JP3902188B2 - Database security system - Google Patents
Database security system Download PDFInfo
- Publication number
- JP3902188B2 JP3902188B2 JP2004091927A JP2004091927A JP3902188B2 JP 3902188 B2 JP3902188 B2 JP 3902188B2 JP 2004091927 A JP2004091927 A JP 2004091927A JP 2004091927 A JP2004091927 A JP 2004091927A JP 3902188 B2 JP3902188 B2 JP 3902188B2
- Authority
- JP
- Japan
- Prior art keywords
- database
- data item
- sql
- data
- sql statement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000012550 audit Methods 0.000 claims description 43
- 238000000034 method Methods 0.000 claims description 28
- 238000013500 data storage Methods 0.000 claims description 15
- 238000000605 extraction Methods 0.000 claims description 12
- 239000000284 extract Substances 0.000 claims description 4
- 238000004148 unit process Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 claims description 2
- 230000006870 function Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 238000012356 Product development Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
Images
Description
本発明は、ファイルアクセスの履歴管理を行うものであり、ローカルエリアネットワーク等のコンピュータネットワークに接続されたデータベースに格納されたデータのアクセス履歴を管理するデータベースセキュリティシステムに関する。 The present invention relates to a database security system for managing file access history and managing access history of data stored in a database connected to a computer network such as a local area network.
現在、企業のデータベースからの個人情報流出が問題となっているが、流出された情報が誰の何に関する情報かという具体的なデータを知るのは困難である。
また、コンピュータシステムとしては、特定の許可されたオペレータが専用の画面で予め決められた操作により、データベースにおける企業情報や個人情報等の入力,削除及び編集を、厳密なアクセス制御の下で行う基幹系システムと、不特定多数の人間が多種多様なアプリケーションから、比較的緩いアクセス制御の下で、データベースの参照を行う情報系システムとがある。
At present, the leakage of personal information from corporate databases is a problem, but it is difficult to know specific data regarding who and what the leaked information is about.
In addition, a computer system is a basic system in which a specific authorized operator inputs, deletes, and edits company information and personal information in a database under strict access control by a predetermined operation on a dedicated screen. There are a system system and an information system in which an unspecified number of people refer to a database from a wide variety of applications under relatively loose access control.
上記基幹系システムにおいては、操作する人間が特定され、定型業務として厳密なアクセス制御が行われているため、個人情報流出時においては、流出させた人間を特定することが可能であり、流出した情報を確認することも可能である。
一方、情報系システムは、利用者が不特定多数であり、社内外から利用されて多様な業務に利用されることから、アクセス権限を基幹系システムのように厳密に規定することが困難である。
さらに、参照された個人情報の取得機能をデータベースをアクセスするアプリケーションの機能として実装することも技術的に可能であるが、情報系システムは、大量のデータを検索対象とすることと、非定形業務であることから上記アプリケーションの変更が頻繁にあることから、性能及び保守性の面からアプリケーションによる解決は困難である。
In the above core system, the person to be operated is identified and strict access control is performed as a routine work. Therefore, when personal information is leaked, it is possible to identify the leaked person and it was leaked It is also possible to check the information.
On the other hand, the information system has an unspecified number of users, and it is used from a variety of internal and external operations, so it is difficult to strictly define access authority like a core system. .
In addition, it is technically possible to implement the function of acquiring the referenced personal information as a function of an application that accesses the database. However, the information system can search a large amount of data and perform non-standard operations. Therefore, since the application is frequently changed, it is difficult to solve by the application in terms of performance and maintainability.
上述の問題を解決するために、データベースに対して、ファイルアクセスの操作の履歴を作成するとき、事前に履歴を作成すべき条件を定め、データの条件式にあう履歴を蓄積していく手法がある(例えば、特許文献1参照)。
また、予め設定した条件句を追加することにより、この条件句を含むSQL文を記憶領域に記録しておく手法もある。
There is also a method of recording a SQL sentence including this conditional phrase in a storage area by adding a preset conditional phrase.
