Amazon RDS および Amazon EC2 での SQL Server インスタンス、データベースオブジェクト、ログインの監査 - AWS 規範ガイダンス
目標とするビジネス成果

Amazon RDS および Amazon EC2 での SQL Server インスタンス、データベースオブジェクト、ログインの監査

Ashish Srivastava、Bhavani Akundi、Sreenivas Nettem、Amazon Web Services (AWS)

2023 年 4 月ドキュメント履歴

このガイドでは、SQL Server の SQL Server 監査プロセスを Amazon Elastic Compute Cloud (Amazon EC2) および SQL Server データベースインスタンスの Amazon Relational Database Service (Amazon RDS) に実装する方法について説明します。

データベース監査は、組織のデータが安全であることを認証するための IT 監査方法です。これには、データを評価し、データベース上の重要なビジネスオペレーションのログを記録する作業が含まれます。

データベース監査は、特にデータに個人を特定できる情報 (PII) が含まれ、セキュリティとコンプライアンスのガイドラインに準拠する必要がある場合に必須となっています。一部のガイドラインには、国のガバナンスポリシーによって発行されたデータ型と推奨事項が含まれています。監査プロセスには証拠が必要であり、これは、データベースログから抽出できます。監査は、データへの不正アクセスを防ぐのに役立ちます。データ使用量を追跡することで、誤ったアクティビティを調査し、適切なアクションを実行できます。データの機密性、完全性、アクセシビリティに関するデータベース監査は、データを確実に保護するのに役立ちます。データ違反を防ぐには、データベースのセキュリティと監査の両方を実施することがベストプラクティスです。

SQL Server 監査は、ISO/IEC 27001、Payment Card Industry Data Security Standard (PCI DSS)、BASEL III、欧州連合一般データ保護規則 (GDPR)、情報ガバナンス (IG)、医療保険の相互運用性と責任に関する法律 (HIPAA) などのセキュリティ、財務、医療の基準に準拠するための要件です。

目標とするビジネス成果

組織がデータベースと SQL Server 監査を実施する理由には、次のようなものがあります。

  • 監査人には、コンプライアンスと監査のために、意味のあるコンテキストデータが必要です。DB の監査ログは DBA チームに適していますが、監査人には適していません。

  • 大規模なソフトウェアでは、セキュリティ違反が発生した場合に重要なアラートを生成する機能が基本要件となります。ログ記録情報はコントロールチェックの特定と追跡に役立つため、この目的で監査ログを使用できます。

  • データベース監査では、次のような情報を把握できます。

    • 誰がデータにアクセスしたのか (例: DBA、開発者、監査人、抽出、変換、ロード (ETL) プロセス、DevOps エンジニア)

    • データの以前の状態はどうであったのか

    • データの更新日時、変更内容、変更理由

    • 権限のある担当者がそのリクエストを承認したか

    • 内部ユーザーが権限を適切に使用しているか

  • 監査証跡は侵入者の特定に役立つため、内部不正の抑止につながります。自分の行動が精査されていると認識している人物は、不正なデータベースにアクセスしたり、特定のデータを改ざんする可能性が低くなります。

  • 財務、医療、エネルギー、食品サービス、公共事業、その他の多くの業界では、データアクセスを分析し、政府機関向けに定期的に詳細なレポートを作成する必要があります。例えば HIPAA 規制で医療提供者は、レコード内のデータにアクセスしたユーザーを行レベルとレコードレベルまで詳述した監査証跡を提出する必要があります。GDPR にも同様の要件があります。サーベンス・オクスリー法 (SOX) では、公開企業に対して幅広い会計規制を設けています。これらの組織は、データアクセスを分析し、定期的に詳細なレポートを作成する必要があります。