IBM Guardium Data Protection 12.x — 典型ユースケース¶
IBM Guardium Data Protection 12.x — 典型ユースケース(運用手順)
| ユースケース名 | 想定状況 | 手順サマリ | 使用コマンド / UI | 注意点 | 出典 |
|---|---|---|---|---|---|
| DB アクセス監査(特権ユーザ/機密テーブル) | PCI / SOX 等の準拠目的で DB への特権アクセスを継続監視 | 1) Datasource を Manage > Data Sources で登録 2) consolidated_installer.sh で DB サーバへ GIM + S-TAP 導入 --tapip 3) Manage > Activity Monitoring > Inspection Engines で対象 DB の Inspection Engine を作成 (Protocol / DB Server IP/Mask / Port を設定、Active on startup を選択) 4) Setup > Tools and Views > Policy Builder で Access policy を作成 (機密テーブルへのアクセスに「Log Full Details」、特権ユーザに「Alert Per Match」) 5) Policy Installation tool でポリシーをインストール 6) Reports / Predefined common reports でアクセス記録を確認 |
consolidated_installer.sh / Inspection Engines UI / Policy Builder | Inspection Engines は CM 上では作成不可(Collector / Managed Unit のみ)。Records Affected / Inspect Returned Data を有効化する場合は性能影響を考慮 | S35, S84, S9, S12, S36, S54, S8, S11, S13, S14, S15, S60 |
| コンプライアンス遵守確認(Audit Process 自動化) | PCI-DSS / SOX / HIPAA / NIST / NERC / DORA / NYDFS の証跡を定例レビュー | 1) Comply > Tools and Views > Audit Process Builder 2) New Audit Process → 名前入力、advanced options(archive 保持期間、CSV/CEF 名、Custom email template)を必要に応じ設定 3) Add tasks で Privacy Set / Security Assessment / Report の各タスクを追加(少なくとも 1 タスクが必要) 4) Receivers タブで個人 / グループ / role / email / ticket の配信先と review/sign 責任を設定(Continuous flag で順序制御) 5) Schedule audit process で定期実行スケジュールを設定 6) 一度 Run once now で動作確認 → 結果は Audit Process Log で確認 7) 12.2 で Smart assistant for compliance monitoring から regulation policy + alert + VA を一括生成可 |
Audit Process Builder / stop_audit_process / Smart assistant | remote source の結果は 100,000 件上限(store save_result_fetch_size CLI で変更可)。CSV は 10GB 上限のため Zip CSV for email 推奨。Schedule は CM 単位(CM 横断は distribution profile 経由) | S17, S18, S89, S61, S63, S62, S88, S42, S16 |
| アラート設定(リアルタイム検知) | DB の異常アクセスや SQL エラー集中をリアルタイム通知 | 1) Setup > Alerts でアラートテンプレート確認(Predefined alerts を活用) 2) Setup > Tools and Views > Global Profile で SMTP / SNMP / Syslog 受信先を登録 3) Policy Builder のルールに Rule Action を追加 - Alert Per Match(即時) - Alert Once Per Session(1 セッション 1 回) - Threshold Alert(条件件数超過時) 4) Compliance Monitor / Smart assistant で生成したポリシーには 12.2 から alert を一括追加可 5) Reports > Threshold Alerter Status で発火履歴を確認 6) ATA で重要度カテゴリを脅威カテゴリへ昇格(list_ata_threat_category / update_ata_case_status) |
Policy Builder / Global Profile / Threshold Alerter / ATA APIs | Alert は granularity に依らず実時刻で発火。S/MIME(FIPS 140-3)でメール署名・暗号化対応(12.2) | S22, S23, S10, S48, S2, S88, S40 |
| S-TAP インストール(Linux x86_64 / Db2) | 新規 DB サーバを Guardium 監視対象に追加 | 1) IBM Guardium Data Protection Trial / Passport Advantage から GIM + S-TAP zip を入手 2) DB サーバ上で root として unzip Guardium_12.1.1.2_GIM_RedHat_r119073.zip unzip Guardium_12.1.1.2_S-TAP_RedHat_r119073.zip 3) consolidated_installer ディレクトリ作成 → consolidated_installer.sh + 該当 OS 用 .gim.sh をコピー 4) ./consolidated_installer.sh --installdir /usr/local/guardium --tapip 5) 完了後 ps -ef | grep -i gim と ps -ef | grep -i tap で guard_gimd / guard_stap / guard_discovery が起動していることを確認 6) CM 側 Manage > Module Installation で S-TAP が表示されることを確認 |
