[pgsql-jp: 34450] Re: PostgreSQL/Oracle/MySQL の機能比較

[Kuniteru Asami]

浅見です。

> 石井です．
> 
> > 海老原です。
> > 
> > 時流に乗って、「セキュリティ」「監査」の評価を希望します。
> > 自分的には、こんな感じですかね。
> > 
> > 　セキュリティ ○ ○ ○
> > 　監査　　　　 △ ○ △
> > 
> > 監査はSelectiveに設定可能か否かを重要視してみました。
>....snip....
> 
> 済みません．ちょっとイメージが湧かないんですが．私こういうのあんまり詳
> しくないので，具体的に「セキュリティ」や「監査」を評価する基準があれば

Oracleの監査についてはいくらかかじってるのですが、とりあえず
以下のポイントでいかがでしょう？

1. 設定の容易さ
OracleにはAuditコマンド(など)があり、比較的容易に設定可能です。
PostgreSQLではトリガやルールを使って操作時に監査証跡テーブル
に書き込むことになると思いますが、作り込みが必要です。おそらく
MySQLも同じ。

2. 監査対象
○情報漏洩
○情報改ざん
○オブジェクト定義などの変更
○DBへの接続の成否
私の感覚だと、上記が監査証跡に出力できるか否かがポイントだと思
います。
ちょっと細かい話しをすると・・・
Oracleは全てのSQLを監査対象とすることができますし、このプロシー
ジャを実行したとか、与えられている権限を使用して操作したとか。
PostgreSQLでは前述の通り、トリガorルールですので海老原さんもおっ
しゃっている通りSELECTを対象とすることができないので、昨今問題
になっている情報漏洩に対して監査することができないんですよね。
他にもconnect, create〜、alter〜、などなど山ほど監査できない処
理はあります。
他にはlog_statementやlog_connectionsパラメータなどをonにするこ
とでいくらか対応できますけど、追跡がしんどいし。

[pgsql-jp: 34330]で大木さんが紹介されていた
auditorias
http://archives.postgresql.org/pgsql-general/2004-08/msg01439.php
が面白そうかなぁとは思っていましたが、まだちゃんと見ていませ
ん。これはたぶんDML(情報改ざん)だけが対象だと思います。

0---------0---------0---------0---------0---------0---------0
00 浅見 城輝
0-0 mailto:asami at aqua-systems.co.jp
0--0 http://www.fiberbit.net/user/kunyami/postgresql/