導入事例

Oracleデータベース監査への取り組み

 
Audit Masterは使いやすくてサポートにも安心感


アクサテクノロジーサービスジャパン(以下アクサテック)様は2005年12月以来、Audit Masterを活用してOracleのデータベース監査にお取組みです。
アクサテックはGlobalに技術情報の連携をとっており、Japanのデータベースに対しても高い技術力を提供されています。
一般に難易度の高いと思われているデータベース監査を早くから円滑に運用されていますので、皆様にもご参考になるユーザ様と思われます。


アクサテック様の概要

アクサテック様は、世界最大規模の保険・金融グループAXAのグループ企業向けにITサービスを提供しておられます。従業員87名(2007年度4月)。本社は港区白金高輪です。

グローバルな展開をしておられるだけに、技術的な取り組みや、組織面でもとても進んでおられます。
国内企業にとって参考になる点が多々あると思います。例えば、ITサービスを提供する部門とそれをセキュリティの観点からチェックする部門は完全に組織的に分離されています。

データベースについてはグローバルに連携する事で高い技術を提供されており、新しい技術も積極的に利用されています。

企業文化としては、アクサテック・バリューとして「ポジティブ」が第一に挙げられ、システム構築にも先進的・積極的な取り組みにチャレンジされています。



Axa Tech DBAのミッション

大谷様はアクサテック内においてデータベース関係でご活躍です。 現在の大きな取り組みとしては、Oracleのデータベース環境を統合的なプラットフォームとして再構築する構想があります。

これは、Oracle detabase 10g RACを使い、すべてのデータベースを統合してほとんど全てのアプリケーション向けデータベースサービスを冗長化、 負荷調整を実現しながら安定的に提供するという構築で、国内ではまだそう多くはない取り組みと思います。
特に金融機関や大手企業では取り組みが慎重で、エグゼソリューションズの周囲でも、様子見の企業様も散見されます。
AXAグループが外資系であることもありますが、新しい機能に積極的に取り組み、そのベネフィットを早い段階から享受してROIを追求するビジネス寄りの発想がベースにあるように感じられます。



Audit Master導入の背景

主にSOX法対応(国内以前にUSや海外のSOXに対応されました)でデータベース監査に取組まれ、その支援ツールとしてAudit Masterを採用されました。
採用の主な理由については、インタビューをベースに以下のように整理いたしました。

1) とにかく使いやすかった

Audit Masterの使いやすさは定評があるところです。大谷様は「1時間使ったところで、この製品なら使える」と判断できたそうです。
「シンプルで直感的な操作ができる製品」とのコメントもいただきました。他の製品もいくつか試されたようですが、使いにくかったとのこと。
この点は非常に重要だったそうです。なぜなら、限られた時間の中でデータベース監査の体制、運用を構築するのに当たって、使いにくいものに余分な時間を掛ける余裕はとてもなかったからです。

2) 価格がリーズナブル
3) 製品への柔軟な対応力

実際カスタマイズ依頼もいくつかありましたが、メーカの協力の下、ほとんどに対応できました。



Audit Masterの活用方法

Oracleのデータベースサーバをオーストラリア、日本の二つのサイトで管理されているアクサテック様としては、効率的な監査の仕組みを追求されました。
つまり、コストと手間がかからず、標準的に運用でき、かつ、タイムリーにセキュリティ観点からのニーズに応えられる仕組みが目標でした。

現在、Audit Masterを利用して、精度が高いデータベース監査であることと、システム負荷のインパクトが限定的であることの両立を実現されています。
そのために取られている手法は以下のとおりです。これらはAudit Masterの機能を使って実現しています。

1) Oracleデータベース自体のAudit機能の活用

Audit Masterの標準の機能で、OracleのAudit機能に設定を与え、ログイン監査を実行してログを採取しておられます。
これはイベントトリガー方式であり、すべてのログを漏れなく採取するアプローチです。

2) SQLを採取

また、データベースに対するアクセスを詳細にフォレンジクスできるためにSQLをすべて採取するようにしています。
これは、一定インターバルでSGA上をチェックして、SQLを監査ログとして取得するアプローチであり、後でどのようなSQLをユーザが発行したのかを詳細に追跡できるアプローチです。



最後に率直なAudit Masterの印象は?

  • メーカーの製品に対する柔軟な対応力を評価
    実際、AXAとしての要件でカスタマイズをして欲しかったが、ほとんどに対応してもらえた
  • メーカもエグゼソリューションズもOracleの技術者がいて、対応も安心できた
  • 本当に使いやすい
  • 現在、全てのOracleサーバーについてAudit Masterで対応している



※当ページおよび本事例中に記載の肩書きや数値、固有名詞等は取材当時のものであり、このページの閲覧時には変更されている可能性があることをご了承ください。

Audit Masterに関する
お問い合わせ・資料請求はこちら

WEBからお問い合わせ

  • セミナー・ イベント情報
  • パートナー企業紹介
ソリューション
BCP構築支援サービス
お問い合わせ・資料請求
WEBからのお問い合わせ

このページの先頭へ