Amazon RDS および Amazon EC2 での SQL Server インスタンス、データベースオブジェクト、ログインの監査 - AWS 規範ガイダンス
ターゲットを絞ったビジネス成果

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon RDS および Amazon EC2 での SQL Server インスタンス、データベースオブジェクト、ログインの監査

Ashish Srivastava、Bhavani Akundi、Sreenivas Nettem、Amazon Web Services (AWS)

2023 年 4 月ドキュメント履歴

このガイドでは、SQL Server の SQL Server 監査プロセスを Amazon Elastic Compute Cloud (Amazon EC2) および SQL Server データベースインスタンスの Amazon Relational Database Service (Amazon RDS) に実装する方法について説明します。

データベース監査は、組織のデータが安全であることを認証するための IT 監査方法です。これには、データベースでのデータの評価と重要なビジネスオペレーションのログ記録が含まれます。

データベース監査は、特にデータに個人を特定できる情報 (PII) が含まれ、セキュリティとコンプライアンスのガイドラインに準拠する必要がある場合に必須となっています。一部のガイドラインには、国のガバナンスポリシーによって発行されたデータ型と推奨事項が含まれています。監査プロセスには、データベースログから抽出できる証拠が必要です。監査は、データへの不正アクセスを防ぐのに役立ちます。データ使用量を追跡することで、誤ったアクティビティを調査し、適切なアクションを実行できます。データの機密性、完全性、アクセシビリティに関するデータベース監査は、データを確実に保護するのに役立ちます。データ違反を防ぐには、データベースのセキュリティと監査の両方を実施することがベストプラクティスです。

SQL Server 監査は、ISO/IEC 27001、Payment Card Industry Data Security Standard (PCI DSS)、BASEL III、欧州連合一般データ保護規則 (GDPR)、情報ガバナンス (IG)、医療保険の相互運用性と説明責任に関する法律 (HIPAA) などのセキュリティ、財務、医療基準に準拠するための要件です。

ターゲットを絞ったビジネス成果

Organizations は、次のようないくつかの理由でデータベースと SQL Server 監査を実装します。

  • 監査人には、コンプライアンスと監査のための意味のあるコンテキストデータが必要です。DB 監査ログは DBA チームに適していますが、監査者には適していません。

  • セキュリティ違反が発生した場合に重要なアラートを生成する機能は、大規模なソフトウェアの基本要件です。ログ記録情報はコントロールチェックの識別と追跡に役立つため、この目的で監査ログを使用できます。

  • データベース監査は、次のような情報を提供します。

    • DBAs、デベロッパー、監査人、抽出、変換、ロード (ETL) プロセス、DevOps エンジニアなど、誰がデータにアクセスしましたか?

    • データの以前の状態は何ですか?

    • データの更新日時、変更内容、変更理由

    • 承認された担当者がリクエストを承認しましたか?

    • 内部ユーザーは権限を適切に使用していますか?

  • 監査証跡は侵入者の識別に役立つため、インサイダーの抑止に役立ちます。自分のアクションが精査されていることを知っている人は、不正なデータベースにアクセスしたり、特定のデータを改ざんする可能性が低くなります。

  • 財務、医療、エネルギー、食品サービス、公共事業、その他の多くの業界は、データアクセスを分析し、政府機関向けに定期的に詳細なレポートを作成する必要があります。例えば、HIPAA 規制では、ヘルスケアプロバイダーは、レコード内のデータにアクセスしたユーザーを行レベルとレコードレベルまで詳述した監査証跡を配信する必要があります。GDPR にも同様の要件があります。サーベンス・オクスリー法 (SOX) は、公開企業に幅広い会計規制を設けています。これらの組織は、データアクセスを分析し、定期的に詳細なレポートを作成する必要があります。