて一元的に行う」こと。
Oracle標準の機能を使うことで漏れなく操作ログを取得することを前提に、多数のデータベースの一元管理、ログ管理を自動的に行うことのできるツールを導入する、という方針の下、いくつかの製品を比較検討され、選定いただいたのがAUDIT MASTERでした。

なぜOracle Audit 機能を使うのか

データベースの操作ログを取得する手段として、ネットワークを流れるパケットをキャプチャリングする方法、メモリ上のSQL文を参照取得する方法といった、製品独自の方法ではなく、データベースが標準で提供しているAudit (監査) 機能を使うことが必須とされていました。
数多くのデータベースにエージェントやネットワーク製品を導入し個別に設定するといったことは困難ですし管理上も望ましくありません。なにより、どのような利用パターンでも操作ログを漏れなく取得できるのはAudit機能だけです。 Oracle標準のAudit機能を利用する以外に選択肢はありませんでした。

AUDIT MASTER選択の経緯

課題である「操作ログのモニタリング・監査を自社にて一元的に行う」ことを実現するために、最適な製品を導入することを目指しました。
選定のポイントは、一元管理を行うための、複数のデータベースの操作ログ出力設定やログ収集、レポート出力などを、データベース毎ではなく製品側で容易に実施できることです。
加えて、国内のミッションクリティカル環境での実績と、継続してデータベース監査を支援できるサポート力が求められました。
比較検討されたのは、国内でも実績が多くあった海外製品とAUDIT MASTERでした。
AUDIT MASTERの操作画面は直観的に利用でき、対象とする操作を選択するだけでログ出力設定 (ポリシー設定) ができます。テンプレート化した設定をインポートすれば、標準的なルールを多くのデータベースに対して容易に適用できます。
強力なレポーティング機能が製品標準機能として提供されているので、ポリシー設定と同様、定型パターンを各データベースに容易に適用することができます。
多数のデータベースに対して短期間、低コストで導入することが可能であり、お客様自身で問題なく運用できるようシンプルに作り込まれた操作性の良さが大きな理由となり、採用に至りました。
コンサルティングまで提供できるサービスラインナップの豊富さ、国内で長年データベースに特化して蓄積したミッションクリティカル環境への知見、サポート力にも、長く支援を任せられる会社として魅力を感じていただきました。

AUDIT MASTER導入の実際と効果

AUDIT MASTERの導入は、
 1.製品のインストール
 2.対象データベース初期化パラメータの設定・データベース再起動
 3.対象データベースを製品に登録 (接続設定)
 4.操作ログ出力設定 (ポリシー設定)・適用、ログ確認
 5.レポート設定
という流れで行います。
今回は、既にAudit機能をご利用だったこともあり、2.の対象データベース初期化パラメータ設定・データベース再起動は必要ありませんでしたが、代わりに、実際にデータベースへの接続の情報や、どのように設定されているか、といった調査が必要で、各ベンターに調査票を送り記載してもらいました。ただ、実際に対象データベースを製品側に登録する際に、提供された情報が違っていることも多く、確認に多くの時間が必要となりました。
データベース監査の目的とは別に、お客様にとっては、今までベンダー任せでブラックボックスとなっていたデータベースの実態 (利用状況も含めて) を改めて確認、把握できるよい機会になったようです。
前述のように正確でなかった情報の確認を行いながらでしたが、3以降の作業を進め、週1~2日のペースで3ヶ月、正味1人月ほどで約100台のデータベースすべての設定対応が終了しました。
AUDIT MASTER導入によって、データベース監査システムの構成はこう変わりました。

お客様は、課題であった「操作ログのモニタリング・監査を自社にて一元的に行う」ことを実現し、ベンダーに依存しないデータベース管理を行われています。

データベースのことなら、
お気軽にお問い合わせください

CONTACTUS CONTACTUS

Contact us