2016年01月

21

【てくさぽBLOG】データベース監査ソリューション”Guardium”最新バージョン「V10」を使ってみた(後編)

皆さま、こんにちは。 てくさぽBLOG メンバーの梶原です。

 

前回、オシャレに変身した、「IBM Security Guardium Data Activity Monitor V10」の

基本機能である、「ポリシー作成・インストール」及び「アラート表示・レポート作成」まで

を使ってみました。(前編はこちら!

今回は、GuardiumV10の新機能をいくつか使ってみたいと思います。

特に、メインディッシュとして、不正なアクセスからデータベースを守る、新機能の

クエリー・リライト機能をご紹介しますので、ぜひ最後までごらんください!

 

 

■前菜として、細かいけど素敵な新機能。

とりあえず、ログインしましょう。

WS000068

もう大丈夫、 「ようこそ」と言われても、驚きませんよ。

WS000069

 

新機能①:通知機能

おや? 前回は急にツアーに誘われて、動揺していたため、気づきませんでしたが、

中央上に鈴のマークがありますね。そのうえ、携帯電話の着信通知ばりに、

「2」の文字がでています。

WS000046

さっそくクリックしてみましょう。

アテンションとインフォメーションメッセージがでているようです。

WS000047

それぞれクリックしてみます。

WS000048

クイック検索機能は16GB必要だと言っています。

仮想アプライアンス版を使っていますので、割り当てメモリが少なかったようです。

また、インフォメーションでは、パッチが出ていることを教えてくれてくれます。

ダウンロードをクリックすると、FixCentralのタブが起動しました。

WS000102

このように、さまざま通知が、わかりやすく表示されるようです。

 

新機能②:検索機能

メモリが足りないと怒られたクイック検索ですが、そんなことはお構いなしに、

検索してみましょう。右上の検索バーを利用します。

WS000050

例えば、バックアップしたいけど、メニューの選択肢がわからん!

というときは、ここに 「バック」と入れている最中から、

その画面へのパスが表示されます。虫眼鏡マークをクリックしなくても大丈夫です。

WS000104

そして、リンクをクリックすれば、一気にその画面へ移動します

WS000105

メモリが足りなくなくても、使えちゃえましたね。

(商用サービスでは、当然必要メモリを割り当ててください。)

 

新機能③:ダッシュボード機能

次は、マイ・ダッシュボード機能を試してみましょう。

マイ・ダッシュボード > 新規ダッシュボードの作成

WS000106

レポートの追加をクリックします。

WS000107

設定されているレポートを選択できます。

WS000108

ポップアップのリンクを選択していくと、後ろの画面でレポートが追加されていきます。

1つづつ選択を繰り返す必要がありません。

好きなものを選択して閉じるボタンをクリックで終了です。

WS000109

ダッシュボードができました。よく使う画面をここに設定しておきましょう。

WS000110

 

新機能④:レポートの列表示の変更

作成したダッシュボードの、1つのレポートを大きくします。

右端のボタンをクリックします。

WS000058

大きくなりました。次に、下記赤で囲んだボタンをクリックします。

WS000111

列構成がポップアップされました。

WS000112

表示が不要な列のチェックを外します(わかりやすくするため、ほとんど外します)。

OKをクリックします。

WS000061

列が変更されました。

WS000062

左端のエクスポートリストをクリックすると、

変更した表示レコードのダウンロードも選択できるので、

自分のPCへ落とし込む時に楽になりますね。

WS000113

 

 

■本日のメインディッシュ、クエリー・リライト機能

さて、本日のメインディッシュ機能である、クエリー・リライト機能を味わってみましょう。

クエリー・リライト機能とは、文字通りSQL文をルールに従い書き換えたうえで、

実行してくれる機能です。この機能で、不正なSQLからデータベースを守ります。

この機能は、AdvancedEdition機能ですので、ライセンスが登録されているか確認します。

たどるのが、面倒くさいので検索から移動します。

WS000117

ライセンス登録を確認します。

WS000118

また、Guardiumエージェント(S-TAP)側にてinitファイルの編集が必要ですので、

監視対象にログインして編集します。

tapiniを、qrw_installed=0から1に設定し、有効化します。

変更前

WS000119

変更後

WS000120

さらには、コレクターのコンソール画面での設定変更が必要です。

restart  inspection-engingsコマンドを実行、検査エンジンの再起動を行います。

WS000121

これで、準備は整いました。では、クエリー・リライト機能画面に移動しましょう。

今回はリンクからいきます。

(ちなみに、検索機能で「クエリー・リライト」では検索ヒットしませんでした。照会再書き込みならヒットします。)

保護 > セキュリティー・ポリシー > 照会再書き込みビルダ

WS000122

なにやら、細かい設定画面がでてきました。
今回は、nicp_tableに対するselect文を変更する設定にしてみましょう。
定義名          :NI+CP TEST
データベース・タイプ:Oracle
モデル照会:select * from nicp_table
と入力して、解析をクリックします。解析結果が表示されるので、保存をクリックします。

WS000123

再書き込みルールの部分に、赤くなっているnicp_table部分をクリックすると、

吹き出しのように画面が表示されます。ここで、終了に「tab」と記載して保存します。

つまり、select * from nic_tableを実行したら、自動的にテーブル名をtabに変更して、

その結果を表示させる設定とします。

WS000124

リアルタイムプレビューに変更後の、SQLが表示されました。

右側のテストのセットアップにSQLを入力して、

テスト実行ボタンをクリックすると、変更できるかのテストができます。

右下の変更が「YES」であれば、テストしたSQLは変更されるSQL文ということになります。

WS000125

ここで定義したルールを活かすポリシーを作成しましょう。

ポリシー作成画面への遷移は前回の内容をご確認ください。

ポリシー作成時には、データベース・タイプの指定が必要です。今回はOracleを指定します。

WS000126

オブジェクトにnicp_tableを設定します。

WS000127

アクションにて
・照会再書き込みのアタッチ
・照会再書き込み:定義の適用 (NI+CP TEST)
を設定します。

WS000128

設定したポリシーをインストールします。

(分かりやすくするため、前回作成したポリシーはアンインストールしています。)

WS000130

それでは、データベース側で試してみましょう。

Select * from nicp_table;

を実行します。

WS000131

来ました! SQL文はnicp_tableを指定しているのに、

テーブルの一覧を格納している、tab表のselect結果が表示されました!!

 

ユーザの実行した、SQL文を知らない間に書き換えるという、

力技をGuardiumが実現してくれました。

Guardiumには、アクセスをブロック機能があります。

ただ、このブロック機能に引っかかった不正なアクセス者は、

それではと別の手を考えてくる可能性があります。

クエリー・リライト機能を使うと、不正なアクセス者に対して、結果を返すけれども、

実は意味のないデータを返すといったことができます。エラーにはならないので、

さらなる攻撃を防ぐことが期待できます。

 

ということで、

今回の「データベース監査ソリューション Guardium 最新バージョンV10 使ってみました」

はこれにて終了です。

 

今後も、新製品・新バージョン製品を使ってみる機会があれば、

どんどんご紹介していきます。読者の皆様、お付き合いありがとうございました!

番外編「箱開けてみました」はこちら!

 

この記事に関する、ご質問は下記までご連絡ください。

エヌアイシー・パートナーズ株式会社

技術支援本部 テクニカル・サポート部 梶原

E-Mail:nicp_support@NIandC.co.jp

商標帰属
・Oracleは米国Oracle Corporationおよびその子会社、関連会社の登録商標です。
・他のすべての名称ならびに商標は、それぞれの企業の商標または登録商標です。

back to top