第29回
DSPMを利用してシャドーデータベースを見つける方法
Varonis Systems, Inc. 執筆
私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。
第29回目となる今回は、「DSPMを利用してシャドーデータベースを見つける方法」と題して、シャドーITのように、セキュリティ部門に気付かれず、レーダーの下に潜んでいるシャドーデータベースを見つけ出し、関連するバックアップ、ダンプ、孤立したスナップショットを発見し、機密性の高いデータが含まれているかどうかを自動的に特定し、リスクに晒されている場所を迅速に確認することができる、Varonisのデータセキュリティ態勢管理 (DSPM) 機能の活用方法を紹介する、Nathan Coppingerのブログ記事をご紹介いたします。
シャドーデータベースは、シャドーITのように、セキュリティ部門に気付かれず、レーダーの下に潜んでいます。Varonisの業界をリードするDSPM機能により、セキュリティ部門はシャドーデータベースを発見するだけではなく、バックアップ、ダンプ、孤立したスナップショットも発見することができます。そして、Varonisを使用して、これらのリソースに機密性の高いデータが含まれているかどうかを自動的に特定し、リスクに晒されている場所を迅速に確認することができます。
管理対象外データベースの管理
AWS EC2インスタンス上で管理対象外のデータベースを立ち上げることは比較的簡単で、多くの場合、これらのデータベースはセキュリティ部門が知らない間に作成されてしまっています。
セキュリティ部門が、機密性の高いデータが含まれているかどうかや正しく構成されているのかはおろか、存在すら認識していないため、シャドーデータベースは悪意のあるアクターが悪用可能な不必要に大きな攻撃表面を作り出しています。
Varonisを使用することにより、セキュリティ部門は以下のことができるようになります:
• AWS環境全体でのシャドーデータベースの発見
• EBSボリューム、管理対象外のデータベース、スナップショットに保存されている機密性の高いデータの分類
• 孤立したスナップショットを明らかに
• S3バケット内に保存されているバックアップとダンプを特定し、それらを関連するデータベースと紐付け
このブログでは、Varonisを利用して、セキュリティ部門がシャドーデータベースを発見し、機密性の高いデータが露出されている場所を特定する方法をご紹介します。
シャドーデータベースの発見
Varonisを使用すると、お客様はAWSのElastic Block Store (EBS) ボリュームをスキャンして、MySQL、PostgreSQL、Oracleなどの管理対象外のデータベースサービスを実行しているEC2インスタンスに接続されている場所を特定することができます。
スキャン後は、お客様は、管理対象外のシャドーデータベースを含む、すべてのデータベースを単一のマネジメントコンソールから確認できます。
機密性の高いデータの発見と分類
Varonisは、シャドーデータベースや孤立したスナップショットを発見すると―各カラムに至るまで―スキャンし、個人情報、財務データ、医療記録、知的財産のような機密性の高いデータを検出して分類します。
Varonis環境から分類結果を確認し、保有する機密性の高いデータの正確な種類、集中度、場所を把握できます。これらの結果を使用すると、データベースを監視対象とするべきか、あるいは、環境から削除するべきかを判断することができます。
バックアップとダンプをデータベースと関連付け
シャドーデータベースのように、機密性の高いデータを含むS3バケット内のデータベースのバックアップやダンプは、IT部門やセキュリティ部門に気付かれることなく、レーダーの下に潜んでいるものです。これらのバックアップやダンプは、不正アクセスや漏洩に晒される可能性がある、古いデータや暗号化されていないデータが含まれている可能性があります。
Varonisは、S3バケット内に保存されているデータベースのバックアップやダンプを発見することができます。発見すると、Varonisはその中の機密性の高いデータを分類し、露出を分析し、バックアップやダンプを関連するデータベースと紐付けます。
また、Varonisは、これらのバックアップについてお客様に警告し、構成不備を特定し、主導による修正が必要な場合には保護するための推奨事項を提供します。
Varonisは、構成不備を自動的に修正し、公開露出を修正することができます―機密性の高いデータの露出を削減し、データセキュリティ態勢を改善するために必要な手作業をなくすことができます。
孤立したスナップショットの発見
スナップショットは、データベース履歴の記録として機能し、災害発生時のレポート作成と復旧に役立ちます。しかし、スナップショットがデータベースと適切にリンクされていなければ、不必要なリスクをもたらす可能性があります。例えば、データベースを削除してしまった場合、すべての関連するスナップショットを見つけて削除しなければ、すべてのデータが引き続きアクセス可能なままになっている可能性があります。
Varonisは、環境内のすべての孤立したスナップショットを発見し、機密性の高いデータが含まれているかどうかを特定することができます。これにより、IT部門やセキュリティ部門は、修正作業を優先順位付けし、孤立したスナップショットを確実に削除または保護することができます。
