投稿者:セキュリティ担当者

企業や組織が保有する機密情報資産は、適切に管理され守られる必要がありますが、
膨大な情報からの対象特定や、リスクの管理は容易ではありません。


そういった、データ・セキュリティの取り組みに役立つものとして、
IBM Security Guardium Analyzer (以下、Guardium Analyzer)というサービスがあります。


今回は、この Guardium Analyzer を実際に使用して、どういったことができるのか見てみたいと思います。


◆ Guardium Analyzer の概要


 ・Software as a Service(SaaS)製品である
 ・クラウドおよびオンプレミスのデータベースに接続する
 ・データベース内にある 機密データを検出して分類する
 ・データのリスクや脆弱性のスキャンに関連するリスク (重大な各種脆弱性への
   エクスポージャーなど) を特定し、リスク・スコアリング手法を利用する
 ・リスク結果に優先順位を付け、修復の推奨を提供する


◆ 作業の流れ


 1. Guardium Analyzerのサイトにログイン
 2. Guardium Data Connectorダウンロード
 3. Guardium Data Connectorインストール
 4. データ・コネクター作成
 5. データベース追加
 6. データベースのスキャン
 7. Guardium Analyzer でスキャン結果を表示

1. Guardium Analyzerのサイトにログイン


 まずは、Guardium Analyzer のサイトへアクセスし、「free trial」を開始します。
 ※IBM アカウントへログインする必要があります。


analyzer01.png


 ログインすると、「My IBM」画面が表示されます。


analyzer02.png

2. Guardium Data Connectorダウンロード


 Guardium Analyzer を使用するためには、Guardium Data Connector というソフトウェアをWindowsのサーバかPCへインストールする必要があります。


 概要図は以下のような感じです。


analyzer03.png


  ※IBM Security Guardium Data Connector システム要件は、以下リンク先を参照
  www.ibm.com/support/knowledgecenter/ja/SS2RDF/GuardiumAnalyzer/sys_req.html


 ログイン後の画面から、Guardium Analyzer を起動すると「ようこそ。」と言われますので、右下→で画面を進めます。


analyzer04.png


 チュートリアル動画やスキャン頻度の設定画面(後で変更可能)などを経て...


analyzer05.png
analyzer06.png
analyzer07.png


 ダウンロード画面まで遷移します。ここから Data Connectorをダウンロードして、任意のディレクトリへ保存します。


analyzer08.png

3. Guardium Data Connectorインストール


 ダウンロードしたzipファイルを解凍し、インストーラを実行します。


analyzer09.png


 インストール先フォルダを選択して「Next」でインストールが始まり、


analyzer10.png


analyzer11.png


 インストール完了です! (「Finish」をクリックするとログインするか聞かれます)


analyzer12.png

4. データ・コネクター作成


 Data Connector のトップページです。 IBM ID でログインします。


analyzer13.png  

データ・コネクターに任意の名前を付けて登録します。


analyzer14.png


 ロケーションを選択して保存します。


analyzer15.png


 データ・コネクターの作成はここまで。引き続きデータベースの追加です。

5. データベース追加


 データベース追加は3ステップです。まず、データベースの詳細情報(名前、データベース・タイプ、IPアドレスなど)を入力します。


analyzer16.png


 次にスキャン設定です。タイムゾーンとスキャンの開始/終了を設定します。


analyzer17.png


 データベースに接続されているか確認し、完了します。


analyzer18.png


 データベースが追加できました!


analyzer19.png

6. データベースのスキャン


 データベースの詳細設定で、「即時にスキャン」にチェックが入っていると、DB追加後にすぐスキャンが始まります。
 スキャンが完了すると「スキャン状況が」完了に変わります。


analyzer20.png

7. Guardium Analyzer でスキャン結果を表示


 スキャンが完了後、画面上部の「Guardium Analyzer」リンクをクリックしてしばらく待ちますと...


analyzer21.png


 Guardium Analyzer のダッシュボードが開きます。(IBM ID でのログインが必要)


analyzer22.png


 左上のハンバーガーマークから、各結果を確認しましょう。


analyzer23.png


 「洞察」はトップページで、ダッシュボード表示でスキャン結果の概要が分かります。


analyzer24.png


 「データ・ソースの結果」では、DB毎のスキャン結果が分かります。機密レコード数と脆弱性により優先度が判定されるので、高優先度のDBから対処するのが良いでしょう。


analyzer25.png


 「パターン結果」では、個人データを判別するために突き合わせたパターンがリストされます。今回は5パターン判別されました。


analyzer26.png


 各行をクリックすることで、対象がどの表、列に該当するか確認できます。


analyzer27.png


 「テスト結果」では、Guardium Analyzer が脆弱性をスキャンするテストで不合格になったものが表示されます。
 また、結果毎に重大度が測定されます。


analyzer28.png


 各行をクリックすると、テストの説明や修正方法について確認することができます。ありがたいですね!


analyzer29.png


 「レポート」は、テスト結果をもとにレポートを生成する機能です。デフォルトでは何も設定されていないので、使用する場合は新規レポート作成が必要です。


analyzer30.png


 サンプルはこんな感じです。 ※サンプルPDFより


analyzer31.png


 「データ・コネクター」では、作成したコネクターが表示され、バージョンが確認できました。再度ダウンロードもここから出来ます。


analyzer32.png


 「インストール・プロセス」は、Guardium Data Connector ダウンロード前のチュートリアルを開けます。
 ※上述しているので画面は割愛します。


 「設定」では、データを分類するパターンの追加や、スキャン頻度の変更が行えます。
 デフォルトに無いパターンで分類したい場合は、設定を追加できます。


analyzer33.png
analyzer34.png


◆ 所感


 Guardium Analyzer を使ってみましたが、導入が簡易で結果がすぐ得られるのが良いですね。


 ちなみに、データ・コネクターからクラウドに送信されるのは、表名、列名、検出したパターン名、失敗したVAテスト(IDのみ)などで、機密データ自体は送信されないため、分析のためにクラウド上にデータが送られてしまうのでは...といった懸念は問題なさそうです。
 (よくあるご質問(FAQ)より https://www.ibm.com/jp-ja/marketplace/guardium-analyzer/faq


 データセキュリティ対策をこれから始める人には、自システムの状況が素早く認識できるため、
 これから何をすべきかが把握できるでしょうし、既に取り組んでいる人も、調査や対策方法の確認
 といった稼働の低減という面で役立つ製品と感じました。


 以上です。