Guardium Analyzer でデータベースのリスク分析を簡単に実行してみた

企業や組織が保有する機密情報資産は、適切に管理され守られる必要がありますが、
膨大な情報からの対象特定や、リスクの管理は容易ではありません。

そういった、データ・セキュリティの取り組みに役立つものとして、
IBM Security Guardium Analyzer （以下、Guardium Analyzer）というサービスがあります。

今回は、この Guardium Analyzer を実際に使用して、どういったことができるのか見てみたいと思います。

◆ Guardium Analyzer の概要

　・Software as a Service（SaaS）製品である
　・クラウドおよびオンプレミスのデータベースに接続する
　・データベース内にある 機密データを検出して分類する
　・データのリスクや脆弱性のスキャンに関連するリスク (重大な各種脆弱性への
　 　エクスポージャーなど) を特定し、リスク・スコアリング手法を利用する
　・リスク結果に優先順位を付け、修復の推奨を提供する

◆ 作業の流れ

　1.　Guardium Analyzerのサイトにログイン
　2.　Guardium Data Connectorダウンロード
　3.　Guardium Data Connectorインストール
　4.　データ・コネクター作成
　5.　データベース追加
　6.　データベースのスキャン
　7.　Guardium Analyzer でスキャン結果を表示

1.　Guardium Analyzerのサイトにログイン

　まずは、Guardium Analyzer のサイトへアクセスし、「free trial」を開始します。
　※IBM アカウントへログインする必要があります。

　ログインすると、「My IBM」画面が表示されます。

2.　Guardium Data Connectorダウンロード

　Guardium Analyzer を使用するためには、Guardium Data Connector というソフトウェアをWindowsのサーバかPCへインストールする必要があります。

　概要図は以下のような感じです。

　　※IBM Security Guardium Data Connector システム要件は、以下リンク先を参照
　　www.ibm.com/support/knowledgecenter/ja/SS2RDF/GuardiumAnalyzer/sys_req.html

　ログイン後の画面から、Guardium Analyzer を起動すると「ようこそ。」と言われますので、右下→で画面を進めます。

　チュートリアル動画やスキャン頻度の設定画面（後で変更可能）などを経て．．．

　ダウンロード画面まで遷移します。ここから Data Connectorをダウンロードして、任意のディレクトリへ保存します。

3.　Guardium Data Connectorインストール

　ダウンロードしたzipファイルを解凍し、インストーラを実行します。

　インストール先フォルダを選択して「Next」でインストールが始まり、

　インストール完了です！　（「Finish」をクリックするとログインするか聞かれます）

4.　データ・コネクター作成

　Data Connector のトップページです。　IBM ID でログインします。

データ・コネクターに任意の名前を付けて登録します。

　ロケーションを選択して保存します。

　データ・コネクターの作成はここまで。引き続きデータベースの追加です。

5.　データベース追加

　データベース追加は3ステップです。まず、データベースの詳細情報（名前、データベース・タイプ、IPアドレスなど）を入力します。

　次にスキャン設定です。タイムゾーンとスキャンの開始/終了を設定します。

　データベースに接続されているか確認し、完了します。

　データベースが追加できました！

6.　データベースのスキャン

　データベースの詳細設定で、「即時にスキャン」にチェックが入っていると、DB追加後にすぐスキャンが始まります。
　スキャンが完了すると「スキャン状況が」完了に変わります。

7.　Guardium Analyzer でスキャン結果を表示

　スキャンが完了後、画面上部の「Guardium Analyzer」リンクをクリックしてしばらく待ちますと．．．

　Guardium Analyzer のダッシュボードが開きます。（IBM ID でのログインが必要）

　左上のハンバーガーマークから、各結果を確認しましょう。

　「洞察」はトップページで、ダッシュボード表示でスキャン結果の概要が分かります。

　「データ・ソースの結果」では、DB毎のスキャン結果が分かります。機密レコード数と脆弱性により優先度が判定されるので、高優先度のDBから対処するのが良いでしょう。

　「パターン結果」では、個人データを判別するために突き合わせたパターンがリストされます。今回は５パターン判別されました。

　各行をクリックすることで、対象がどの表、列に該当するか確認できます。

　「テスト結果」では、Guardium Analyzer が脆弱性をスキャンするテストで不合格になったものが表示されます。
　また、結果毎に重大度が測定されます。

　各行をクリックすると、テストの説明や修正方法について確認することができます。ありがたいですね！

　「レポート」は、テスト結果をもとにレポートを生成する機能です。デフォルトでは何も設定されていないので、使用する場合は新規レポート作成が必要です。

　サンプルはこんな感じです。　※サンプルPDFより

　「データ・コネクター」では、作成したコネクターが表示され、バージョンが確認できました。再度ダウンロードもここから出来ます。

　「インストール・プロセス」は、Guardium Data Connector ダウンロード前のチュートリアルを開けます。
　※上述しているので画面は割愛します。

　「設定」では、データを分類するパターンの追加や、スキャン頻度の変更が行えます。
　デフォルトに無いパターンで分類したい場合は、設定を追加できます。

◆ 所感

　Guardium Analyzer を使ってみましたが、導入が簡易で結果がすぐ得られるのが良いですね。

　ちなみに、データ・コネクターからクラウドに送信されるのは、表名、列名、検出したパターン名、失敗したVAテスト（IDのみ）などで、機密データ自体は送信されないため、分析のためにクラウド上にデータが送られてしまうのでは．．．といった懸念は問題なさそうです。
　（よくあるご質問（FAQ）より　https://www.ibm.com/jp-ja/marketplace/guardium-analyzer/faq ）

　データセキュリティ対策をこれから始める人には、自システムの状況が素早く認識できるため、
　これから何をすべきかが把握できるでしょうし、既に取り組んでいる人も、調査や対策方法の確認
　といった稼働の低減という面で役立つ製品と感じました。

　以上です。