Techopediaスタッフ、2016年9月14日
まとめ:ホストのエリック・カバナは、このホットテクノロジーのエピソードで、データベース監査と、アナリストのロビンブロアとデズブランフィールド、およびIDERAのブレットマナーレとのコンプライアンスについて説明します。
あなたは現在ログインしていません。ビデオを見るにはログインまたはサインアップしてください。
Eric Kavanagh:ご列席の皆様 、こんにちは。HotTechnologiesにようこそ。 はい、2016年のことです。私たちはこのショーの3年目で、とてもエキサイティングなものです。 今年は揺れ動いています。 これがホストのエリック・カバナです。 今日のトピック–これは素晴らしいトピックであり、多くの業界で非常に率直に言って、多くのアプリケーションがあります-"誰が、何を、どこで、どのように:知りたい理由"。 はい、確かに、私たちはすべてのそのような楽しいことについて話します。 本当にあなたのスライドがあります。Twitter@eric_kavanaghで私を見つけてください。 私はすべての言及を再ツイートし、誰かが私に送ったものはすべて再ツイートしようとします。 それ以外の場合は、そうしてください。
確かに暑いです! ここでのショー全体は、組織と個人が特定の種類のテクノロジーを理解するのを支援するように設計されています。 ここでは、特定の種類のソフトウェア、特定の傾向、または特定の種類の技術を定義する方法として、プログラム全体であるHot Technologiesを設計しました。 その理由は、ソフトウェアの世界では、率直に言って、これらのマーケティング用語がよく出てきて、説明しようとする概念を率直に野郎化することがあるからです。
このショーでは、特定の種類のテクノロジーとは何か、それがどのように機能するか、いつ使用できるか、おそらく使用しないべきかを理解し、可能な限り詳細を提供できるように努めています。 今日は3人のプレゼンターがいます。BloorGroupのチーフアナリスト、Robin Bloor自身です。 データサイエンティストは、オーストラリアのシドニーから地球の反対側にあるデズブランフィールドと、私たちのお気に入りのゲストの1人であるIDERAのセールスエンジニアリングディレクターであるブレットマナーレから電話をかけています。
ここではいくつかのことを言います。誰がどのデータで何をしているのかを理解します。それはガバナンスのようなものですよね。 ヘルスケアや金融サービスなど、これらのドメインに関する業界に関するすべての規制について考える場合、そのようなものは非常に重要です。 たとえば、情報に触れた人、何かを変更した人、アクセスした人、アップロードした人などを知る必要があります。 系統は何ですか、このデータの摂理は何ですか? これらの問題はすべて、さまざまな理由で今後数年間で顕著になり続けるので安心できます。 HIPAA、Sarbanes-Oxley、Dodd-Frankなどのコンプライアンスだけでなく、これらのすべての規制は非常に重要ですが、ビジネスで何を、どこで、いつ、なぜ、どのように行っているかを理解するためにも重要です。 これは良いことです。注意を払っています。
どうぞ、それを取り去ってください、ロビン・ブロア。
Robin Bloor:わかりました、その紹介に感謝します、エリック。 ガバナンスのこの分野は、つまり、ITのガバナンスは2000年の少し後まで聞いた言葉ではなかったと思います。 とにかく、私は、とにかく、進行中のコンプライアンス法があるからだと思うからです。 特にHIPAAとSarbanes-Oxley。 実際にはたくさんあります。 したがって、組織は、法律の下でそれを行う必要があるため、一連のルールと一連の手順が必要であることに気付きました。 それよりずっと前、特に銀行部門では、あなたがどんな銀行、特に国際的な銀行家であるかに応じて従わなければならない様々な取り組みがありました。 バーゼル準拠の全体は、2000年以降の特定の一連のイニシアチブよりもずっと前に始まりました。それはすべてガバナンスにかかっています。 ガバナンスの主題について、誰がデータを取得しているのかを監視することに焦点を当てる序論として話をすると思いました。
データガバナンスは、5年または6年前に考えていたものを見て回っていましたが、定義を見て回っていましたが、まったく明確に定義されていませんでした。 それが実際に何を意味するのかがますます明確になっています。 状況の現実は、特定の制限内で、すべてのデータが実際に以前に管理されていたが、そのための正式なルールがなかったことです。 そのようなことを行うために、特に銀行業界で作成された特別なルールがありましたが、これもコンプライアンスに関するものでした。 何らかの形で、あなたが実際に自分であることを証明します-それは一種のリスクと関連しているので、あなたが実行可能な銀行であったことが証明されました。
今ガバナンスの課題を見ると、それはビッグデータの動きの事実から始まります。 データソースの数が増えています。 もちろん、データ量はそれに関する問題です。 特に、非構造化データを使用して、はるかに多くのことを行い始めました。 分析ゲーム全体の一部であるものになり始めました。 そして、分析のために、データの出所と系統が重要です。 本当に、あらゆる種類のコンプライアンスに関連する何らかの方法でデータ分析を使用するという観点から、あなたは本当にデータがどこから来たのか、そしてそれが何であるのかを知る必要があります。
データ暗号化が問題になり始め、Hadoopに行くとすぐに大きな問題になります。これは、大量のデータを格納するデータレイクのアイデアは、突然、それで。 データの暗号化がより顕著になりました。 認証は常に問題でした。 古い環境、厳密にはメインフレーム環境では、このようなすばらしい境界セキュリティ保護がありました。 認証が本当に大きな問題になることはありませんでした。 後にそれはより大きな問題になりました。そして、私たちがそのような非常に分散された環境を持っているので、それは今はるかに問題です。 データアクセスの監視が問題になりました。 10年ほど前にさまざまなツールが登場したことを覚えているようです。 それらのほとんどはコンプライアンスの取り組みによって推進されたと思います。 そのため、コンプライアンスルール、コンプライアンスレポートもすべて用意されています。
思い浮かぶのは、1990年代に医薬品業界で臨床試験を行っていたときでも、データの出所を証明できる必要があるだけでなく、明らかにしようとしている場合は非常に重要だということです。誰が試されているか、その周囲のコンテキストデータは何かを知るために、さまざまなコンテキストで薬を探し出します。実際にデータを作成したソフトウェアの監査を提供できなければなりませんでした。 意図的または偶然に物事を混乱させていないことを証明するという点で、これは私が今まで見た中で最も厳しいコンプライアンスです。 最近では、特にデータのライフサイクル管理が問題になっています。 これらの多くはうまくやられていないため、これらはすべて挑戦的なものです。 多くの場合、それを行う必要があります。
