皆さま、こんにちは。今回のてくさぽ BLOG は再び Guardium の登場です。
こちらのブログを愛読されている方には、「お腹いっぱいだよ」なんて言われてしまいそうですが、Guardium の魅力はまだまだあるのでご紹介させてください!
Guardiumってなに?という方は、こちらをご覧ください♪
▼データベース監査ソリューション”Guardium”最新バージョン「V10」使ってみた(前編)
▼データベース監査ソリューション”Guardium”最新バージョン「V10」使ってみた(後編)
それでは、GuardiumV10 より新機能として追加された Data Protection for Files についてご紹介していきたいと思います。
◆Data Protection for Files ってなに?
Guardium Data Protection for Files 機能とは。。『ファイルアクティビティーを監視する機能』のこと。
「あれあれ? Guardium ってデータベースを監視する製品じゃなかったっけ?」 なんて思ってくれた読者がいたら立派なてくサポーターです!
そうなんです! これまでの Guardium はデータベースを監視する製品でしたが、GuardiumV10 よりデータベース監視機能に加えてファイル監視機能が加わりました!
「……んーでも、ファイル監視機能っていわれてもいまいちピンとこない!」という方もいると思うので、Data Protection for Files 機能についてすこーし説明させてください。
◆Data Protection for Files ってどんなことができるの?
こちらの図をごらんください。
上図のように、いつ何時不正なユーザがログサーバやファイルサーバにアクセスするかわかりません。いまも不正なアクセスがあなたの大事なファイルに忍び寄っているかもしれません!!
Guardium Data Protection for Files 機能を使用すれば、不正アクセスがあったことをリアルタイムで検知し、メール等で教えてくれます! アクセス制御だってできちゃうんです。
データベースは監視できているけど、ファイルまでは管理できていないよーという方も少なくないのでは?
GuardiumV10 より、従来のデータベースアクティビティーを監視するだけでなく、ファイルアクティビティーまで監視できるようになりました。1台で2度おいしい優れもの♪という感じですかね。
「でも、操作方法はどうなの? 簡単じゃないと使いたくないなあー」という人も安心です。 そこは Guardium にお任せです。
見やすくわかりやすく使いやすいところも Guardium の魅力のひとつ。 では、使い方もみてみましょう!
◆Data Protection for Filesを使ってみよう!
その1:ライセンス適用
Data Protection for Files機能を使うにはData Protection for Files用のライセンスが必要なので、ライセンスを適用していきます。
セットアップ→ツールとビュー→ライセンスに遷移し、Data Protection for Files用のライセンスキーを入力して、適用ボタンでライセンスを適用します。
その2:ポリシー設定
“その1”でData Protection for Files用ライセンスを適用したことで、”ファイルのためのポリシー・ビルダー”というData Protection for Files用の設定タブが表示されます。
(ライセンスを適用しないとこのタブはでてこないんです!)
保護→セキュリティー・ポリシー→ファイルのためのポリシー・ビルダーに遷移して、ポリシーを設定していきます。
ファイル監視用のポリシー設定画面なので、いままでのポリシー設定画面とは少し違いますね!
赤く囲った、+ボタンでポリシーを追加します。
任意のポリシー名を入力し、赤く囲った、+ボタンでルールを追加します。
ルール名や、監視対象のファイルサーバ又はログサーバを選択します。ポリシー設定にて、データソースを選択するのですね!
データソースは、Guardiumエージェント(FS-TAP)を監視対象のサーバへ導入して設定すれば、自動的にこの画面に表示されます。
続いて、ルール・アクションの選択です。アクションは”アラートおよび監査”、”無視”、”監査のみ”、”違反として記録、および監査”の4パターンあるようです。
今回は、”監査のみ”を選択して、重要なファイルにアクセスが発生した時にレポートに表示されるか確認してみましょう。
ルール基準の定義にて、“ファイル・パス”にて、どのファイルに対してアクセスが発生した場合アクションを実行するかという対象を設定します。
今回は、SAMPLE配下のファイルを対象として設定してみましょう。
その3:ポリシー・インストール
次は、ポリシーをインストールしてみましょう。
保護→セキュリティー・ポリシー→ポリシー・インストールでポリシーのインストール画面に遷移します。
現在インストールされているものに上書きするので、”インストールおよびオーバーライド”を選択します。
インストール方法は、これまでの Guardium とは変わりないですね!
もちろんデータベース監視のポリシーとの同居もできます。
対象ファイルを開いて読み込んだから、READ。
データ持ち出しによるファイルコピーでもREADとなります。
残念ながらコピー先のPCやIPは表示されませんが、リモートデスクトップによる監視対象サーバへログインをした不正の場合は、リモートデスクトップを実行したPCのIPがClient IP欄に表示されます。
素朴な疑問、書き込んだら何とでるのでしょう。WRITEってでるのか??
Sample 配下の”サンプル2ファイル”に文字列を書き込んだら、”WRITE”ログが表示されました。
見やすくてわかりやすくてなんといってもリアルタイムに発見できるのはありがたいですね!
ということで、今回はここまで。
ファイル監視のイメージはつきましたでしょうか。 いままでの、データベース監視機能と同様にリアルタイムでファイルの動きが確認できることがわかりました。
Guardiumでデータ監視はばっちりできているけれど、ファイルの監視はこれからという方や、データもファイルも一括監視したいという方にはたいへんおすすめの機能ですね!
この記事に関する、ご質問は下記までご連絡ください。
エヌアイシー・パートナーズ株式会社
技術支援本部
E-Mail:nicp_support@NIandC.co.jp