不正なSQL文法を理解してDBを保護する「Oracle Database Firewall」
テクノロジー製品事業統括本部 担当ディレクターの北野晴人氏 |
日本オラクル株式会社は18日、データベース(DB)セキュリティ製品「Oracle Database Firewall」日本語版を発表した。11月9日より提供する。
Oracle Database Firewallは、SQLインジェクションなどインターネットを経由した不正アクセスや、組織の内部関係者による不正行為かDB内の機密情報を保護する製品。米Oracleが2010年5月に買収した英SecernoのDBファイアウォール「DataWall」を基にしている。
テクノロジー製品事業統括本部 担当ディレクターの北野晴人氏によれば、インターネット越しの脅威としては、新しいタイプの攻撃「Advanced Persistent Threats(APT)」が注目を集め始めている。メールや外部メディアなどで組織内部の従業員の端末に入り込む攻撃だ。例えば、メールを悪用する場合、日本語で、実在する人物を騙り、いかにも業務に関係がありそうなタイトルを付けた高度な標的型攻撃も確認されている。また、内部の従業員が不正操作するケースもあり、ネットワークの入口・出口を固めるだけの従来の防御だけでは不十分な状況が生まれているという。
新しいタイプの攻撃「APT」 | 思わず添付ファイルを開きたくなるメールが送られてくることも |
Oracle Database Firewallの概要 |
Oracle Database Firewallは、アプリケーションサーバーとDBの間に設置する。「既存のDBを改修することなく利用でき、性能にも影響しないほか、DBの前段でSQLをすべて監視するため、内部犯行も抑止できるのが特徴となる」(同氏)。
基本的な機能は「ブロッキング」と「モニタリング」の2つ。データベースに送られるSQLコマンドの履歴を収集し、SQLを解析して危険と判断されるものは遮断・警告する。ブラックリストとホワイトリストを組み合わせた設定が可能で、モニタリングのみを行う「アウトオブバンド方式」とブロッキングも行う「インライン方式」の2通りの運用に対応する。
アプリケーションサーバーとDBの中間に位置し、トラフィックからSQL分を収集・解析する | 2種類の配置に対応 |
単純なパターンマッチングではなく、SQL解析エンジンによりSQL文法を理解したうえで検知を行う |
また、単純なパターンマッチングではなく、SQL解析エンジンによりSQL文法を理解したうえで検知を行うのも特徴。例えば、正規表現によるパターンマッチングで「1=1」というTRUE条件式を検知する場合を考えると、「10=10」「'cat'='cat'」「SQRT(49)=(8-1)/1」「SIN(45)=COS(45)」なども定義しておかなければならない。これらを漏れなく全て網羅することは不可能で、誤検知(フォールスポジティブ)や未検知(フォールスネガティブ)の原因にもなる。
SQL解析エンジンでは、約400のキーワードや厳格な文法のルール(ISO/IEC 9075)を基に文法構造を理解し、データの値が異なっていても同じクラスタとして文法構造が同一であればポリシーが適用されるため、単純なパターンマッチングよりも大幅にルールの数を減らせるのだ。「これにより、他社製品よりも高いメンテナンス性を実現している」(同氏)。
出荷開始は11月9日。CTC、NTTデータ先端技術、新日鉄ソリューションズ、NEC、日立、富士通がパートナーとして販売する。稼働プラットフォームはOracle Linux。監査対象DBはOracle 8i以降、SQL Server、DB2、Sybase。
ライセンスは、監視対象DBのプロセッサ数に応じた「Database Firewall」と、管理サーバーのプロセッサ数に応じた「Database Firewall Management Server」の2種類が必要。価格は前者が54万3500円/プロセッサ、後者が625万円/プロセッサ。価格構成例としては、監視対象DBのプロセッサ数が8で管理サーバーのプロセッサ数が2の場合、54万3500円×8+625万円×2=434万8000円+1250万円となる。冗長構成にしてもライセンスは変わらない。