これは、データピラミッドと呼ばれるものです。 私は以前、これについて少し話しました。 物事を見る非常に興味深い方法だと思います。 データはレイヤーを持つと考えることができます。 必要に応じて、生データは、実際にはほとんど信号または測定、記録、イベント、単一の記録です。 もちろん、トランザクション、計算、および集計によって新しいデータが作成されます。 それらはデータのレベルで考えることができます。 さらに、実際にデータを接続すると、情報になります。 それはより便利になりますが、もちろんそれをハッキングしたり乱用したりする人々に対してより脆弱になります。 実際に、データの構造化を通じて作成され、用語集、スキーマ、オントロジーを含む情報をデータ上で視覚化できると定義しています。 これらの2つの下層は、何らかの方法で処理するものです。 その上に、ルール、ポリシー、ガイドライン、手順からなる知識の層と呼ばれるものがあります。 その一部は、分析で発見された洞察によって実際に作成される場合があります。 それらの多くは実際にあなたが順守しなければならないポリシーです。 これは、必要に応じてガバナンスの層です。 これは、何らかの方法で、このレイヤーが適切に設定されていない場合、以下の2つのレイヤーが管理されていない場所です。 これについての最後のポイントは、人間にのみ存在するものを理解することです。 ありがたいことに、コンピューターはまだそれを行うことができませんでした。 そうでなければ、私は失業するでしょう。
ガバナンスの帝国–私はこれをまとめると、約9か月前、おそらくそれよりずっと前だったに違いないと思います。 基本的には強化しましたが、ガバナンスを懸念し始めるとすぐに、企業のデータハブに関して、データリザーバー、データレイクリソースだけでなく、さまざまな種類の一般的なサーバーもありました。専門のデータサーバー。 これらすべてを管理する必要がありました。 実際にさまざまなディメンション(データセキュリティ、データクレンジング、メタデータ検出、メタデータ管理、ビジネス用語集の作成、データマッピング、データ系統、データライフサイクル管理)を確認すると、パフォーマンス監視管理、サービスレベル管理、実際にはガバナンスに関連付けられていないかもしれませんが、特定の-より多くのデータフローでより速くより速い世界に行き、実際に特定のパフォーマンスで何かをすることが実際に必要であり、何よりも運用のルールになり始めます。
コンプライアンスの成長の観点から要約すると、これは長年にわたって見られましたが、一般的なデータ保護は1990年代にヨーロッパで実際に行われました。 それ以降、より洗練されたものになりました。 その後、これらすべてが導入され始め、より洗練されたものになりました。 GRC、つまりガバナンスのリスクとコンプライアンスは、銀行がバーゼルを行ってから続いています。 ISOは、さまざまな種類の操作の標準を作成しています。 私はITに携わっていることをずっと知っています。長い間、米国政府はさまざまな法律の制定に特に積極的です。SOX、Gramm-Leach-Bliley、HIPAA、FISMA、FERPAなどがあります。 また、非常に便利な多くの標準、特にセキュリティ標準を作成している素晴らしいNIST組織もあります。 ヨーロッパのデータ保護法には地域的な違いがあります。 たとえば、ドイツの個人データでできることは、スロバキア共和国、スロベニア、またはどこでもできることとは異なります。 彼らは最近紹介しました-そして、私は面白いと思うのでこれについて言及したいと思いました-ヨーロッパは忘れられる権利の考えを紹介しています。 つまり、公開されているデータには実際には個人データであるという制限の法律があるはずです。 それは面白いと思います。 ITの観点からすると、効果的な法律になり始めると、非常に困難になります。 要約すると、ITデータと管理は急速に進化しているため、ガバナンスも迅速に進化する必要があり、ガバナンスのすべての分野に適用されます。
私はボールをデズに渡すと言った。
エリック・カバナ:はい、デズ・ブランチフィールド、それを取り去ってください。 ロビン、私はあなたと一緒だ、男、私は忘れられるこの権利がどのように展開するかを見たいと思っています。 私はそれが単に挑戦的ではなく基本的に不可能になると思う。 それは政府機関によって行使されるのを待っている違反に過ぎません。 デズ、それを奪って。
Dez Blanchfield:それは確かであり、それは別の議論のトピックです。 ここアジア太平洋地域、特にオーストラリアでは、通信事業者とISPがインターネットに関連するすべてのログを記録し、興味のある人が何か間違ったことをした場合に記録して逆流できるようにする必要があるオーストラリアでは、非常に似たような課題があります。 それは法律であり、それに従う必要があります。 課題は、米国のGoogleの誰かが検索履歴などを削除するように言われるかもしれないように、ヨーロッパの法律、特にドイツのプライバシー法を遵守することかもしれません。 オーストラリアでは、代理店があなたを調べたい場合、通信事業者は通話の詳細と検索履歴を提供できる必要がありますが、これは困難ですが、私たちが住んでいる世界です。その理由はたくさんあります。 ただ私に話を聞かせてください。
タイトルページを意図的に読みにくくしました。 あなたは本当にそのテキストを一生懸命に見なければなりません。 ルール、仕様、コントロール、ポリシー、標準、または法律のセットに準拠し、愚かな、厄介な背景を持つコンプライアンス。 それは、詳細を取得し、オーバーレイされているものから情報を引き出すのが難しいので、データベース、スキーム、またはVisioのモックアップのいずれかであるため、本当に見づらいからです。 それがコンプライアンスのようなものだと感じています。 詳細を掘り下げて、準拠していることを確認できるようにするために必要な関連情報を引き出すことは非常に困難です。 それについて報告し、監視し、テストします。
実際、「従順ですか?」という質問を私たちが自問するとき、これを視覚化するための本当に良い方法を考えました。 "本気ですか?" 「まあ、それを証明せよ!」 たぶんもう少しアングロセルティックな、本当に楽しいものがありますが、それは世界中にアメリカに進出していると確信しているので、「Wally's Wally?」 ウォーリーは、本の形でこれらの漫画の絵に入る小さなキャラクターです。 通常、A3以上の非常に大規模な画像。 だから、テーブルサイズの図面。 彼はビーニーと赤白のストライプのシャツを着ている小さなキャラクターです。 ゲームのアイデアは、この写真を見て、円を見て回ってウォーリーを見つけようとすることです。 彼はどこかにその写真にあります。 コンプライアンスを発見、説明、報告する方法を考えるとき、多くの点で「Wally's Wally」をプレイするようなものです。その写真を見ると、キャラクターを見つけることはほとんど不可能です。 子どもたちはそれに何時間も費やし、昨日私はそれを自分でするのがとても楽しかったです。 それを見ると、これらの漫画には、縞模様のビーニーとジャージー、またはウールのトップスのウォーリー衣装の同様のピースを故意にそこに置いた人々がたくさんいます。 しかし、それらは誤検知に変わります。
これは、コンプライアンスに関して私たちが抱えている同様の課題です。 私たちが物事を見ているとき、時にはそうであると私たちが考えるものは、まったくそうではありません。 誰かがデータベースにアクセスする可能性があり、そのデータベースにアクセスすることになっていますが、その使用方法は予想とは少し異なります。 私たちはそれを見る必要があると判断するかもしれません。 調べてみると、実際にそれは非常に有効なユーザーです。 彼らはただ風変わりなことをしているだけです。 たぶん、それはPCの研究者か知っている人でしょう。 他のケースでは、逆の場合があります。 現実、私が再び前進すると、ウォーリーがあります。 この高解像度で本当に一生懸命に見えた場合、実際に適切な服装をしているキャラクターが1人います。 他のすべては、ただ似ていると感じているだけです。 コンプライアンスはそのように感じます。 私が知っているほとんどの人は、ビジネスの管理とコンプライアンスとポリシーの分野で働いています。 テクノロジーであろうと、金融であろうと、運用であろうと、リスクであろうと、あらゆる分野で。 写真でワリーを見るのは非常に難しいことが多く、木や木が見えます。
