Oracle、法令順守を支援するデータベース監査ソフトを出荷――社内に分散した監査データを集約し、安全かつ一元的に管理

 米国Oracleは5月7日、データベースから引き出した情報を一元管理し、監査データの綿密なチェックを可能にする監査ソフトウェア「Oracle Audit Vault」の本格出荷を開始したと発表した。

 Oracleのデータベース・セキュリティ担当バイスプレジデント、ビピン・サマール氏によると、同ソフトウェアは、データ監査に特化した同社初の製品となるが、これまでにもデータベースに監査機能の一部を組み込んでいたという。

 同ソフトウェアを使えば、複数のデータベースから情報を収集してリポートを作成したり、警報を出したりすることができるため、内部関係者の不正行為を発見するなど、米企業改革法、HIPAA(医療保険の相互運用性と説明責任に関する法律)、PCI(Payment Card Industry)データ・セキュリティ標準といった法規制を順守するのに役立つという。

 Oracleは、プレスリリースの中で、「この製品を使えば、企業内にサイロ状態で格納されている監査データを集約し、1カ所に安全な状態で保存することができる。また、不正アクセスを早期に検知できる警報機能により、リスクや潜在的な財政負担の軽減にも貢献できる」と説明している。

 Oracle Audit Vaultは、Database Vaultに搭載されているセキュリティ機能(データベースへのユーザー・アクセス管理)を強化するための製品として位置づけられている。現在、連携可能なデータベースは、Oracle Database 10g Release 1、Oracle Database 10g Release 2、Oracle9i Database Release 2の3種類のみで、他ベンダーのデータベースはサポートしていない。

 サマール氏によると、顧客の要望が強いことから、同社の次の会計年度中(2007年6月~2008年5月)にIBMなどの他社データベースもサポートする予定という。

 バートン・グループのシニア・アナリスト、トレント・ヘンリー氏によると、Audit Vaultは、他の監視インフラストラクチャとは異なり、データベースをより綿密にチェックすることでデータベース監査の新たなアプローチを実現する製品の1つとして注目できるという。

 データベースに搭載されている監査機能は、これまでデータベースのパフォーマンスに悪影響を及ぼしていたが、新ツールは、この問題にも対処している。

 インパーバやルミジェントなどのサードパーティ・ベンダーも、同様の製品を出荷している。ヘンリー氏は、Oracleの製品が自社のデータベースしかサポートしていないが、サードパーティ製品は複数のデータベースをサポートしている点にメリットがあると指摘する。

 しかし同氏は、Oracleがデータベースに対する詳細な知識を持っているため、同社の製品を使っている多くの組織がAudit Vaultを試用すると見ている。

 ヘンリー氏によると、Audit Vaultをテストした結果、データベースのパフォーマンスが大きく損なわれることはないという感触を得たという。しかし、企業の中には、監査データベースの採用に慎重な姿勢を崩さず、専用の機器を使ってネットワーク上のトラフィックを監視しているところも少なくない。

 サマール氏によると、Audit Vaultの価格は、1プロセッサ当たり5万ドルだという。

 Oracleは、SOX法(企業改革法)など、セキュリティやプライバシーに関する法令の順守を支援するツールへの需要に対応するためAudit Vaultの開発を決めた。

 「いずれの法令にも、きわめて重要な監査要件が含まれている。これらの法令は、だれがどのような条件でシステムにアクセスしているのかを把握するよう求めており、企業による管理機能導入の有無についても規定されている」(サマール氏)

(ジョン・ブロウドケン/Network World 米国版)

米国Oracle
http://www.oracle.com/

提供:Computerworld.jp