しかしながら、上述した従来のシステムには、アクセスの履歴が、「誰が」,「いつ」,どの「テーブル」にアクセスしたかを示すにすぎず、テーブルのどのレコードにアクセスしたかまでを把握することができないという問題がある。
また、従来のシステムには、SQL文を記憶しておき、「誰が」,「いつ」アクセスしのかを検出することは可能であるが、データベースのデータが常に変更されることを考えると、アクセスされた時点に、テーブルのどのレコードにアクセスしたかまでを把握することができない。
However, in the above-mentioned conventional system, the access history only indicates “who”, “when”, and “table”, and it knows which record in the table is accessed. There is a problem that can not be.
In addition, it is possible to store the SQL statement in the conventional system and detect “who” and “when” access, but considering that the data in the database is constantly changed, It is not possible to know which record in the table was accessed at the time when the record was made.
本発明は、このような事情に鑑みてなされたもので、データベースのアクセスの履歴において、「誰が」,「いつ」,テーブルのどの「レコード」にアクセスしたかを容易に検出することが可能なデータベースセキュリティシステムを提供することを目的とする。 The present invention has been made in view of such circumstances, and it is possible to easily detect “who”, “when”, and “record” of a table in a database access history. The object is to provide a database security system.
本発明のデータベースセキュリティシステムは、複数のデータ項目各々に対応してデータが格納されているデータベースのセキュリティを監査するデータベースセキュリティシステムであり、このデータベースをアクセスしたSQL文を構文解析して、参照するデータ項目を抽出する項目抽出部と、この抽出されたデータ項目が監査対象の監査データ項目に含まれているか否かの判定を行うデータ項目判定部と、前記判定結果により、監査データ項目が含まれていることが検出されたSQL文を、アクセス履歴として格納するSQL文格納部と、SQL文格納部に格納されたSQL文を実行し、実行結果の参照データを参照データ記憶部に格納するSQL監査実行部とを有し、前記データ項目判定部が予め設定された時刻となるとデータベースに対するアクセス制御を停止させ、SQL監査実行部が同日に前記SQL文格納部に格納されたSQL文の実行を行うことを特徴とする。 The database security system of the present invention is a database security system that audits the security of a database in which data is stored corresponding to each of a plurality of data items. The SQL statement that accesses this database is parsed and referenced. An item extraction unit that extracts a data item, a data item determination unit that determines whether or not the extracted data item is included in the audit data item to be audited, and an audit data item is included depending on the determination result The SQL statement storage unit that stores the detected SQL statement as an access history and the SQL statement stored in the SQL statement storage unit are executed, and the reference data of the execution result is stored in the reference data storage unit possess a SQL auditing execution unit, the data item determining unit becomes a preset time when the database It stops the access control to, SQL auditing execution unit and performing the execution of the stored SQL statement to the SQL sentence storage unit on the same day.
本発明のデータベースセキュリティシステムは、所定のセキュリティ管理対象である前記監査データ項目が設定されているデータ項目設定部を有することを特徴とする。 The database security system according to the present invention includes a data item setting unit in which the audit data item which is a predetermined security management target is set .
本発明のデータベースセキュリティ方法は、複数のデータ項目各々に対応してデータが格納されているデータベースのセキュリティを監査するデータベースセキュリティ方法であり、このデータベースをアクセスしたSQL文を構文解析して、参照するデータ項目を抽出する項目抽出過程と、この抽出されたデータ項目が監査対象の監査データ項目に含まれているか否かの判定を行うデータ項目判定過程と、前記判定結果により、監査データ項目が含まれていることが検出されたSQL文を、アクセス履歴として格納するSQL文格納過程と、SQL文格納部に格納されたSQL文を実行し、実行結果の参照データを参照データ記憶部に格納するSQL監査実行過程とを有し、前記データ項目判定過程において予め設定された時刻となるとデータベースに対するアクセス制御が停止され、SQL監査実行部過程にて同日に前記SQL文格納部に格納されたSQL文の実行が行われることを特徴とする。 The database security method of the present invention is a database security method for auditing the security of a database in which data is stored corresponding to each of a plurality of data items. The SQL statement that accesses this database is parsed and referenced. An item extraction process for extracting a data item, a data item determination process for determining whether or not the extracted data item is included in an audit data item to be audited, and an audit data item depending on the determination result The SQL statement storage process for storing the SQL statement detected as being an access history and the SQL statement stored in the SQL statement storage unit are executed, and the reference data of the execution result is stored in the reference data storage unit possess a SQL auditing execution process, when it comes to the preset time in the data item determination process de Access control is stopped for database, characterized in that the same day the SQL sentence storage section to execute the stored SQL statement is performed in SQL auditor unit process.