コンプライアンスのようなことを考えるとき、私たちが自問する質問は、「大したことです。コンプライアンスを完全に満たしていない場合、何がうまくいかないのでしょうか?」です。 特にデータベースとデータへのアクセスの制御に関する今日の議論の文脈で、非常に短い簡潔な形で何がうまくいかないかについての非常に現実的なモーニングコールの例を提供します。 データ侵害について考え、データ侵害についてよく知っている人は、メディアでそれらを聞きます。人々はそれが市場だと思っているので、私たちはやめたり笑ったりします。 それは個人的なものです。 それは、アシュリー・マディソンとの関係や結婚以外の日付を取得しようとしている人々です。 それは軽率なアカウントです。 これらすべてが奇妙なものであるか、ヨーロッパやロシアのISPやホスティング会社がランダムにハッキングされています。 MySpaceやこれらのトップ10のようなものに到達したとき、これらの数字を見るとき、私があなたに理解して欲しいのは、これらのトップ10の侵害における11億人の詳細です。 はい、重複しています。おそらく、MySpaceアカウント、Dropboxアカウント、Tumblrアカウントを持っている人がいますが、10億人に切り上げてみましょう。
過去10年間のトップ10の侵害(ほとんどの場合10年ではない)は、世界の人口の約7分の1を占めていますが、現実的には、人口の約50%がインターネット、10億を超える個人。 これらは、場合によってはコンプライアンスが満たされていないために発生します。 ほとんどの場合、データベースへのアクセスの制御、特定のデータセット、システム、およびネットワークへのアクセスの制御でした。 これは恐ろしい現実チェックです。 それがあなたを怖がらせないなら、トップ10を見ると、これが10億の個人であることがわかります。 LinkedInアカウントを持っている場合、Dropboxアカウントを持っている場合、Tumblrアカウントを持っている場合、またはアドビ製品から購入した場合、または登録済みのダウンロード無料のAdobeビューアを使用している場合。 情報漏えいが原因で、詳細、名、姓、メールアドレス、職場の住所、自宅の住所、クレジットカードなどが実際に存在している可能性があります。それはデータ管理、データガバナンスの形で必ずしもうまく管理されていなかったコントロールのために行われました。
実際に詳しく見てみましょう。 それらの1つの画面があり、そこには約50の何かがあります。 さらに15個あります。約25個あります。これらは、haveibeenpwned.comというWebサイトにリストされているデータ侵害です。 これは、ビジネスのさまざまなフィールド、行、列、およびさまざまなアプリケーションのデータベースのデータに誰がアクセスしたかを制御するという単純なものが適切に管理されていない場合、うまくいかない可能性があります。 これらの組織は現在、データ駆動型です。 ほとんどのデータは何らかの形でデータベースに保存されます。 あなたがそれについて考えるとき、私たちが今見た侵害のリスト、そしてあなたが「うーん、それは非常に現実的だ」と考えて、潜在的にあなたに影響を与えたという意味で、あなたにある意味で少し冷たいシャワーを与えてくれることを願っています。 たとえば、LinkedInの侵害である2012年には、ほとんどの専門家が最近LinkedInアカウントを持っているため、詳細が失われる可能性があります。 彼らは2012年からインターネット上で公開されています。2016年にそのことを伝えられたばかりです。この4年間で情報はどうなりましたか? それはおもしろいし、それについては別に話すことができます。
データベースとシステムの管理-私はよく、これらのことを管理する上で上位5つの課題と考えるものについて話します。 一番上で、私は自分自身の好みの順にこれらをランク付けしていますが、影響の順番でも、一番はセキュリティとコンプライアンスです。 誰がどのシステムに、どのような理由および目的でアクセスできるかを制御するための制御とメカニズム、およびポリシー。 その報告と監視、システムの調査、データベースの調査、実際にレコード、個々のフィールド、レコードにアクセスできるユーザーの確認。
これを非常に単純な形で考えてください。 一例として、銀行業と資産管理について話しましょう。 銀行口座にサインアップするとき、EFTPOSカードの通常の現金口座、または現金口座または小切手口座だけを言ってみましょう。 フォームに入力すると、その紙に非常にプライベートな情報がたくさん入っているか、オンラインで入力してコンピューターシステムに入力されます。 今、マーケティングの誰かがあなたに連絡してあなたにパンフレットを送りたいなら、彼らはあなたの名、姓、あなたの個人的な住所、そしてあなたがコールドコールしたいならあなたの電話番号を見ることを許可されるべきですあなたに何かを売る。 多くの理由で、彼らはおそらくあなたが銀行に持っている合計金額を見るべきではありません。 誰かがリスクの観点からあなたを見ている場合、またはあなたの口座でより良い金利を得るようなことをしようとしている場合、その特定の人はおそらくあなたが銀行に持っているお金の量を見たいと思うでしょう。あなたのお金の利子のリターンの適切なレベルを提供します。 これらの2人の個人には、非常に異なる役割と、それらの役割の非常に異なる理由、およびそれらの役割の目的があります。 その結果、レコード内の異なる情報を表示する必要がありますが、すべてのレコードを表示する必要はありません。
これらは、アカウントの管理に使用されるアプリケーションにある通常の画面またはフォームのさまざまなレポートを制御します。 それらの開発、それらの維持、それらの管理、それらの周りの報告、およびバブルラップのようなものに包まれたガバナンスとコンプライアンスは、すべて非常に大きな挑戦です。 これは、データとシステムを管理する上で一番の課題です。 そのスタックをさらに深く掘り下げて、パフォーマンスと監視、インシデントの検出と対応、システムの管理と管理、およびそれらの周りのコンプライアンス、コンプライアンスからのシステムの設計と開発を行うと、はるかに難しくなります。
リスクを軽減し、セキュリティを改善するという問題全体を管理します。 この分野での私のトップ5の課題(入国時に税関に行く画像が気に入っています)は、パスポートを提示し、チェックアウトし、コンピューターシステムを見て、必要があるかどうかを確認します合格かどうか。 すべきでない場合、彼らは家に戻って次の飛行機にあなたを置きます。 そうでなければ、彼らはあなたを戻して、「休日に来ていますか?あなたはここに観光客ですか?仕事のためにここにいますか?どんな仕事を見ますか?どこに泊まりますか?」のような質問をします。 ?どのくらいの期間に来ますか?費用と費用を賄うのに十分なお金を手に入れましたか?それとも、あなたが住んでいる国のリスクになり、彼らはあなたの世話をしてあなたを養う必要がありますか?
