HIPAAのPHIのMS-SQL監視/監査
現在、新しいHIPAAルールごとにすべてのPHI表示アクティビティを監視および監査できるソリューション(ハードウェアまたはソフトウェアベース)を探しています。本番データベースにはMS-SQLを使用しています。次の要件があります。
- PHIの挿入/更新/削除/ビューを追跡できます
- データベースユーザーとアプリケーションユーザーの両方に対応
- ネットワーク経由でデータベースに直接加えられた変更をキャプチャします(特権ユーザー)
- 複数のサーバーで動作します
他にもあると便利な項目がありますが(実装への影響が少なく、優れたレポート、疑わしい動作の警告)、要件ではありません。
誰かがこれに似たものを達成するソリューションを実装したり、このようなものを提供するベンダーと協力したことがありますか?
SQL Server自体は、データベースとデータを保護および監査するために利用できる多くのコンプライアンスツールを提供します。 SQL Serverサイトには Compliance ページがあり、Microsoftは Complianceホワイトペーパー を作成しました。
さらに、SQL Serverで使用できるサードパーティの監査パッケージは多数あります。 SQL Server auditing HIPAA complianceのような用語のセットを検索すると、 Blackbird Auditor や OmniAudit など、選択できるオプションが豊富になります。製品には明らかに異なる機能セットがあります。特定の基準に最も適合するものを決定する必要があります。
McAfee Database Activity Monitoringは、ネットワーク、ローカル、および内部(ストアドプロシージャ、インフローステートメントなど)のすべてのデータベースアクティビティを完全にカバーします。
すべてのトランザクションと実際にアクセスされるオブジェクトを完全に可視化します。
- ユーザーが1つまたは複数のテーブルを指すビューから選択している場合、監査証跡には、アクセスされている実際のテーブルが含まれます。
- dBAがストアドプロシージャを作成して、一部の選択または更新を実行する場合、DBAはプロシージャによって実行される実際のステートメントも監査します。
http://awards.scmagazine.com/best-database-security-solution-1
Impervaをご覧ください。それはあなたが探しているものをほとんどカバーしており、インラインで、またはエージェントベースのスニファ(実装が簡単)として実行でき、多くのカスタマイズ機能を備えています。しかし、決して安くはありません。要件リストについて:
- sQLプロトコル全体を表示し、監査証跡を作成できます。
- サーバー、データベース、アプリケーションに接続するすべてのユーザーを追跡します。
- 追跡可能な組み込みの特権操作コマンドグループ。
- すべての主要なデータベースシステムをカバーしています。