最新バージョンではメモリ参照型方式もサポート
10月にはFortiDBはソフトウェアが4.0にバージョンアップされ、アーキテクチャが一新。機能やパフォーマンスが拡張されたほか、アイピーロックス時代に抱えていた課題が一気に解消されたという。
実はFortiDBの前身であるアイピーロックスの時代には、日米で異なるバージョンが存在していた。米国ではVAのニーズが強かったが、日本では個人情報保護法の関係でDAMの方の要求が大きかった。そのため、両者でVAとDAMをそれぞれ強化し、機能拡張を行なってソースコードも分かれたという。これもひとえに開発リソースの不足に原因があった。
しかし、開発体制の充実したフォーティネットによる買収によって、状況は一気に変わった。アイピーロックス後期の製品をリファインしただけにとどまるFortiDB3.3系に対して、FortiDB 4.0では内部構造を設計し直した。それぞれのロードマップ上にあったVAとDAMの機能は完全に網羅されたほか、1日にさばけるレコードの数が大幅に向上したことで、パフォーマンスやスケーラビリティも5~10倍と劇的に向上した。「本来、アイピーロックスが描いていたデザインをきちんと具現化したのが、今回発表されたFortiDB 4.0」(成田氏)というほど完成度は高まっている。
FortiDB 4.0で大きい改良点は、メモリ参照型のアーキテクチャをサポートしたことだ。従来からFortiDBは、DBからのアクセスログを取得するオーディット型を採用し、監視や監査、分析などを行なっていた。このオーディット型はDBからログを確実に取得できるメリットがある一方で、負荷がかかるという指摘もあった。これに対し、FortiDB 4.0では共有メモリ上のログを直接参照し、SQLを精査するメモリ参照型の方式をサポートした。「精度を考えるとオーディット型なのですが、アプリケーションが動けばいいやという設計をしていると、マシンがログを出力するパワーも残っていない場合もあります。こうした場合、サンプリング用途でパフォーマンスが必要な場合、負荷の低いメモリ参照型を用いることができます」(成田氏)という選択が可能になった。
FortiDB 4.0では、違反の検知もほぼリアルタイムで実現できるようになった。「以前は取得したログのデータをいったん内部のDBに格納し、そこから再度取り出して、また結果を内部DBに戻していたんです。そこで初めて違反のアラートが上がるといった感じなので、余計なI/Oが数多く発生していました」(成田氏)とのこと。これは当初OracleとSQL Serverのみ対応だったが、その後対応DBを増やしたことで、スキーマ構造がいびつになり、DBごとに処理を行なう必要が出てきたことに端を発するらしい。これに対して、FortiDB 4.0では監査ログを直接メモリに展開して、怪しいかどうかを即座にチェックできるという。
UTMのおまけではない
フォーティの本気モード
フォーティネットは今までUTMをメインに扱ってきており、FortiDBはあくまでおまけのように見えるかもしれない。しかし、同社はDBセキュリティが今後大きな市場になると見ており、日本では成田氏をはじめDBセキュリティ専属のメンバーを拡充した。また、ソフトバンクBBがディストリビュータとなったことで、販売体制も整えた。脆弱性診断に関しては、14日間ながらソフトウェアの試用も可能にした。内部犯の多い情報漏えい対策の切り札として、DBセキュリティの必要性を啓蒙していくとのこと。
ターゲットはやはり金融機関で、すでに導入されているDBセキュリティの置き換えを狙うという。また、機密情報を扱う中堅中小企業でのニーズもあると見ており、MySQLなどオープンソース系DBへの対応はそのための布石でもあるようだ。
この連載の記事
-
第14回
TECH
情報セキュリティのプロが語る「PCI DSS、はじめの一歩」 -
第13回
TECH
管理者に優しいペンタのWAF「WAPPLES」を支える技術 -
第12回
TECH
RSAらしさ満載のPCI DSS導入支援サービス -
第10回
TECH
セミナーでわかったバラクーダとアップルの意外な共通点 -
第9回
TECH
今度のインパーバは金庫番+パトロールでDBを守る -
第8回
TECH
脆弱性監査も試用可能!フォーティネット、FortiDBを強化 -
第7回
TECH
高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力 -
第6回
TECH
キヤノンIT、偽装ファイルの検出強化のWEBGUARDIAN -
第5回
TECH
白黒はっきりつけたいWAFの最新事情 -
第4回
ネットワーク
雲の中にWAFを設置するアカマイの新サービス - この連載の一覧へ