このデータの領域には、データ保護を管理するいくつかの問題があります。 たとえば、データベーススペースでは、データベースバイパスの緩和を検討する必要があります。 データがデータベースにある場合、通常の環境では、システム内にその周りに制御とメカニズムがあります。 データのダンプがより多くのSQLで作成され、テープにバックアップされるとどうなりますか? データベースは未加工の形式でダンプされ、時々バックアップされます。 技術的な理由、開発上の理由で行われることもあります。 DBダンプが取得され、テープにバックアップされたとしましょう。 そのテープを手に入れて復元したらどうなりますか? そして、SQLのデータベースの生のコピーを持っています。 それはMPファイルであり、テキストであり、私はそれを読むことができます。 データベースエンジンを保護せずにデータベースの実際のコンテンツにアクセスできるようになったため、そのダンプに格納されているすべてのパスワードは私を制御できません。 そのため、エンジンに組み込まれているデータベースプラットフォームのセキュリティをコンプライアンスとリスク管理をバイパスして、データを見ることを止めることができます。 開発者、システム管理者である可能性があるため、バックアップに使用するデータベースの完全なダンプを手に入れました。
データの悪用–潜在的に誰かが自分の昇格したアカウントとしてログインし、画面に座って情報を探したり、同様のことをさせたりする可能性があります。 データのアクセスと使用の独自の監査、データまたはデータの変更の表示。 次に、その制御とコンプライアンスに関するレポートが必要です。 トラフィックとアクセスなどを監視し、外部の場所やサーバーから来る脅威をブロックします。 たとえば、データがインターネット上のWebページのフォームを介して表示される場合、それらのSQLインジェクションはファイアウォールと概念制御によって保護されていますか? この背後にある長い詳細なストーリーがあります。 ここでは、データベース内のデータに関するリスクを軽減および管理する際に私たちが考えている、これらの絶対的に基本的なことの一部だけを見ることができます。 テクノロジーのさまざまなレベルのスタックを使用している場合、これらのいくつかを実際に実行するのは比較的簡単です。 より多くのデータとデータベースを取得するにつれて、課題はますます難しくなります。 システムを管理し、システムの使用を監視し、個人のコンプライアンスなど、ロビンが話したことに特に関連する詳細を追跡しなければならない人々にとって、より困難かつ困難です。 個人には、それを順守するコントロールとメカニズムがあります。何か間違ったことをすると、解雇される可能性があります。 私のアカウントでログインすると、それが見えるようになりますが、それは発射可能な犯罪であるはずです。 これで、通常は表示されないはずのデータへのアクセスを許可しました。
個人コンプライアンス、企業コンプライアンス、企業がポリシーとルールを持ち、企業がうまく機能し、利益と投資家や株主への良好なリターンを提供するように自分で設定したコントロールがあります。 その後、米国の規制と法律について述べたように、多くの場合、市全体、州全体、または全国の連邦政府があります。 次に、グローバルなものがあります。 Sarbanes-Oxleyのような、データとシステムを保護する方法を考え出す2人の個人の世界でのより大きな事件のいくつか。 ヨーロッパにはバーゼルがあり、特に証券取引所やクレデンシャルプラットフォーム、そして個人レベルまたは企業レベルでのプライバシーを中心に、オーストラリアにはあらゆる種類の統制があります。 ロビンが持っていたサイトの1つで見たように、これらのそれぞれが積み上げられると、それらはほとんど不可能に近い山になります。 コストが高くなり、制御を測定する人間のように、元の従来のアプローチは規模が大きすぎるため適切なアプローチではなくなりました。
私たちは、コンプライアンスが私が現在常時問題と呼んでいるものであるシナリオを持っています。 それは、私たちが国の状態を見直し、コンプライアンスと管理を支援する時点を潜在的に、月ごと、四半期ごと、または年ごとに持っていたということです。 特定のユーザーが特定のアクセス権を持ち、その権限に応じて特定のアクセス権がないことを確認します。 今では、物事が動くものの速度、物事が変化するペース、私たちが取り組んでいる規模の場合です。 コンプライアンスは常に問題であり、世界的な金融危機は、関連する制御、およびセキュリティとコンプライアンスの対策が、特定の行動の暴走する貨物列車のシナリオを潜在的に回避できた一例にすぎません。 それが破綻し、破産することを事実上知っているだけで、世界中の状況を作り出すだけです。 そのためには、適切なツールが必要です。 列車に人間を投げて、体を投げることはもはや有効なアプローチではありません。スケールが大きすぎ、物が動きすぎているからです。 今日の議論は、これに適用するツールの種類についてです。 特に、IDERAが提供する必要のあるツール。 それを念頭に置いて、Bulletに手渡して彼の資料を調べ、彼らのアプローチと、この問題を解決するために今持っているツールを示します。
それで、バレット、お渡しします。
Bullett Manale:すばらしいですね、ありがとう。 いくつかのスライドについてお話ししたいと思います。また、特にコンプライアンスの状況を支援するために、SQL Serverデータベースに使用する製品を紹介したいと思います。 本当に、多くの場合の課題-これらのいくつかをスキップします-これは製品のポートフォリオであり、私はそれを非常に迅速に行います。 この製品が実際にどこに対処し、コンプライアンスにどのように関連するかという点で、私は常に最初のスライドのようにこれを引き上げます。なぜなら、それは一種の汎用的なものだからです。「ねえ、DBAの責任は何ですか?」ユーザーアクセスを制御および監視し、レポートを生成することもできます。 それはあなたが監査人と話をしているときに結びつきます。そのプロセスがどれほど難しいかは、自分でやるか、サードパーティを使うかによって異なります支援するツール。
一般的に、データベース管理者と話をするとき、多くの場合、監査に関与したことはありません。 本当にやらなければならないことを彼らに教えなければなりません。 満たす必要のあるコンプライアンスのタイプに関連し、そのレベルのコンプライアンスに実際に適用されているルールに従っていることを証明できる。 多くの人は最初はそれを理解していません。 彼らは、「ああ、私が従順になるツールを買うだけでいい」と考えています。 現実はそうではありません。 私たちの製品が魔法のように、あなたが知っているように、簡単なボタンを押すと、あなたがコンプライアンスを守っていることを確認する能力を与えたと言えると思います。 現実には、ユーザーがデータにアクセスする方法の観点から、コントロールに関して環境を設定する必要があり、それはすべて、所有しているアプリケーションで解決する必要があります。 機密データが保存されている場所、規制要件の種類。 また、すべてのルールに従っていることを確認できるように、通常は内部コンプライアンス担当者と一緒に作業する必要もあります。