本発明のプログラムは、複数のデータ項目各々に対応してデータが格納されているデータベースのセキュリティを監査するデータベースセキュリティプログラムであり、このデータベースをアクセスしたSQL文を構文解析して、参照するデータ項目を抽出する項目抽出処理と、この抽出されたデータ項目が監査対象の監査データ項目に含まれているか否かの判定を行うデータ項目判定処理と、前記判定結果により、監査データ項目が含まれていることが検出されたSQL文を、アクセス履歴として格納するSQL文格納処理と、SQL文格納部に格納されたSQL文を実行し、実行結果の参照データを参照データ記憶部に格納するSQL監査実行処理とを有し、前記データ項目判定処理において予め設定された時刻となるとデータベースに対するアクセス制御が停止され、SQL監査実行部処理にて同日に前記SQL文格納部に格納されたSQL文の実行するコンピュータが実行可能なプログラムである。 Profile grams of this invention is a database security program to audit the security of the database that the data corresponding to the plurality of data items each being stored, the SQL statements that accessed the database parses, reference An item extraction process for extracting a data item, a data item determination process for determining whether or not the extracted data item is included in the audit data item to be audited, and an audit data item depending on the determination result SQL statement storage processing for storing the detected SQL statement as an access history, and the SQL statement stored in the SQL statement storage unit are executed, and the reference data of the execution result is stored in the reference data storage unit to possess a SQL auditing execution process, when it comes to the preset time in the data item determination processing database Access control for is stopped, which is the profile grams executable execution computer is SQL statements stored stored SQL statements section on the same day at SQL auditor unit process.
以上説明したように、本発明のデータベースセキュリティシステムによれば、アクセスされた時点のデータベースを、実際にアクセスされたSQL文を用い、参照されるデータを参照データ記憶部に、このSQL文と対応させて格納しておくため、「誰が」,「いつ」,テーブルのどの「レコード」を参照したかがわかるため、個人情報を流出された人間と、実際に流出した個人情報とを明確に特定することができるという効果が得られる。 As described above, according to the database security system of the present invention, the database at the time of access is used by using the actually accessed SQL statement, and the referenced data is associated with this SQL statement in the reference data storage unit. Since it is stored, it is possible to know who referred to “who”, “when”, and which “record” in the table, so it is possible to clearly identify the person whose personal information was leaked and the personal information that was actually leaked The effect that it can do is acquired.
以下、本発明の一実施形態によるデータベースセキュリティシステムを利用したデータベース検索システムを図面を参照して説明する。
図1は同実施形態の構成を示すブロック図である。
この図において、情報系システム1は、会社内の不特定多数のユーザが各々所有する端末2と、会社の全部署の業務に関連するデータが記憶されたデータベース3と、端末2がデータベース3におけるデータの検索等を行うときに、データベース3に対する複数の端末2からのアクセスを制御するアクセス制御部4と、データベースセキュリティシステム5とを有している。
Hereinafter, a database search system using a database security system according to an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a block diagram showing the configuration of the embodiment.
