手軽にデータベース脆弱性診断を自動化!Guardium VA のご紹介!
投稿者:Guardium担当
みなさん、こんにちは。社会人2年目のセキュリティ担当 久保田です。
今回はGuardium の機能の1つである、Vulnerability Assessment(VA)を使ってDBの脆弱性診断をする方法を見ていこうと思います。
目次
1.GuardiumとGuardium VA機能とは
「IBM Security Guardium」は、データベースに対する「セキュリティ」「監査・レポーティング」のすべてを担うDBセキュリティアプライアンスソリューションです。
主な機能としては、DBアクセスログの記録、不正アクセス発生時のアラートなどがあります。
Guardiumの機能の1つとして、Vulnerability Assessment(VA)があり、データベース環境をスキャンして脆弱性を検出し、是正措置を提案してくれます。
2.実際にDBの脆弱性診断をしてみた
今回は、GuardiumのVA機能を使ってDBの脆弱性診断をする方法を見ていきます。
(初期設定)
- ライセンス適用
使用許諾条件のページでIBM Security Guardium Vulnerability Assessment for Databaseのライセンスを適用します。
これでVA機能を利用することができます。
1.アセスメントビルダー
Welcome画面から[脆弱性評価]をクリックします。
セキュリティー・アセスメント・ファインダーでアセスメントビルダーを作成します。
2.アセスメントの記述とデータソースの追加
今回は検証で立てたMSSQLのDBに脆弱性がないか確認してみます。
最初にDBの脆弱性診断の対象のデータベースの情報を入力します。
診断を行いたい、DBの各情報を記入します。
定義情報
- 名前
- データベースタイプ
認証情報
- ユーザ名
- パスワード
ロケーション情報
- ホスト名/IP
- ポート番号
他には、下記のDBが対応しています。一般的なDBであれば診断ができそうです。
対応DB:29種類(2024/5/17時点)
3.テスト構成を定義
データソースの追加ができたため、テストの構成を作成します。
対応するDBサーバのテスト項目を選択し、選択項目の追加をします。
テストのタイプは
- 事前定義
- 照会ベース
- CVE※
- APAR※
- CIS※
- STIG※
があります。
※CVE(Common Vulnerabilities and Exposures)、APAR(Authorized Program Analysis Report)、CIS(Center for Internet Security)、STIG(Security Technical Implementation Guide)
必要に応じてテストチューニング、フィルタリングも可能です。
4.テストの実行
それでは、DBの脆弱性診断のための事前設定ができたので、実際に実行してみましょう。
セキュリティー・アセスメント・ファインダーの画面に戻り、[今すぐ一回実行]、[結果の表示]をクリックします。
これで、診断結果を見ることができます。
5.結果
画面上に、診断結果が表示されます。診断結果はPDF、XMLでDL可能です。画面をスクロールすると、各テスト項目の内容や結果を確認することができます。
また、フィルター/ソート制御で各テストをフィルタリングすることができます。
各テスト結果です。
合格結果例
不合格結果例
さらに詳細も確認できます。今回はパッチ適用が推奨されています。
このように、テスト結果からDBのパッチ適用、デフォルトユーザの使用をやめる等のするべき対応を教えてくれます。
3.最後に
DBサーバの情報を入力するだけで、簡単にDBの脆弱性診断を行うことができました。
診断するだけで終わらずに、推奨アクションを提示してくれることで、何をすべきかが非常にわかりやすいです。また、監査プロセスでスケジュール実行を行うことで繰り返し診断をすることも可能です。診断の自動化により、近年深刻化しているセキュリティ人材の不足をカバーできるのではないかと感じました。