これは本当に複雑に聞こえます。 すべての規制要件を見ると、そうなると思いますが、現実にはここに共通点があります。 今日お見せするツール、コンプライアンスマネージャー製品の場合、状況のプロセスは、何よりもまず、関連する監査証跡データを収集する必要があることです。機密性の高いデータベース内のデータの場所。 全部集められますよね? 外出して、このデータベースで発生するすべてのトランザクションを収集したいと言うことができます。 現実には、おそらく機密データに実際に関連するトランザクションのほんの一部またはわずかな割合しかありません。 PCI準拠の場合は、クレジットカード情報、クレジットカードの所有者、個人情報が関係します。 アプリケーションに関連する他のトランザクションが大量に存在する可能性がありますが、これらのトランザクションは実際にはPCIの規制要件とは関係ありません。
その観点から、私がDBAに話す最初のことは、「一番の課題は、これらのことを行うためのツールを手に入れることではありません。 その機密データがどこにあり、そのデータをどのようにロックダウンしているのかを知っているだけです。」もしその質問に答えることができれば、あなたはコンプライアンスに準拠していることを示すことができるという点で中途半端です。あなたが正しいコントロールに従っていると仮定します。 あなたが正しいコントロールに従っていることをちょっと考えてみましょう。あなたはそれが事実だと監査人に言いました。 プロセスの次の部分は、明らかに、これらのコントロールが実際に機能していることを示し、検証する監査証跡を提供できることです。 次に、そのデータを必ず保存してください。 通常、PCIやHIPAAコンプライアンスなどのようなものや、これらのタイプのものでは、7年間の価値を保持しています。 あなたはたくさんのトランザクションとたくさんのデータについて話している。
機密データに関連するトランザクションがわずか5%であっても、すべてのトランザクションを収集し続ける場合、そのデータを7年間保存しなければならないことに関連する非常に大きなコストについて話しています。 それが最大の課題の1つであると私は思う、それは言うまでもありませんが、それは明らかに不要なコストです。 また、データベース内の機密性の高い領域にきめ細かく焦点を合わせることができれば、はるかに簡単です。 それに加えて、機密情報の一部についてもコントロールが必要になります。 監査証跡の観点で表示するだけでなく、発生しているアクションに物事を結び付け、リアルタイムで通知を受け取ることができるため、そのことを認識できます。
私がいつも使用する例は、必ずしもあらゆる種類の規制要件に関連しているわけではありませんが、たとえば、誰かが給与計算に関連付けられたテーブルを削除することを追跡できただけです。 それが起こった場合、あなたがそれを見つける方法は、あなたがそれを追跡していない場合、誰も支払われません。 遅すぎます。 不満を抱いた従業員が給与計算に直接関連付けられているテーブルを削除して削除した結果として起こる悪いことを避けるために、そのテーブルがいつ削除されるかを知りたいと思います。
とはいえ、コツは共通点を見つけること、またはその共通点を使用してコンプライアンスのレベルをマッピングすることです。 それがこのツールでやろうとしていることです。 基本的には、PCIに固有のレポート、株式に固有のレポートは表示しません。 共通点は、データベース内に機密データを保存するためにSQL Serverを使用しているアプリケーションがあることです。 一旦それを乗り越えたら、「ええ、それが本当に私たちが焦点を合わせる必要がある主なものです。その機密データはどこにあり、どのようにアクセスされているのですか?」 それができたら、その証拠がコンプライアンスの範囲内であることを証明できるレポートが山ほどあります。
監査人からの質問に戻ると、最初の質問は次のようになります。誰がデータにアクセスでき、どのようにしてそのアクセスを取得しますか? 適切な人がデータにアクセスし、間違った人がデータにアクセスしていないことを証明できますか? また、監査証跡自体が不変の情報源として信頼できるものであることを証明できますか? 偽造された監査証跡を提供している場合、情報が偽造されている場合に監査にパッチを適用する監査人としてはあまり役に立ちません。 通常、監査の観点から、その証拠が必要です。
それらの質問を少し詳しく説明します。 最初の質問の課題は、私が言ったように、誰がその機密データにアクセスしているかを報告するために、その機密データがどこにあるかを知る必要があることです。 それは通常、ある種の発見であり、実際には数千の異なるアプリケーションがあり、膨大な数の異なる規制要件があります。 ほとんどの場合、コンプライアンス担当者、または私の機密データが実際にアプリケーション内のどこにあるかという点に関して、少なくとも何らかの洞察を持っている人がいる場合は、コンプライアンス担当者と協力したいと思うでしょう。 私たちには、無料のツールであるSQL Column Searchと呼ばれるツールがあります。 その質問に興味を持っている見込み客とユーザーに、彼らはそれをダウンロードして行くことができると伝えます。 基本的には、データベース内で本質的に機密性が高いと思われる情報を検索します。
そして、それを行うと、そのデータに人々がどのようにアクセスしているかを理解する必要があります。 そして、これもまた、どのアカウントがどのActive Directoryグループ内にあり、どのデータベースユーザーが関係するか、これに関連付けられたロールメンバーシップがあります。 そしてもちろん、私たちが話しているこれらすべてのことは監査人によって承認されなければならないので、「これが私たちがデータをロックダウンしている方法です」と言うなら、監査人は来ることができます「さて、あなたは間違っています」と言います。しかし、彼らは「うん、見栄えが良い。 データを十分にロックダウンしています。」
次の質問に進みます。これは、適切な人がそのデータにアクセスしていることを証明できますか? 言い換えれば、あなたは彼らがあなたのコントロールであると伝えることができます。これはあなたがフォローしているコントロールですが、残念ながら監査人は本当の信頼できる個人ではありません。 彼らはそれの証拠を望み、監査証跡内でそれを見ることができることを望んでいます。 そして、これはその共通分母の事柄全体に戻ります。 PCI、SOX、HIPAA、GLBA、Basel IIのいずれであっても、現実は何であれ、同じ種類の質問が通常行われることです。 先月以内に誰がそのオブジェクトにアクセスしたかは、機密情報を含むオブジェクトですか? それは私のコントロールに対応し、最終的にこれらのタイプのレポートを表示することで監査に合格できるはずです。
