DSPMを利用してシャドーデータベースを見つける方法

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第29回目となる今回は、「DSPMを利用してシャドーデータベースを見つける方法」と題して、シャドーITのように、セキュリティ部門に気付かれず、レーダーの下に潜んでいるシャドーデータベースを見つけ出し、関連するバックアップ、ダンプ、孤立したスナップショットを発見し、機密性の高いデータが含まれているかどうかを自動的に特定し、リスクに晒されている場所を迅速に確認することができる、Varonisのデータセキュリティ態勢管理 (DSPM) 機能の活用方法を紹介する、Nathan Coppingerのブログ記事をご紹介いたします。

シャドーデータベースは、シャドーITのように、セキュリティ部門に気付かれず、レーダーの下に潜んでいます。Varonisの業界をリードするDSPM機能により、セキュリティ部門はシャドーデータベースを発見するだけではなく、バックアップ、ダンプ、孤立したスナップショットも発見することができます。そして、Varonisを使用して、これらのリソースに機密性の高いデータが含まれているかどうかを自動的に特定し、リスクに晒されている場所を迅速に確認することができます。

管理対象外データベースの管理

AWS EC2インスタンス上で管理対象外のデータベースを立ち上げることは比較的簡単で、多くの場合、これらのデータベースはセキュリティ部門が知らない間に作成されてしまっています。

セキュリティ部門が、機密性の高いデータが含まれているかどうかや正しく構成されているのかはおろか、存在すら認識していないため、シャドーデータベースは悪意のあるアクターが悪用可能な不必要に大きな攻撃表面を作り出しています。  

Varonisを使用することにより、セキュリティ部門は以下のことができるようになります：

•    AWS環境全体でのシャドーデータベースの発見
•    EBSボリューム、管理対象外のデータベース、スナップショットに保存されている機密性の高いデータの分類
•    孤立したスナップショットを明らかに
•    S3バケット内に保存されているバックアップとダンプを特定し、それらを関連するデータベースと紐付け

このブログでは、Varonisを利用して、セキュリティ部門がシャドーデータベースを発見し、機密性の高いデータが露出されている場所を特定する方法をご紹介します。

シャドーデータベースの発見

Varonisを使用すると、お客様はAWSのElastic Block Store (EBS) ボリュームをスキャンして、MySQL、PostgreSQL、Oracleなどの管理対象外のデータベースサービスを実行しているEC2インスタンスに接続されている場所を特定することができます。

スキャン後は、お客様は、管理対象外のシャドーデータベースを含む、すべてのデータベースを単一のマネジメントコンソールから確認できます。

機密性の高いデータの発見と分類

Varonisは、シャドーデータベースや孤立したスナップショットを発見すると―各カラムに至るまで―スキャンし、個人情報、財務データ、医療記録、知的財産のような機密性の高いデータを検出して分類します。

Varonis環境から分類結果を確認し、保有する機密性の高いデータの正確な種類、集中度、場所を把握できます。これらの結果を使用すると、データベースを監視対象とするべきか、あるいは、環境から削除するべきかを判断することができます。

バックアップとダンプをデータベースと関連付け

シャドーデータベースのように、機密性の高いデータを含むS3バケット内のデータベースのバックアップやダンプは、IT部門やセキュリティ部門に気付かれることなく、レーダーの下に潜んでいるものです。これらのバックアップやダンプは、不正アクセスや漏洩に晒される可能性がある、古いデータや暗号化されていないデータが含まれている可能性があります。

Varonisは、S3バケット内に保存されているデータベースのバックアップやダンプを発見することができます。発見すると、Varonisはその中の機密性の高いデータを分類し、露出を分析し、バックアップやダンプを関連するデータベースと紐付けます。

また、Varonisは、これらのバックアップについてお客様に警告し、構成不備を特定し、主導による修正が必要な場合には保護するための推奨事項を提供します。

Varonisは、構成不備を自動的に修正し、公開露出を修正することができます―機密性の高いデータの露出を削減し、データセキュリティ態勢を改善するために必要な手作業をなくすことができます。

孤立したスナップショットの発見

スナップショットは、データベース履歴の記録として機能し、災害発生時のレポート作成と復旧に役立ちます。しかし、スナップショットがデータベースと適切にリンクされていなければ、不必要なリスクをもたらす可能性があります。例えば、データベースを削除してしまった場合、すべての関連するスナップショットを見つけて削除しなければ、すべてのデータが引き続きアクセス可能なままになっている可能性があります。

Varonisは、環境内のすべての孤立したスナップショットを発見し、機密性の高いデータが含まれているかどうかを特定することができます。これにより、IT部門やセキュリティ部門は、修正作業を優先順位付けし、孤立したスナップショットを確実に削除または保護することができます。

Varonis Data Security Platformは、AWS Marketplaceからも購入可能で、セキュリティ部門をデータセキュリティ態勢の継続的な監視と改善、以下のような機能によって支援します：

•    カスタマイズ可能なDSPMダッシュボードにより、セキュリティ態勢の一元的な概要にアクセス
•    構造化リソースと非構造化リソースに保存された機密性の高いデータを発見し、分類
•    自動化を使用して、機密性の高いデータがどこで無防備に晒されているのかを特定し、最小権限の強制を支援
•    機密性の高いデータのアクティビティを監視し、異常な振る舞いを警告  
•    履歴を含み、情報が強化され、人間が読むことのできる、クラウドを跨いだ監査証跡を維持し、調査を容易に
•    継続的に構成不備を検出し、構成ドリフトを特定し、問題を自動的に修正

Varonisの最先端のDSPMソリューションによって、データセキュリティ態勢を改善し、自動化された成果を達成する準備はできましたか？

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/shadow-database-discovery

・Varonis: AWS Marketplace
https://aws.amazon.com/marketplace/pp/prodview-j6ereaak4ibwc?sr=0-1&ref_=beagle&applicationId=AWSMPContessa

・Varonis: DSPMソリューション
https://www.varonis.com/ja/use-case/dspm

・統合データシート - Varonis for AWS
https://view.highspot.com/viewer/1b6c8c9aba481b837cc6ac41da77135b

ブログ記事著者の紹介

Nathan Coppinger

Nathanは、最先端のテクノロジーを学ぶことが好きでしたが、コーディングをするための忍耐力はありませんでした。そこで彼は、ソフトウェアコードの背後にいる才能ある人々を代弁するマイクとなるという自分の立ち位置を見つけました。

（翻訳：跡部 靖夫）