In this figure, an
基幹系システム6は、従来例においても述べたように、各部署毎に設置され、許可されたオペレータのみが操作を行うことができる端末7と、データベース3と同様の構成であり、会社の全部署の業務に関連するデータが記憶されたデータベース8と、許可されたオペレータからのアクセスであることを検出し、予め決められた内容のアクセス処理を、データベース8に対して行うアクセス制御部9とを有している。
上記オペレータは、データベース8に対して、新しいデータの格納と、記憶されているデータの編集及び削除とを、決められたフォーマット(表示画面の入力欄へのデータ入力や選択など)で行う。
As described in the conventional example, the
The operator stores new data in the
基幹系システム6においては、例えば、営業部において顧客情報と販売実績とのデータの処理、資材部における資材の納入先及び納入実績の処理、また人事部において社員の個人情報などのデータ処理が、決められたフォーマットの入力画面から、許可されたオペレータが画一的に処理していくことなる。
一方、情報系システム1においては、例えば、企画部などが会議に使用するバックデータとして、営業部の作成した顧客情報と販売実績とを用い、表計算ソフトを利用して、今後の製品開発などの計画を建てる場合、データベース3から顧客の個人情報が検索され、参照されることになる。
In the
On the other hand, in the
また、データベース8の書き換えられた内容は、データベース8への操作が終了した後に、データベース3へ反映、すなわちデータベース8とデータベース3との同期処理が行われる。
例えば、データベース3及び8が使用されていない夜間に、上記同期処理が行われる。
このため、データベース3は、前日のデータベース8のデータ内容が反映されて、格納されていることになる。
The rewritten content of the
For example, the synchronization process is performed at night when the
For this reason, the
上記データベースセキュリティシステム5は、項目抽出部10、データ項目設定部11、データ項目判定部12、SQL文格納部13、SQL監査実行部14及び参照データ記憶部15を有している。
項目抽出部10は、端末2からデータベース3をアクセスするSQL文を構文解析し、セレクト文に記載されている検索対象のデータ項目を抽出する。
データ項目設定部11は、あらかじめ流出されたときに問題となるデータ項目が、監査対象の監査データ項目として記憶されている。
ここで、監査データ項目としては、名前、住所、電話番号、メールアドレス,性別、所属、好みの食べ物、病歴等の個人情報がある。
The database security system 5 includes an item extraction unit 10, a data
The item extraction unit 10 parses an SQL statement that accesses the
The data
Here, the audit data items include personal information such as name, address, telephone number, e-mail address, gender, affiliation, favorite food, and medical history.
データ項目判定部12は、項目抽出部10の抽出したデータ項目と、データ項目設定部11に設定されている監査データ項目とを比較して、同一の項目があるか否かの判定を行1、同一の項目が存在することを検出した場合、このデータ項目の存在するSQL文を、SQL文格納部13に格納する。
SQL監査実行部14は、所定の時間、例えば、すなわちデータベース8とデータベース3との同期処理の行われる時刻より前の時刻に、SQL文格納部13に格納されているSQL文を順次実行して、データベース3をアクセスし、データ項目に対応して検索された参照データを参照データ記憶部15に格納する。
The data
The SQL
次に、図1及び図2を参照して、本発明の一実施形態によるデータベースセキュリティシステムの動作を説明する。図2は上記データベースセキュリティシステムの動作例を示すフローチャートである。
まず、日中の処理について、図2(a)のフローチャートを参照して説明する。
ステップS1において、情報系システム1において、ユーザがいずれかの端末2から、表計算ソフトなどのアプリケーションソフトを利用し、データベース3から顧客の個人情報の検索を行う。
ステップS2において、項目抽出部10は、アクセス制御部4からデータベース3を生御するためのSQL文を入力し、構文解析を行って、SQL文のセレクト文に記述されている検索対象のデータ項目を抽出する。
Next, the operation of the database security system according to the embodiment of the present invention will be described with reference to FIGS. FIG. 2 is a flowchart showing an operation example of the database security system.
First, the daytime process will be described with reference to the flowchart of FIG.