そして、私たちがやったことは、その共通分母と同じ種類の分野についての約25の異なるレポートをまとめたということです。 したがって、PCI、HIPAA、またはSOXについてのレポートはありませんが、再び共通項に反するというレポートがあります。 したがって、どの規制要件を満たそうとしているかは重要ではありません。ほとんどの場合、その監査人から提示された質問に答えることができます。 そして、彼らはすべての取引の誰、何、いつ、どこであなたに伝えるつもりです。 ユーザー、トランザクションの発生時刻、SQLステートメント自体、トランザクションの実行元のアプリケーション、その他すべての優れた機能を知っているので、レポートへのこの情報の配信を自動化することもできます。
そして、もう一度、それを乗り越えて監査人に提供したら、次の質問はそれを証明します。 そして、私がそれを証明すると言うとき、私は監査証跡自体が私たちが信頼できるものであることを証明することを意味します。 そして、ツールでそれを行う方法は、監査証跡内のイベント自体に直接結び付けられるハッシュ値とCRC値を持っていることです。 そのため、誰かが外に出てレコードを削除したり、誰かが外に出て監査証跡に何かを削除または追加したり、監査証跡自体に何かを変更したりした場合、そのデータ、データ自体が侵害されました。 したがって、監査証跡データベースをロックダウンした場合、99.9%の時間、その整合性チェックを実行するときに、データ自体が実際には監査されていないことを監査人に本質的に証明するため、その問題に遭遇することはありません管理サービス自体からのオリジナルの書き込み以降に変更、削除、または追加されました。
これが、あなたに尋ねられる典型的な種類の質問の一般的な概要です。 今、私たちがこれの多くに対処しなければならないツールはSQLコンプライアンスマネージャーと呼ばれ、トランザクション、誰が、何を、いつ、どこでトランザクションを追跡するという点ですべてのことを行います。さまざまなエリアの数も。 ログイン、失敗したログイン、スキーマの変更、明らかにデータアクセス、選択アクティビティ、データベースエンジン内で発生しているすべてのこと。 また、必要に応じて、特定の非常にきめ細かい条件をユーザーに警告することもできます。 たとえば、誰かが出かけ、実際に私のすべてのクレジットカード番号を含むテーブルを表示しています。 彼らはデータを変えているのではなく、ただ見ているだけです。 そのような状況では、6時間後にログをスクレイピングしているのではなく、リアルタイムでアラートが発生していることを人々に知らせることができます。 基本的には、管理サービスを介してそのトランザクションを処理するのにかかる限りです。
前述したように、これはさまざまな規制要件で使用されていますが、実際にはそうではありません。規制要件は、共通の分母である限り、SQL Serverに機密データがあります。データベース、これはそのような状況で役立つツールです。 組み込まれている25のレポートに対して、今では現実には、このツールを監査人にとって良いものにし、彼らが尋ねるすべての質問に答えることができますが、DBAがそれを機能させる必要があります。 そのため、メンテナンスの観点から、SQLが希望どおりに機能していることを確認する必要があるという考えもあります。 また、データのアーカイブ、その自動化、およびオーバーヘッドに関しては、外に出て、他の情報を見ることができるものを見ることができる必要があります。製品自体。 これらは明らかに考慮に入れるものです。
これにより、アーキテクチャ自体が表示されます。 そのため、画面の右側には、管理するSQLのインスタンスがあり、2000年から2014年までのすべてがあり、2016年のバージョンをリリースする準備ができています。この画面の最大のポイントは、サーバー自体がすべての面倒な作業を行っています。 SQL Serverに組み込まれているトレースAPIを使用して、データを収集しています。 その情報は、管理サーバーに少しずつ流れています。 その管理サーバー自体が、必要のない種類のトランザクションに関連付けられたイベントがあるかどうかを識別し、アラートやそのようなものを送信してから、リポジトリ内にデータを投入します。 そこからレポートを実行でき、外に出て実際にレポートやアプリケーションのコンソールでその情報を見ることができます。
それで、私が先に行ってやることは、本当に早く私たちを連れて行くつもりです、そして私たちが製品に飛び込む前にただ一つの簡単なことを指摘したいです、今すぐウェブサイトにリンクがあります、またはプレゼンテーションで、先ほど述べた無料のツールに移動します。 その無料のツールは、私が言ったように、外に出てデータベースを調べ、列またはテーブルの名前に基づいて、機密データ、社会保障番号、クレジットカード番号のように見える領域を見つけようとします。またはデータの形式がどのように見えるかに基づいており、それをカスタマイズすることもできます。
さて、今回の場合、先に進んで画面を共有しましょう。ここで1秒お待ちください。 申し分なく、最初にあなたを連れていきたかったのは、Compliance Managerアプリケーション自体にあなたを連れて行きたいと思っていることです。 しかし、これはアプリケーションであり、ここにいくつかのデータベースがあることを確認することができます。どのように簡単にアクセスできるかを示し、監査対象を伝えます。 スキーマの変更、セキュリティの変更、管理アクティビティ、DML、Selectの観点から、これらすべてのオプションを利用できますが、それをフィルタリングすることもできます。 これは、「このテーブルにはクレジットカード番号が含まれているため、本当に必要なのはこのテーブルだけです」と言うことができるベストプラクティスに戻ります。 製品情報を含む他のテーブルや、私が満たそうとしているコンプライアンスのレベルに関連しない他のすべてのテーブルは必要ありません。」
また、データをキャプチャし、変化しているフィールドの値の観点から表示する機能もあります。 多くのツールには、SQLステートメントのキャプチャー、ユーザーの表示、アプリケーションの表示、時刻と日付など、すべての優れた機能があります。 ただし、場合によっては、SQLステートメント自体では、変更が発生する前のフィールドの値と、変更が発生した後のフィールドの値を通知するのに十分な情報が得られません。 そして状況によってはそれが必要です。 たとえば、処方薬の医師の投与量情報を追跡したい場合があります。 50mgから80mgから120mgになりました。前後を使用して追跡できます。
機密性の高いカラムは、PCIコンプライアンスなど、多くの問題に遭遇します。 ここでの状況では、非常に機密性の高いデータがあるため、その情報を見るだけで、変更、削除、または追加する必要はありません。取り返しのつかない損害を引き起こす可能性があります。 クレジットカード番号、社会保障番号など、機密情報を含む列を識別してアラートを結び付けることができる、これらすべての種類のものです。 誰かが外に出てその情報を見ると、明らかに、アラートを出して電子メールを送信したり、SNMPトラップなどを生成したりできます。
