皆さま、こんにちは。 てくさぽBLOG メンバーの梶原です。
前回、オシャレに変身した、「IBM Security Guardium Data Activity Monitor V10」の
基本機能である、「ポリシー作成・インストール」及び「アラート表示・レポート作成」まで
を使ってみました。(前編はこちら!)
今回は、GuardiumV10の新機能をいくつか使ってみたいと思います。
特に、メインディッシュとして、不正なアクセスからデータベースを守る、新機能の
クエリー・リライト機能をご紹介しますので、ぜひ最後までごらんください!
■前菜として、細かいけど素敵な新機能。
とりあえず、ログインしましょう。
もう大丈夫、 「ようこそ」と言われても、驚きませんよ。
新機能①:通知機能
おや? 前回は急にツアーに誘われて、動揺していたため、気づきませんでしたが、
中央上に鈴のマークがありますね。そのうえ、携帯電話の着信通知ばりに、
「2」の文字がでています。
さっそくクリックしてみましょう。
アテンションとインフォメーションメッセージがでているようです。
それぞれクリックしてみます。
クイック検索機能は16GB必要だと言っています。
仮想アプライアンス版を使っていますので、割り当てメモリが少なかったようです。
また、インフォメーションでは、パッチが出ていることを教えてくれてくれます。
ダウンロードをクリックすると、FixCentralのタブが起動しました。
このように、さまざま通知が、わかりやすく表示されるようです。
新機能②:検索機能
メモリが足りないと怒られたクイック検索ですが、そんなことはお構いなしに、
検索してみましょう。右上の検索バーを利用します。
例えば、バックアップしたいけど、メニューの選択肢がわからん!
というときは、ここに 「バック」と入れている最中から、
その画面へのパスが表示されます。虫眼鏡マークをクリックしなくても大丈夫です。
そして、リンクをクリックすれば、一気にその画面へ移動します
メモリが足りなくなくても、使えちゃえましたね。
(商用サービスでは、当然必要メモリを割り当ててください。)
新機能③:ダッシュボード機能
次は、マイ・ダッシュボード機能を試してみましょう。
マイ・ダッシュボード > 新規ダッシュボードの作成
レポートの追加をクリックします。
設定されているレポートを選択できます。
ポップアップのリンクを選択していくと、後ろの画面でレポートが追加されていきます。
1つづつ選択を繰り返す必要がありません。
好きなものを選択して閉じるボタンをクリックで終了です。
ダッシュボードができました。よく使う画面をここに設定しておきましょう。
新機能④:レポートの列表示の変更
作成したダッシュボードの、1つのレポートを大きくします。
右端のボタンをクリックします。
大きくなりました。次に、下記赤で囲んだボタンをクリックします。
列構成がポップアップされました。
表示が不要な列のチェックを外します(わかりやすくするため、ほとんど外します)。
OKをクリックします。
列が変更されました。
左端のエクスポートリストをクリックすると、
変更した表示レコードのダウンロードも選択できるので、
自分のPCへ落とし込む時に楽になりますね。
■本日のメインディッシュ、クエリー・リライト機能
さて、本日のメインディッシュ機能である、クエリー・リライト機能を味わってみましょう。
クエリー・リライト機能とは、文字通りSQL文をルールに従い書き換えたうえで、
実行してくれる機能です。この機能で、不正なSQLからデータベースを守ります。
この機能は、AdvancedEdition機能ですので、ライセンスが登録されているか確認します。
たどるのが、面倒くさいので検索から移動します。
ライセンス登録を確認します。
また、Guardiumエージェント(S-TAP)側にてinitファイルの編集が必要ですので、
監視対象にログインして編集します。
tapiniを、qrw_installed=0から1に設定し、有効化します。
変更前
変更後
さらには、コレクターのコンソール画面での設定変更が必要です。
restart inspection-engingsコマンドを実行、検査エンジンの再起動を行います。
これで、準備は整いました。では、クエリー・リライト機能画面に移動しましょう。
今回はリンクからいきます。
(ちなみに、検索機能で「クエリー・リライト」では検索ヒットしませんでした。照会再書き込みならヒットします。)
保護 > セキュリティー・ポリシー > 照会再書き込みビルダ
なにやら、細かい設定画面がでてきました。
今回は、nicp_tableに対するselect文を変更する設定にしてみましょう。
定義名 :NI+CP TEST
データベース・タイプ:Oracle
モデル照会:select * from nicp_table
と入力して、解析をクリックします。解析結果が表示されるので、保存をクリックします。
再書き込みルールの部分に、赤くなっているnicp_table部分をクリックすると、
吹き出しのように画面が表示されます。ここで、終了に「tab」と記載して保存します。
つまり、select * from nic_tableを実行したら、自動的にテーブル名をtabに変更して、
その結果を表示させる設定とします。
リアルタイムプレビューに変更後の、SQLが表示されました。
右側のテストのセットアップにSQLを入力して、
テスト実行ボタンをクリックすると、変更できるかのテストができます。
右下の変更が「YES」であれば、テストしたSQLは変更されるSQL文ということになります。
ここで定義したルールを活かすポリシーを作成しましょう。
ポリシー作成画面への遷移は前回の内容をご確認ください。
ポリシー作成時には、データベース・タイプの指定が必要です。今回はOracleを指定します。
オブジェクトにnicp_tableを設定します。
アクションにて
・照会再書き込みのアタッチ
・照会再書き込み:定義の適用 (NI+CP TEST)
を設定します。
設定したポリシーをインストールします。
(分かりやすくするため、前回作成したポリシーはアンインストールしています。)
それでは、データベース側で試してみましょう。
Select * from nicp_table;
を実行します。
来ました! SQL文はnicp_tableを指定しているのに、
テーブルの一覧を格納している、tab表のselect結果が表示されました!!
ユーザの実行した、SQL文を知らない間に書き換えるという、
力技をGuardiumが実現してくれました。
Guardiumには、アクセスをブロック機能があります。
ただ、このブロック機能に引っかかった不正なアクセス者は、
それではと別の手を考えてくる可能性があります。
クエリー・リライト機能を使うと、不正なアクセス者に対して、結果を返すけれども、
実は意味のないデータを返すといったことができます。エラーにはならないので、
さらなる攻撃を防ぐことが期待できます。
ということで、
今回の「データベース監査ソリューション Guardium 最新バージョンV10 使ってみました」
はこれにて終了です。
今後も、新製品・新バージョン製品を使ってみる機会があれば、
どんどんご紹介していきます。読者の皆様、お付き合いありがとうございました!
番外編「箱開けてみました」はこちら!
この記事に関する、ご質問は下記までご連絡ください。
エヌアイシー・パートナーズ株式会社
技術支援本部 テクニカル・サポート部 梶原
E-Mail:nicp_support@NIandC.co.jp
商標帰属
・Oracleは米国Oracle Corporationおよびその子会社、関連会社の登録商標です。
・他のすべての名称ならびに商標は、それぞれの企業の商標または登録商標です。