インサイトテクノロジーのDB監査ツール「PISO Manager 2.0」、SIEMなどとのニアリアルタイム連携が可能に

　株式会社インサイトテクノロジーは3月31日、マルチデータベース対応の監査ソリューション「PISO」で提供しているログ管理サーバー「PISO Manager」において、SIEM（Security Information and Event Management）製品への情報連携強化と機械学習によって、平常時には見られない異常SQLの検知機能を搭載した新版「同 2.0」を提供開始したと発表した。

　PISOは、監視対象のデータベースサーバーのメモリ上からアクセスログを参照し、専用サーバーに記録する仕組みにより、システム性能を劣化させずにログを取得可能なデータベース監査ツール。ログを収集するためのエージェント「PISO Target」と、収集したログを蓄積・管理するログ管理サーバー「PISO Manager」から構成されており、データベースの監査に利用されている。

　一方で現在の企業では、SIEMを導入し、さまざまな社内環境の監査に利用するようになっているが、これをデータベースの監査に適用しようとしても、重要なデータベースに与える負荷が高い、情報として取得できる内容が限られている、監査情報を全て保持し続けるにはSIEM製品は適していない、といった課題があったという。一方、収集をPISOに行わせて外部システムに連携する場合は、リアルタイム性などに課題があったとのこと。

　そこで、今回発表されたPISO Managerの新版では連携機能を強化し、必要な情報を外部へニアリアルタイムで連携可能になったため、SIEM製品などの外部製品との連携が大幅に強化された。また、SIEM製品へデータベースへのアクセス情報を連携しつつ、PISO Managerにてログの長期保存を行うことで、SIEM製品で保存する情報の肥大化を防げるとしている。

PISO Manager 2.0 SIEM連携イメージ

　加えて、機械学習により、平常時には見られない異常SQLを検知する機能も搭載した。従来のPISOでは、監視ルールの設定により、ある特定のオブジェクト（テーブルなど）への、あるユーザーからのアクセスを検知・警告することはできたが、業務に関連したテーブルにアクセスする必要がある場合は、あるユーザーの特定操作について警告対象から除外するといった運用を行っていた。しかしこの場合、悪意あるユーザーにアカウントごと乗っ取られてしまうと、そのアクセスを検知できない点が問題だったとのこと。

　これに対して新版では、あるユーザーが通常使用していないSQLを実行した際に、それを警告対象とする設定を行えるようになったため、通常の操作と、通常とは異なる操作を分離可能となった。