データベース監査ログすべての操作をログ。すべての変更を帰属可能に。
データベース監査ログは 1 つのシステムではなく 2 つのシステムです。クラウドプロバイダーがインフラ層をカバーし、ワークフロー層 — スキーマ変更、クエリ、承認、エクスポート — はあなたが組み立てます。
データベース監査ログのアーキテクチャ
2 つのレイヤー。1 本の証跡。
インフラ層
プロビジョニング、構成、バックアップ、ネットワーク。CloudTrail、Cloud Audit Logs、Azure Monitor が捕捉する。レコードは整形され、中央保存され、クラウドの主体に紐付く。プロバイダー側で扱われる。
ワークフロー層
スキーマ変更、クエリ、承認、エクスポート。エンジンネイティブのツール — pgaudit、MySQL の監査プラグイン、SQL Server Audit、Oracle Unified Auditing — がこの一部をカバーする。それでも 3 つのギャップが残る: ID、文脈、網羅性。
データベース監査ログに関する質問
よくある質問。
- データベース監査ログとは?
- データベース監査ログは、データベース活動の記録された証跡 — 誰が、何を、いつ、どこからしたか — です。2 つのレイヤーに分かれます: インフラ層 (プロビジョニング、構成、バックアップ。クラウドプロバイダーが管理) と、ワークフロー層 (DB 内のスキーマ変更、クエリ、承認、エクスポート)。
- コンプライアンスにはインフラとワークフローの両方の監査ログが必要か?
- はい。SOC 2、HIPAA、PCI DSS、ISO 27001、GDPR はいずれも両層をカバーする監査証跡を求めます。CloudTrail、Cloud Audit Logs、Azure Monitor からのインフラログがプロバイダー側の操作をカバーします。ワークフロー層には、エンジンネイティブのツール (pgaudit、MySQL 監査プラグイン、SQL Server Audit、Oracle Unified Auditing) や Bytebase のようなワークフロー型ゲートウェイによる別の監査が必要です。
- どのコンプライアンスフレームワークがデータベース監査ログを要求するか?
- SOC 2 (Trust Services Criteria CC6.1、CC6.3、CC7.2)、HIPAA (§ 164.312(b))、PCI DSS (Requirement 10)、ISO 27001 (Annex A 8.15)、GDPR (第 30 条)。それぞれが異なるフィールドと保存ルールを重視します — PCI DSS は 1 年オンライン、HIPAA は PHI アクセス、SOC 2 は管理者活動を重視します。