場合によっては、例外が発生する可能性がある状況に陥ります。 そして、私が意味することは、深夜に実行される何らかのタイプのETLジョブに関連付けられている可能性のあるユーザーアカウントを持つユーザーがいるという状況です。 これは文書化されたプロセスであり、そのユーザーアカウントのトランザクション情報を含める必要はありません。 その場合、信頼できるユーザーがいることになります。 そして、他の状況では、特権ユーザー監査の機能を使用します。これは、もし私が持っているのであれば、たとえば、アプリケーションであり、そのアプリケーションは既にアプリケーションを通過しているユーザーの監査をしています素晴らしい、私はすでに私の監査の面で参照するものがあります。 しかし、たとえば、特権ユーザー、つまりSQL Server管理スタジオにアクセスしてデータベース内のデータを見ることができるユーザーに関係しているものについては、それは削減されません。 そのため、ここでロールメンバシップ、またはActive Directoryアカウント、グループ、SQL認証アカウントのいずれかを使用して特権ユーザーを定義し、これらのさまざまなタイプのオプションをすべて選択できるようにします。次に、それらの特権ユーザーに対して、監査に関心のあるトランザクションのタイプを指定できることを確認します。
これらはあなたが持っているすべての種類のオプションであり、このプレゼンテーションの時間的制約に基づいて、私はすべての異なる種類の事柄を説明するつもりはありません。 しかし、データを表示する方法を紹介したいと思います。2つの方法があるので、これがどのように機能するか気に入ると思います。 私はインタラクティブにそれを行うことができるので、このツールに興味がある人たちと自分の内部統制について話すとき、彼らは多くの場合に何が起こっているのか知りたいだけです。 彼らは必ずしも現場に監査役が来るわけではありません。 「ねえ、このテーブルを追いかけて、先週、先月、または何に触れたのかを確認したい」と知りたいだけです。この場合、どれだけ早くできるかがわかります。
医療データベースの場合、Patient Recordsというテーブルがあります。 そして、もし私がオブジェクトごとにグループ化するだけなら、そのテーブルは私たちが探している場所を非常に早く狭めることができます。 カテゴリごとにグループ化し、イベントごとにグループ化したいかもしれません。 そして、私がそれをするとき、あなたはそれがどれくらい速く現れるかを見ることができます、そして、すぐそこに私の患者記録表があります。 ドリルダウンすると、DMLアクティビティを確認できるようになり、DMLの挿入が1, 000回あることがわかります。これらのトランザクションの1つを開くと、関連情報が表示されます。 トランザクションの誰、何、いつ、どこで、SQLステートメント、明らかに、トランザクションを実行するために使用されている実際のアプリケーション、アカウント、時刻、日付。
ここで次のタブである[詳細]タブを見ると、これは3番目の質問に戻り、データの整合性が侵害されていないことを証明しています。 したがって、基本的にすべてのイベントには、ハッシュ値の秘密の計算があり、これは整合性チェックを行うときに結び付けられます。 たとえば、ツールに移動して監査メニューに移動し、リポジトリの整合性を確認して、監査証跡が実行されているデータベースをポイントできますこれらのハッシュ値とCRC値を実際のイベントに一致させる整合性チェックを通じて、問題が見つからなかったことがわかります。 つまり、監査証跡のデータは、管理サービスによって最初に書き込まれたため、改ざんされていません。 これは明らかにデータを操作する1つの方法です。 もう1つの方法は、レポート自体を使用することです。 そのため、レポートの簡単な例を1つだけ紹介します。
繰り返しになりますが、これらのレポートは、私たちが考え出した方法であり、PCI、HIPAA、SOX、またはそのようなもののような標準のタイプに固有のものではありません。 繰り返しますが、これは私たちがしていることの共通点です。この場合、その患者記録の例に戻ると、外に出て言うことができます。医療データベースで、私たちの場合、私たちの場合、患者に関する個人情報が含まれていることがわかっているテーブルに特に焦点を当てたいと思います。 それで、ここに入力できるかどうかを確認させてください。次に、そのレポートを実行します。 そして、明らかに、そこから、そのオブジェクトに関連するすべての関連データが表示されます。 そして、私たちのケースでは、1か月間表示されています。 しかし、データを保持している期間がどれほど長くても、6か月、1年前に戻ることができます。
これらは、あなたがあなたのコントロールに従っていることを監査人に実際に証明できるような方法です。 それを確認したら、監査に合格し、コントロールに従っていることとすべてが機能していることを示すことができるという点で、明らかにそれは良いことです。
最後に説明したいのは、管理セクションです。 また、このツール自体の観点からコントロールがあり、誰かが自分がやっていることを想定していないことをしていることを認識できるようにコントロールを設定することができます。 そして、いくつかの例を挙げます。 サービスに関連付けられたログインアカウントを持っていますが、そのサービスを実行するには昇格されたアクセス許可が必要です。 私が望んでいないのは、だれかがManagement Studioでそのアカウントにアクセスして使用し、それが意図しない目的で使用していることです。 ここには、適用できる2つの基準があります。 例として、「PeopleSoftアプリケーションで、この作業に本当に興味がある」と言うことができます。
ここで私が言っていることは、それを行ったので、指定する準備ができているアカウントに関連付けられているログインを知りたいのですが、このアカウントでログインするために使用されているアプリケーションがPeopleSoftではないので、それはアラームの発生になります。 そして明らかに、アカウント名自体を指定する必要があるため、この場合、特権があるという事実のために、このPrivアカウントを呼び出します。 これを実行したら、ここでこれを行うと、それが発生したときに何が起こるかを指定することができ、イベントの種類ごとに、またはアラート、つまりその特定のデータの責任者に個別に通知します。
たとえば、給与情報の場合、人事部長に送られる可能性があります。 この場合、PeopleSoftアプリケーションを処理するのは、そのアプリケーションの管理者になります。 どんな場合でも。 私は自分の電子メールアドレスを入力し、実際のアラートメッセージとそのようなすべてのものをカスタマイズできます。 繰り返しになりますが、これはすべて、コントロールをフォローしていることと、それらのコントロールが意図したとおりに機能していることを示すことができることを確認できるようになることに戻ります。 ここでの最後の観点から、メンテナンスの観点から、このデータを取得してオフラインにする機能があります。 データをアーカイブし、スケジュールを立てることができます。DBAがこのツールを使用してセットアップし、設定することができるという意味で、これらのことを非常に簡単に行うことができます。そこから立ち去るあるべき姿に設定した後は、手に持つことはあまりありません。 私が言ったように、これに関する最も難しい部分は、あなたが監査したいものを設定することではなく、あなたが監査するために設定したいものを知っていることだと思います。