In step S <b> 1, in the
In step S2, the item extraction unit 10 inputs an SQL statement for managing the
次に、ステップS3において、データ項目判定部12は、項目抽出部10の抽出したデータ項目と、データ項目設定部12に設定されている監査データ項目との比較を行う。
ここで、データ項目設定部12には、図3に示す構成のデータ項目のテーブルが記憶されており、監査フラグ欄に「○」印のマークが記入されているデータ項目が監査対象の監査データ項目として定義され、「×」印のマークが記入されているデータ項目が監査対象でないことを示している。
この監査フラグの記入は、セキュリティポリシの規定に伴い、セキュリティ監査を行う担当者、すなわちデータベースセキュリティシステムの管理者により、データ項目設定部12を制御することで任意に行われる。
Next, in step S <b> 3, the data
Here, the data
The entry of the audit flag is arbitrarily performed by controlling the data
次に、ステップS4において、データ項目判定部12は、抽出されたデータ項目のいずれか一つでも、監査対象の監査データ項目と一致するものを検出した場合、処理をステップS5に進め、ステップS5において、監査データ項目と一致する検索対象のデータ項目を有するSQL文をそのままの構成でSQL文格納部13へ格納する。
一方、データ項目判定部12は、抽出されたデータ項目のいずれもが監査対象の監査データ項目と一致しないことを検出した場合は、ステップS1に戻り、SQL文からの監査データ項目検出処理を継続する。
Next, in step S4, if any one of the extracted data items is detected and matches with the audit data item to be audited, the data
On the other hand, when the data
次に、夜間の処理について図2(b)のフローチャートを参照して説明する。この処理は、予め設定された所定の時刻に開始される。
ステップS6において、データ項目判定部12は、アクセス制御部4に対して、情報系システム1のアクセス制御の停止時間であれば(上記予め設定された所定の時刻)、端末2からのデータベース3に対するデータベースアクセスを終了させ、処理をステップS7へ進める。
次に、ステップS7において、SQL監査実行部14は、データベース3の参照履歴としてSQL文格納部13に記憶されているSQL文を、順次実行する。
Next, night processing will be described with reference to the flowchart of FIG. This process is started at a predetermined time set in advance.
In step S6, if the data
Next, in step S <b> 7, the SQL
そして、ステップS8において、SQL監査実行部14は、実行したSQL文毎に、実行結果を、参照データとして、例えば、図4に示すフォーマットで、参照データ記憶部15に格納する。
ここで、参照データとしては、図4に示すように、各SQL文毎に、このデータの識別番号と、取得日時と、データの参照を行ったユーザのID(クライアントID)と、参照が行われた端末のIDと、参照に使われたSQL文(テキストデータ)と、このSQL文で実際に読み出された各データ項目のデータとか示されている。
In step S8, the SQL
Here, as the reference data, as shown in FIG. 4, for each SQL sentence, the identification number of this data, the acquisition date and time, the ID of the user who referred to the data (client ID), and the reference are performed. The terminal ID, the SQL sentence (text data) used for reference, and the data of each data item actually read by the SQL sentence are shown.
次に、ステップS9において、SQL監査実行部14は、SQL文格納部13に記憶されているSQL文全てを実行し、参照データの取得を終了すると、アクセス制御部4及びアクセス制御部8に取得終了を通知する。
これにより、アクセス制御部4及びアクセス制御部8は、データベース8の変更をデータベース3に反映させ(コピーして)、格納されているデータの同期をとる。
Next, in step S9, the SQL
Thereby, the access control unit 4 and the
上述したように、本発明のデータベースセキュリティシステムは、実際に参照に使用されたSQL文により、参照された日と同一日において、すなわち、データベースのデータ内容が変更される前に、参照データを監査履歴として、参照データ記憶部15に、参照したユーザや端末を識別するデータとともに残しておくため、個人情報の流出による漏洩があった場合に、「いつ」、「誰が」そしてどの「レコード(誰の個人情報)」が漏洩されたかを明確に把握することが可能となる。
As described above, the database security system of the present invention audits reference data on the same day as the date of reference, that is, before the data content of the database is changed, by the SQL statement actually used for reference. As the history, it is stored in the reference
また、本発明のデータベースセキュリティシステムは、SQL文において、流出しては困るデータ項目を監査データ項目として、監査フラグで設定及び非設定に容易に変更することができ、また監査項目データのみを参照データ記憶部15で記憶させるようにすれば、データ容量を少なくすることができる。
この参照データ記憶部15に、参照データを記憶しているのは、永久に保存することは非現実的であるため、流出したことが判明する期間として、例えば、6ヶ月間などの保持期間を設ける。
In addition, the database security system of the present invention can easily change a data item that is difficult to leak as an audit data item to be set or not set by an audit flag in the SQL statement, and refers only to the audit item data. If data is stored in the
The reference data is stored in the reference
