セキュリティ ボードリーダー:河端 善博
毎月第2、第4木曜日はボードリーダーからのレポートを掲載いたします。
2002年11月28日
『侵害が発生したときのバックアップ同士の比較』
PASSJ Conference 2002 おつかれさまでした。
いろいろな方とお話できました。さまざまな刺激をうけました。
いくつかの目標もできました。元気出していこうと思います。
Conference の中で、ベリタス様のバックアップのセミナーをうけました。
このセミナーをうけながら、次のようなことを考えました。
「セキュリティの観点からバックアップを捕らえた場合、
バックアップ内容と、現在のシステムの内容を比較する機能がほしい」
なにか侵害が発生したときに、現在のシステム、データベースの内容と、ある 時点のバックアップの内容を比較できると、とても便利ではないでしょうか。
同様に、バックアップ同士も比較できると便利です。
■比較できた場合に便利な例:
* 攻撃されて変更された内容を、バックアップと比較することができる。
* バックアップが、攻撃される前の内容であることを確認したい。
* 攻撃によって変更された部分と、正常な更新を切り分けたい。
比較できないことによるトラブルもあります。
■比較できない場合に発生するトラブル例:
* リストアによって、重要な設定変更が元に戻ってしまった。
* 設定変更がどこまでもどったのか、解析できない。時間がかかる。
* バックアップが攻撃された後かどうか判断できない。
分科会にご紹介させていただいた例では、なんらかのミスにより、個人情報が 漏洩してしまった事件があります。
しかし、これは本当にミスなのでしょうか。あるいは、ミスにみせかけた攻撃 なのでしょうか。内部犯でれば、ミスにみせかけることは、かなり高くなるか と思います。
次期 SQL Server 'Yukon' や、バックアップソフト、IDS、管理ソフトなどで バックアップ比較機能が実装されるといいなと、思いました。
よろしければ、セキュリティ分科会に意見をいただければと思います。
ボードリーダーレポート トップページへ
PASSJメールニュース
著作権ついて
プライバシーポリシー
リンクポリシー
お問い合わせ
(C) 2005 Professional Association for SQL Server Japan. All rights reserved.
