データベースアクティビティ監視(DAM)
データベースアクティビティ監視(DAM) とは何ですか?
データベースアクティビティ監視(DAM)データベースのクエリ、特権ユーザー操作、スキーマ変更を継続的に監視し、ポリシーを適用しつつデータ濫用をリアルタイムに検出するセキュリティ統制。
データベースアクティビティ監視(DAM)は、ネットワークスニッフィング、カーネルタップ、またはネイティブの監査フックを通じてデータベースエンジンに到達するすべての SQL 文を取得し、ポリシーと突き合わせることで権限昇格、大量エクスポート、スキーマ改ざん、DBA の異常行動を検知する製品カテゴリです。代表的なベンダーには IBM Guardium、Imperva SecureSphere、Trellix、Oracle Audit Vault があり、クラウド向けには AWS DAS や Microsoft Defender for SQL が同等の機能を提供します。DAM は PCI DSS・SOX・HIPAA・GDPR が求める職務分離と機微データへのアクセス追跡を満たすために広く導入されています。現在の構成では SIEM へイベントを連携し、自動隔離のプレイブックを発火させます。
● 例
- 01
業務時間外にサービスアカウントが個人情報テーブルから 10,000 行以上を取得したらアラートを発報する。
- 02
本番 Oracle インスタンス上で DBA が実行した GRANT DBA TO PUBLIC をブロックする。
● よくある質問
データベースアクティビティ監視(DAM) とは何ですか?
データベースのクエリ、特権ユーザー操作、スキーマ変更を継続的に監視し、ポリシーを適用しつつデータ濫用をリアルタイムに検出するセキュリティ統制。 サイバーセキュリティの 防御と運用 カテゴリに属します。
データベースアクティビティ監視(DAM) とはどういう意味ですか?
データベースのクエリ、特権ユーザー操作、スキーマ変更を継続的に監視し、ポリシーを適用しつつデータ濫用をリアルタイムに検出するセキュリティ統制。
データベースアクティビティ監視(DAM) はどのように機能しますか?
データベースアクティビティ監視(DAM)は、ネットワークスニッフィング、カーネルタップ、またはネイティブの監査フックを通じてデータベースエンジンに到達するすべての SQL 文を取得し、ポリシーと突き合わせることで権限昇格、大量エクスポート、スキーマ改ざん、DBA の異常行動を検知する製品カテゴリです。代表的なベンダーには IBM Guardium、Imperva SecureSphere、Trellix、Oracle Audit Vault があり、クラウド向けには AWS DAS や Microsoft Defender for SQL が同等の機能を提供します。DAM は PCI DSS・SOX・HIPAA・GDPR が求める職務分離と機微データへのアクセス追跡を満たすために広く導入されています。現在の構成では SIEM へイベントを連携し、自動隔離のプレイブックを発火させます。
データベースアクティビティ監視(DAM) からどのように防御しますか?
データベースアクティビティ監視(DAM) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
データベースアクティビティ監視(DAM) の別名は何ですか?
一般的な別名: DAM, データベース監査。
● 関連用語
- defense-ops№ 288
データベースファイアウォール
アプリケーションと DB エンジンの間に置かれ、SQL 文を許可リストポリシーに照らして検査し、注入攻撃や権限悪用、不正な文を到達前に遮断するインライン制御。
- privacy№ 278
情報漏えい対策 (DLP)
エンドポイント・ネットワーク・メール・クラウドにおいて機微データの不正な持ち出しを検知・遮断する技術と運用ポリシーの総称。
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- identity-access№ 861
特権アクセス管理(PAM)
管理者権限を持つアカウントやシステムへのアクセスを安全に管理・制御・監視・監査するためのプラクティスとツールの総称。
- attacks№ 1084
SQL インジェクション
攻撃者が制御する SQL をデータベースクエリに混入させ、データの読み取り・改ざん・破壊を可能にするコードインジェクション攻撃。