なお、図1におけるデータベースセキュリティシステムの機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、個人情報の監査の処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 1 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into the computer system and executed, whereby personal information is recorded. The audit process may be performed. The “computer system” here includes an OS and hardware such as peripheral devices. The “computer system” includes a WWW system provided with a homepage providing environment (or display environment). The “computer-readable recording medium” refers to a storage device such as a flexible medium, a magneto-optical disk, a portable medium such as a ROM and a CD-ROM, and a hard disk incorporated in a computer system. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
1…情報系システム
2,7…端末
3,8…データベース
4,9…アクセス制御部
5…データベースセキュリティシステム
10…項目抽出部
11…データ項目設定部
12…データ項目判定部
13…SQL文格納部
14…SQL監査実行部
15…参照データ記憶部
DESCRIPTION OF
Claims (4)
このデータベースをアクセスしたSQL文を構文解析して、参照するデータ項目を抽出する項目抽出部と、
この抽出されたデータ項目が監査対象の監査データ項目に含まれているか否かの判定を行うデータ項目判定部と、
前記判定結果により、監査データ項目が含まれていることが検出されたSQL文を、アクセス履歴として格納するSQL文格納部と、
SQL文格納部に格納されたSQL文を実行し、実行結果の参照データを参照データ記憶部に格納するSQL監査実行部と
を有し、
前記データ項目判定部が予め設定された時刻となるとデータベースに対するアクセス制御を停止させ、SQL監査実行部が同日に前記SQL文格納部に格納されたSQL文の実行を行うことを特徴とするデータベースセキュリティシステム。 A database security system for auditing the security of a database storing data corresponding to each of a plurality of data items,
An item extraction unit that parses the SQL statement accessing the database and extracts a data item to be referenced;
A data item determination unit for determining whether or not the extracted data item is included in the audit data item to be audited;
An SQL statement storage unit that stores, as an access history, an SQL statement that is detected as containing an audit data item based on the determination result;
Run the SQL statements stored in the SQL sentence storage section, possess a SQL auditing execution unit for storing the reference data of the execution results in the reference data storage unit,
Database security characterized in that when the data item determination unit reaches a preset time, access control to the database is stopped, and the SQL audit execution unit executes the SQL statement stored in the SQL statement storage unit on the same day. system.
このデータベースをアクセスしたSQL文を構文解析して、参照するデータ項目を抽出する項目抽出過程と、
この抽出されたデータ項目が監査対象の監査データ項目に含まれているか否かの判定を行うデータ項目判定過程と、
前記判定結果により、監査データ項目が含まれていることが検出されたSQL文を、アクセス履歴として格納するSQL文格納過程と、
SQL文格納部に格納されたSQL文を実行し、実行結果の参照データを参照データ記憶部に格納するSQL監査実行過程と
を有し、
前記データ項目判定過程において予め設定された時刻となるとデータベースに対するアクセス制御が停止され、SQL監査実行部過程にて同日に前記SQL文格納部に格納されたSQL文の実行が行われることを特徴とするデータベースセキュリティ方法。 A database security method for auditing the security of a database storing data corresponding to each of a plurality of data items,
An item extraction process for parsing the SQL statement accessing this database and extracting the referenced data item;
A data item determination process for determining whether or not the extracted data item is included in the audit data item to be audited;
An SQL statement storage process for storing, as an access history, an SQL statement that is detected as containing an audit data item according to the determination result;
Run the SQL statements stored in the SQL sentence storage section, possess a SQL auditor process of storing the reference data of the execution results in the reference data storage unit,
Access control to the database is stopped at a preset time in the data item determination process, and the SQL statement stored in the SQL statement storage unit is executed on the same day in the SQL audit execution unit process. Database security method to do.
