セキュリティコンプライアンスのためにMySQLの監査ロギング機能を使用するにはどうすればよいですか？-mysql チュートリアル-php.cn

セキュリティコンプライアンスのためにMySQLの監査ロギング機能を使用するにはどうすればよいですか？

百草

リリース： 2025-03-18 12:02:33

オリジナル

406 人が閲覧しました

セキュリティコンプライアンスのためにMySQLの監査ロギング機能を使用するにはどうすればよいですか？

セキュリティコンプライアンスのためにMySQLの監査ロギング機能を活用するには、適切に有効にして構成する方法を理解する必要があります。 MySQLの監査ログプラグインは、セキュリティ基準を維持するために重要な詳細なログを提供する人を記録するように特別に設計されています。

監査ログプラグインを有効にする：最初のステップは、監査ログプラグインがインストールされ、有効になっていることを確認することです。これを行うには、MySQL構成ファイル（通常はmy.cnfまたはmy.ini ）に次の行を追加することで、これを行うことができます。
```
 <code>[mysqld] plugin-load-add = audit_log.so audit_log_format = JSON</code>
```
ログイン後にコピー
これらの変更を行った後、MySQLサーバーを再起動します。
監査ログ設定の構成：セキュリティのニーズに合わせて設定を調整します。重要なパラメーターは次のとおりです。
- audit_log_policy ：ログに記録されるアクティビティを決定します。オプションには、 ALL 、 LOGINS 、 QUERIES NONEが含まれます。
- audit_log_file ：ログファイルが保存されるパスを指定します。
- audit_log_rotate_on_size ：ログファイルが回転する前に、ログファイルの最大サイズを設定します。
次のようなSQLコマンドを使用してこれらを設定できます。
```
 <code class="sql">SET GLOBAL audit_log_policy = 'ALL'; SET GLOBAL audit_log_file = '/path/to/audit.log'; SET GLOBAL audit_log_rotate_on_size = '10M';</code>
```
ログイン後にコピー
ログの監視と分析：監査ログを定期的に確認して、コンプライアンスを確保します。ツールまたはスクリプトを使用して、特定のセキュリティイベントのJSON形式のログを解析します。

これらの手順に従うことにより、MySQLの監査ロギング機能を使用して、セキュリティコンプライアンスの取り組みを強化できます。

MySQL監査ログが満たすのに役立つ特定のセキュリティ基準は何ですか？

MySQL監査ログは、次のようないくつかの特定のセキュリティ基準と規制要件を満たすのに役立ちます。

PCI DSS（支払いカード業界データセキュリティ標準） ：監査ログを使用して、PCI DSSのコンプライアンスに不可欠なカード所有者データへのアクセスを追跡できます。具体的には、要件10などの要件を満たすのに役立ちます（ネットワークリソースとカード所有者のデータへのすべてのアクセスを追跡および監視します）。
HIPAA（健康保険の移植性および説明責任法） ：医療機関の場合、MySQL監査ログは、HIPAAのセキュリティルールのコンプライアンスを支援し、電子保護情報情報（EPHI）へのアクセスを追跡するのに役立ちます。
GDPR（一般データ保護規則） ：MySQL監査ログは、第30条（処理活動の記録）などのデータ保護とプライバシーに関連するGDPR要件を満たすのに役立ちます。
SOX（Sarbanes-Oxley Act） ：金融機関の場合、監査ログは、特に金融データとIT管理の整合性を確保するために、SOXに準拠するために必要な記録を提供できます。

MySQL監査ログを実装および維持することにより、組織はこれらの基準を効果的に満たすために必要な証拠と文書を収集できます。

特定のユーザーアクティビティを追跡するようにMySQL監査ログを構成するにはどうすればよいですか？

特定のユーザーアクティビティを追跡するためにMySQL監査ログを構成するには、監査ログプラグインの設定を改良して、目的のイベントをキャプチャする必要があります。これがあなたがそれを行う方法です：

監査ポリシーを定義します。監視するアクティビティを決定します。 MySQLを使用すると、 audit_log_policyを設定して特定のイベントを追跡できます。たとえば、ログインとクエリのみを追跡する場合：
```
 <code class="sql">SET GLOBAL audit_log_policy = 'LOGINS,QUERIES';</code>
```
ログイン後にコピー
ユーザーによるフィルター： audit_log_include_usersとaudit_log_exclude_usersオプションを使用して、特定のユーザーによるログをフィルタリングできます。たとえば、ユーザーadminのアクティビティのみを追跡するには：
```
 <code class="sql">SET GLOBAL audit_log_include_users = 'admin';</code>
```
ログイン後にコピー
データベースとテーブルごとにフィルター：特定のデータベースまたはテーブルに固有のアクティビティを追跡する必要がある場合は、 audit_log_include_databasesとaudit_log_include_tablesを使用します。例えば：
```
 <code class="sql">SET GLOBAL audit_log_include_databases = 'mydatabase'; SET GLOBAL audit_log_include_tables = 'mytable';</code>
```
ログイン後にコピー
高度なフィルタリング：MySQLは、 audit_log_filter_idを使用してカスタムフィルターの作成を使用したより高度なフィルタリングもサポートしています。 audit_log_filterテーブルを使用してカスタムフィルターを定義できます。たとえば、 mytableのSELECTステートメントのみをログするフィルターを作成するには：
```
 <code class="sql">INSERT INTO audit_log_filter(name, filter) VALUES ('select_on_mytable', '{ "filter": { "class": "select", "table": "mytable" } }'); SET GLOBAL audit_log_filter_id = (SELECT id FROM audit_log_filter WHERE name = 'select_on_mytable');</code>
```
ログイン後にコピー

この方法で監査ログ設定を調整することにより、MySQLがコンプライアンスとセキュリティを監視するために必要な特定のユーザーアクティビティをキャプチャできるようにすることができます。

MySQL監査ログの整合性とセキュリティを確保するにはどうすればよいですか？

MySQL監査ログの整合性とセキュリティを確保することは、セキュリティおよびコンプライアンスツールとしての信頼性を維持するために重要です。これらのログを保護するために実行できる手順は次のとおりです。

ログファイルを保護します：監査ログを安全な場所に保存します。理想的には、アクセスが制限されている別のサーバーに。ファイルシステムの権限を使用して、認定担当者のみへのアクセスを制限します。
暗号化：安静時と輸送の両方でログファイルを暗号化します。 MySQLは監査ログに組み込みの暗号化を提供していないため、ディスクに書き込まれる前に、外部ツールまたはサービスを使用して暗号化する必要がある場合があります。
不変のストレージ：Write-Once、Read-Many（Worm）ストレージソリューションを使用して、ログの改ざんを防ぎます。 Object Lockを備えたAWS S3などのソリューションを使用して、記述した後にログを変更または削除できないことを確認できます。
定期的なバックアップ：データの損失や腐敗の場合でもログが保存されることを確認するために、ルーチンバックアップ戦略を実装します。安全でオフサイトの場所にバックアップを保存します。
ログの監視と警告：ログ監視ソリューションを展開して、監査ログへの疑わしいアクセスまたは変更を検出します。アラートをセットアップして、セキュリティチームに潜在的な問題をリアルタイムで通知します。
監査人の監査：インサイダーの脅威を防ぐために監査ログにアクセスできる人員のアクセスと活動を定期的に監査します。
整合性チェック：チェックサムまたはデジタル署名を使用して、監査ログの整合性を確認します。定期的なチェックをスクリプト化して、ログが改ざんされていないことを確認できます。