極楽せきゅあブログ

ときどきセキュリティ

データベースのアクセス記録

ポンピドーセンター

データベースのアクセス記録って難しいっすよね。結局データベースの場合って、誰が何時どんなSQL文でアクセスしたのか、というのが取れないとわけわかんねーわけだし。
でもそうやって細かく取れば取るだけ使い物にならなくなるし。
しかも厄介なのは、「誰が」というのをとっても特定しづらいってことなんすよね。いくら細かく分けたところで、数個の権限モデル上のアカウントがせいぜいだし、それじゃほんとうの意味での「誰が」ってのにはつながりにくい。といって、サービス利用者すべてに一対一でデータベースアクセス用のアカウントを作るわけにもいかないし。となると結局、Webサーバーのアクセスログとかの他の記録との照らし合わせが必須になってしまうんだよなあ。まそりゃそれで仕方のないことなんだけど。
パフォーマンスと記録の詳細度というのも非常にシビアな問題だよね。
情報漏洩とかを睨んだ場合の、ベスト・プラクティスってあるのかなあ?単独じゃ無理?