このデータベースをアクセスしたSQL文を構文解析して、参照するデータ項目を抽出する項目抽出処理と、
この抽出されたデータ項目が監査対象の監査データ項目に含まれているか否かの判定を行うデータ項目判定処理と、
前記判定結果により、監査データ項目が含まれていることが検出されたSQL文を、アクセス履歴として格納するSQL文格納処理と、
SQL文格納部に格納されたSQL文を実行し、実行結果の参照データを参照データ記憶部に格納するSQL監査実行処理と
を有し、
前記データ項目判定処理において予め設定された時刻となるとデータベースに対するアクセス制御が停止され、SQL監査実行部処理にて同日に前記SQL文格納部に格納されたSQL文の実行するコンピュータが実行可能なプログラム。 A database security program for auditing the security of a database storing data corresponding to each of a plurality of data items,
An item extraction process that parses the SQL statement accessing this database and extracts the data item to be referenced;
A data item determination process for determining whether or not the extracted data item is included in the audit data item to be audited;
An SQL statement storage process for storing, as an access history, an SQL statement that is detected to contain an audit data item based on the determination result;
Run the SQL statements stored in the SQL sentence storage section, possess a SQL auditor process of storing reference data of the execution results in the reference data storage unit,
When the time set in advance in the data item determination processing is reached, access control to the database is stopped, and the SQL audit execution unit processing executes a program that can be executed by a computer that executes the SQL statement stored in the SQL statement storage unit on the same day. Russia grams.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004091927A JP3902188B2 (en) | 2004-03-26 | 2004-03-26 | Database security system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004091927A JP3902188B2 (en) | 2004-03-26 | 2004-03-26 | Database security system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005276078A JP2005276078A (en) | 2005-10-06 |
JP3902188B2 true JP3902188B2 (en) | 2007-04-04 |
Family
ID=35175657
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004091927A Expired - Lifetime JP3902188B2 (en) | 2004-03-26 | 2004-03-26 | Database security system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3902188B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4786295B2 (en) * | 2005-10-27 | 2011-10-05 | みずほ情報総研株式会社 | File management server, file management method, and file management program |
JP5598017B2 (en) * | 2010-02-24 | 2014-10-01 | 富士通株式会社 | Judgment program, method and apparatus |
CN112749410B (en) * | 2021-01-08 | 2022-02-25 | 广州锦行网络科技有限公司 | Database security protection method and device |
-
2004
- 2004-03-26 JP JP2004091927A patent/JP3902188B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2005276078A (en) | 2005-10-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10482134B2 (en) | Document management techniques to account for user-specific patterns in document metadata | |
US9904798B2 (en) | Focused personal identifying information redaction | |
JP4608522B2 (en) | File management system | |
US7599929B2 (en) | Document use tracking system, method, computer readable medium, and computer data signal | |
Higgins | The lifecycle of data management | |
US8224839B2 (en) | Search query extension | |
US20220100899A1 (en) | Protecting sensitive data in documents | |
JP2008129821A (en) | Retrieval system, and method of displaying retrieved result in the retieval system | |
JPWO2009017135A1 (en) | Information providing support device and information providing support method | |
KR20120044002A (en) | Method for analysis and validation of online data for digital forensics and system using the same | |
JP5245143B2 (en) | Document management system and method | |
JP3902188B2 (en) | Database security system | |
JP6596560B1 (en) | Suggested keyword providing system, method, and program | |
KR101742041B1 (en) | an apparatus for protecting private information, a method of protecting private information, and a storage medium for storing a program protecting private information | |
US20060218186A1 (en) | Automated data processing using optical character recognition | |
Abbiati et al. | Merging datasets of CyberSecurity incidents for fun and insight | |
US20110145202A1 (en) | Archiving system | |
KR102113680B1 (en) | Big data de-identification system and method | |
JP2021103592A (en) | Document management device and method for managing document | |
JP2009223679A (en) | Electronic document search device and electronic document search program | |
KR20120116295A (en) | Apparatus and method for managing name of document file | |
JP2007299093A (en) | Document management system | |
JP7392452B2 (en) | Rule generation device, information processing system, rule generation method, information processing method, and program | |
JP2006215689A (en) | Information providing system | |
JP5017405B2 (en) | Regulation management device and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060822 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061023 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20061219 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20061227 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3902188 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110112 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110112 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120112 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120112 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130112 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130112 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140112 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |