Azure SQL Data Warehouse でデータ監査を導入

このポストは、10 月 8 日に投稿された Azure SQL Data Warehouse introduces Data Auditing の翻訳です。

 

このたび、Azure SQL Data Warehouse でデータベース監査をご利用いただけるようになりました。このセキュリティ強化により、クラウドでのデータ ウェアハウス管理に関する課題が大幅に解消されます。Azure SQL Database に導入されたデータベース監査では、データの更新や照会などデータベース内のイベントや変更をより的確に把握できるようになります。非常にシンプルで直観的な構成インターフェイスによって、数分でデータベース上で開始することができます。

監査のメリット

データベースの監査を有効にすると、さまざまな目的に役立つ貴重な情報を得られます。

・ コンプライアンス関連の作業が円滑に

監査は、PCI-DSS、SOX、HIPAA といった業界の諸規制への対応に活用できます。こうした規制の多くでは、データベース内のデータ関連活動の監査証跡が必要とされています。

・ データベースの稼働状況を把握

監査証跡を残すことによって、データベースで「どのような処理」が「だれ」によって「いつ」行われたのかを正確に把握できるようになり、業務の透明性が向上します。また、こうしたデータはビジネス トレンドや、懸念すべき兆候を把握するのにも役立ちます。たとえば、データを分析した結果、ある場所に配置されているデータベースの稼動レベルが徐々に低下していることが判明すれば、すぐに対策を講じることが可能になります。

・ セキュリティ違反を検知

監査データの分析により、社内全体で発生しているデータ関連の不整合や異常を確認でき、セキュリティ インシデントをすばやく特定できるようになります。

とても重要なことですが、監査やその他のセキュリティ機能を活用することで諸規制に適合したアプリケーションを簡単に構築することはできますが、それによってコンプライアンスが確保されるわけではありません。企業が自己の責任に基づいて、自社または業界のセキュリティおよびコンプライアンスの基準に沿ったアプリケーション設計やデータベースの使用を徹底する必要があります。

記録されるデータとその保存場所

監査を構成する際に、監査ログの書き込み先となるストレージ アカウントを指定します (Azure Storage の料金が課金されます)。監査が有効になると、自動的に Azure Table が指定のストレージ アカウントに作成され、設定に従って指定のイベントのレコードが書き込まれます。下の監査のアーキテクチャの図を参照してください。

監査の書き込みエントリは、フィールドがあらかじめ定義されているスキーマに従います。詳しくはこのスキーマの詳細な仕様 (英語) をご覧ください。こちら (英語) からもダウンロードできます。

監査ログは Azure ストレージ アカウントに直接書き込まれるため、このデータへのアクセスは完全にコントロールできます。ログを閲覧するには、Azure Storage Explorer (英語) または定義済みの Excel ダッシュボードとレポート テンプレート (英語) などの任意のツールで Azure ストレージ アカウントに接続します。後者は Power Query を使用して Azure ストレージ アカウントからログを取得できます。Office 2013/2016 ユーザーは Power Query for Excel アドインを無料でダウンロードできます。

データ監査を利用開始するには

Azure SQL Data Warehouse のドキュメントの「データ監査の使用を開始する (英語)」チュートリアルにて、データ監査の有効化と利用方法を確認できます。

フィードバック

開発チームでは皆様からのご意見をお待ちしております。このページのコメント欄までお寄せください。また、サポートが必要な場合やご質問に関しては、MSDN の開発者フォーラム (英語) または StackOverflow (英語) までお問い合わせください。