consolidated_installer.sh / GIM CLI | Trial license は 90 日(延長 1 回 90 日)。Trial と通常ライセンスは併用不可。GIM client と S-TAP の OS / アーキ(rhel-7/8/9 × x86_64)整合に注意 | S35, S34, S30, S31, S32 |
| Sensitive Data Discovery + Classification | PCI / SOX 対象データを自動発見し分類 | 1) Discover > Database Discovery で DB を走査して未知 instance を検出 2) Discover > Sensitive Data Discovery でクラシフィケーションプロセスを作成 - 走査対象 DB / 検出パターン(カード番号、SSN、Canadian SIN 等)を選択 3) 結果を Privacy Set として保存し、Audit Process / Policy で参照 4) 12.0+ では Unified Discovery and Classification(独立コンポーネント、Data Protection ライセンスに同梱)も利用可 |
Database Discovery / Classification UI / Unified D&C | Classification 単独では保護を提供しない(Policy で参照して保護を実装)。Canadian SIN は 12.1 で特殊パターン対応 | S46, S47, S2 |
| Vulnerability Assessment 実行 | DB の構成不備・既知脆弱性を可視化 | 1) Setup > Data Sources で対象 DB のクレデンシャル登録(VA database privileges に従い権限付与) 2) Harden > Vulnerability Assessment Builder でアセスメント定義(CIS / STIG / 独自) 3) スケジュール実行 → View Results / Vulnerability management hub(12.2.1 新 UI)で確認 4) 12.2.1+ で AWS EKS 上の VA Scanner(Helm Chart)導入可 5) 12.2.2 で Modifiable severity / threshold(Assessment Tests レポート)を活用 |
VA Builder / Vulnerability management hub / Helm Chart | サポート DB は GA ノートで頻繁に更新(12.2.2 で MongoDB Atlas 8.0.16 / MarkLogic 11.3.3 / 12 / EDB PG 17.5 / Db2 LUW 12.1 / Oracle MySQL 8.4 等追加) | S28, S29, S2 |
| アクセス管理(最小権限ロール作成) | Guardium 運用者ごとに最小権限で UI / API アクセスさせたい | 1) Setup > Tools and Views > Access Management(12.2.2 で再設計、tab レイアウト) 2) Roles タブで「Creating a role with minimal access」の手順に沿って権限を絞ったロールを作成 3) Groups タブで対象オブジェクト(DB 種別 / table / port)のグループを定義 4) Users タブでユーザにロール割当、必要に応じ MFA を Portal 側で有効化 5) Default roles(admin / inv / user / cli 等)の標準権限は「Access for default roles and applications」を参照 6) 12.2 から Guardium API 専用ユーザ(UI 不可)も作成可 |
Access Manager UI / Portal / Roles / Groups | Access Manager 旧 UI に戻す場合は grdapi MODIFY_GUARD_PARAM paramName=LEGACY_ACCESSMGR_ENABLED paramValue=1(12.2.2 の API) | S19, S20, S21, S55, S56, S57, S58, S2 |
| Aggregator へのアーカイブ/長期保持 | 規制要件で長期保持が必要な監査データの集約 | 1) Schedule Data Export / Data Archive を Collector 上で構成(archive はパスワード暗号化+署名) 2) Aggregator に Data Import を Collector の export 後に実行(順序が重要) 3) Aggregator で Daily Archive を実施。aggregator は static + dynamic を full archive 4) 12.2 で Long-term retention:S3 互換ストレージ + configure_complete_cold_storage API でフル構成 5) 12.2.2 で Data Lake Reports をスケジュール実行 |
Schedule UI / configure_complete_cold_storage / Data Lake Reports | Collector の archive は incremental、毎月 1 日に full archive。aggregator archive は collector へ復元不可(逆は可)。インポート未完で archive すると欠損データのリスク | S41, S81, S82, S2, S33, S80, S42 |