Varonis Data Security Platformは、AWS Marketplaceからも購入可能で、セキュリティ部門をデータセキュリティ態勢の継続的な監視と改善、以下のような機能によって支援します:
• カスタマイズ可能なDSPMダッシュボードにより、セキュリティ態勢の一元的な概要にアクセス
• 構造化リソースと非構造化リソースに保存された機密性の高いデータを発見し、分類
• 自動化を使用して、機密性の高いデータがどこで無防備に晒されているのかを特定し、最小権限の強制を支援
• 機密性の高いデータのアクティビティを監視し、異常な振る舞いを警告
• 履歴を含み、情報が強化され、人間が読むことのできる、クラウドを跨いだ監査証跡を維持し、調査を容易に
• 継続的に構成不備を検出し、構成ドリフトを特定し、問題を自動的に修正
Varonisの最先端のDSPMソリューションによって、データセキュリティ態勢を改善し、自動化された成果を達成する準備はできましたか?
参考資料
・オリジナルブログ記事(英文)
https://www.varonis.com/blog/shadow-database-discovery
・Varonis: AWS Marketplace
https://aws.amazon.com/marketplace/pp/prodview-j6ereaak4ibwc?sr=0-1&ref_=beagle&applicationId=AWSMPContessa
・Varonis: DSPMソリューション
https://www.varonis.com/ja/use-case/dspm
・統合データシート - Varonis for AWS
https://view.highspot.com/viewer/1b6c8c9aba481b837cc6ac41da77135b
ブログ記事著者の紹介
Nathan Coppinger
Nathanは、最先端のテクノロジーを学ぶことが好きでしたが、コーディングをするための忍耐力はありませんでした。そこで彼は、ソフトウェアコードの背後にいる才能ある人々を代弁するマイクとなるという自分の立ち位置を見つけました。
(翻訳:跡部 靖夫)
プロフィール
Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。
Webサイト:Varonis Systems, Inc.
- 第32回 Microsoft 365 CopilotへのNIST CSF 2.0の適用
- 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
- 第30回 データセキュリティ最前線: Varonisのいま(2024年10月)
- 第29回 DSPMを利用してシャドーデータベースを見つける方法
- 第28回 サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
- 第27回 クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
- 第26回 クラウドの構成ドリフトを防ぐには
- 第25回 データ漏洩に繋がるAWSの構成不備
- 第24回 データ分類製品購入ガイド: データ分類ソリューションの選び方
- 第23回 クラウド領域のデータセキュリティ:DSPMの主な活用方法
- 第22回 米国証券取引委員会(SEC)の新サイバー開示ガイドラインが意味するもの
- 第21回 対談:悪意のある(非)内部関係者
- 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
- 第19回 UEBAとは?ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド
- 第18回 対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
- 第17回 クラウドセキュリティプログラムを一から構築するには
- 第16回 Snowflake内の重要データの安全を確保するには
- 第15回 Salesforceの保護:公開リンク作成を防止
- 第14回 ランサムウェアを防止する方法:基本編
- 第13回 クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
- 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
- 第11回 DSPM購入ガイド:DSPMソリューションの選び方
- 第10回 ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察
- 第9回 クラウドデータセキュリティの未来:DSPM活用法
- 第8回 組織における責任共有モデルの理解と適用
- 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
- 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
- 第5回 DSPMとCSPMソリューションの比較:データセキュリティとクラウドセキュリティを橋渡しするには
- 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
- 第3回 Varonisが内部者の脅威との戦いを支援する3つの方法
- 第2回 VaronisがGigaOmの2023年版レーダーレポート「データセキュリティプラットフォーム」でリーダーに選出
- 第1回 Varonis誕生ものがたり