そして、私が言ったように、監査の獣の性質、あなたは7年間データを保持しなければならないので、本質的に敏感なそれらの領域に集中することは理にかなっています。 しかし、すべてを収集するアプローチを取りたい場合は、絶対にできますが、それはベストプラクティスとは見なされません。 したがって、その観点から、これが興味深いものである場合は、IDERA.comのWebサイトにアクセスして、試用版をダウンロードし、自分で試してみてください。 先ほどお話しした無料のツールについては、無料です。コンプライアンスマネージャー製品を使用しているかどうかに関係なく、ダウンロードして永久に使用できます。 そして、その列検索ツールの素晴らしい点は、あなたが思いついた調査結果であり、実際にそのデータをエクスポートしてからコンプライアンスマネージャーにインポートできることを示すことができると思います同様に。 私はそれを見ません、私はそれがここにあることを知っています、そこにあります。 これはその一例です。 これは、関連する機密データを見つける場所です。
さて、今回のケースは外に出て、本当にすべてを調べていますが、チェックできるものがたくさんあります。 クレジットカードの番号、住所、名前、その他すべてのもの。 データベースのどこにあるかを特定し、そこから実際にその情報を監査するかどうかを決定できます。 しかし、これは間違いなく、このようなツールを見ているときに監査の範囲を定義することをはるかに簡単にする方法です。
私は先に進み、それで終わります。先に進み、それをエリックに戻します。
Eric Kavanagh:それは素晴らしいプレゼンテーションです。 私はあなたが本当にざらざらした詳細に入り、何が起こっているかを見せてくれる方法が大好きです。 結局のところ、いくつかの記録にアクセスするシステムがあり、レポートを提供し、規制当局、監査人、またはチームの誰かにあなたの話を伝えることができるからです。 、だから、その人がノックするようになった場合、いつ、またはいつ準備ができているかを知っているのは良いことです。もちろん、それはあなたが避けようとしている不快な状況です。 しかし、それが起こった場合、そしておそらく最近起こる可能性がある場合、あなたはあなたがあなたのIが点在し、あなたのTが交差していることを確認したいです。
まず聴衆から投げ出したいと思う聴衆からの良い質問があります。それはブレットです。そして、もしプレゼンターがそれについてコメントしたいなら、お気軽に。 そして、Dezが質問をすると、Robinに質問するかもしれません。 質問は、あなたが言及したすべてのことを行うには、初級レベルでデータ分類の努力を開始する必要があると言うのは公平ですか? データが貴重な潜在的資産として浮上した場合、データを知り、それについて何かをする必要があります。 ブレット、あなたは同意すると思いますよね?
Bullett Manale:ええ、絶対に。 つまり、あなたはあなたのデータを知っている必要があります。 そして、私は、多くのアプリケーションが存在し、組織内で動く部分を持っている多くの異なるものがあることを認識しています。 列検索ツールは、そのデータをよりよく理解する方向に進むという点で非常に役立ちます。 しかし、はい、それは非常に重要です。 つまり、Firehoseアプローチを使用してすべてを監査するという選択肢はありますが、そのデータを保存し、そのデータに対してレポートする必要があると話すと、ロジスティックにその方法がはるかに難しくなります。 そして、レポートを実行するときに監査人にその情報も表示する必要があるため、そのデータがどこにあるかを知る必要があります。 だから、私が言ったように、データベース管理者と話をするときの最大の課題は知っている、そうだと思います。
エリック・カバナ:ええ、でもたぶんロビンはすぐにあなたを連れてきます。 ここでは80/20ルールが適用されるようです。 中規模から大規模の組織では重要なすべての記録システムを見つけることはできないでしょうが、Bullettがここで提案しているように、PeopleSoftなどの記録システムに焦点を当てる場合は、企業では圧倒的であり、ここで労力の80%を集中させ、20%をどこかにある他のシステムに集中させます。
Robin Bloor:ええ、そうですね。 つまり、この技術の問題だと思います。おそらくそれについてコメントする価値があると思いますが、この技術の問題は、どのように実装するのですか? つまり、ほとんどの組織では、そこに存在するデータベースの数さえも、非常に間違いなく知識不足です。 ご存知のように、在庫が非常に不足しています。 問題は、コンプライアンスが特に適切に管理されていない状況から始めようとしていることを想像してみてください。このテクノロジーをどのように取り入れて、テクノロジーだけでなく環境に注入するのでしょうか。条件を設定しますが、誰がそれを管理し、誰が何を決定しますか? どうやってこれを本物の、仕事をするようなものに靴べらを始めますか?
Bullett Manale:それはいい質問ですね。 多くの場合の課題は、最初から質問を始めなければならないということです。 私は多くの企業に出会ったことがありますが、多分彼らは民間企業であり、買収されました。最初に、最初に、最初に、ある種のロードバンプがあります。 たとえば、私が買収のために上場企業になったばかりの場合は、戻って、おそらくいくつかのことを考え出す必要があります。
また、場合によっては、プライベートであってもSOXコンプライアンスルールに従っていることを知っています。単に、買収したい場合には、コンプライアンスを守らなければならないことを知っているからです。 「今、このことについて心配する必要はありません。」というアプローチを取ることは絶対に望まないでしょう。PCIやSOXなど、あらゆるタイプの規制順守、研究やその機密情報がどこにあるかを理解していないと、重大な多額の罰金に対処していることに気付く可能性があります。 そして、その時間を投資して、そのデータを見つけ、それに対してレポートを作成し、コントロールが機能していることを示すことができれば、はるかに優れています。
ええ、それを設定するという点で、私が言ったように、私が監査に直面する準備をしている人々に最初に勧めるのは、外に出て、データベースの大まかな検査をして、その機密データがどこにあるのかを把握しようとする最善の努力を知っています。 そして、もう1つのアプローチは、監査の範囲という点で多分より大きなネットから始めて、システム内のそれらの領域がどこに関連しているかを特定したら、ゆっくりとあなたのやり方を抑えます機密情報。 しかし、その質問に対する簡単な答えがあることをお伝えできればと思います。 おそらく組織ごとにかなり異なり、コンプライアンスの種類と、アプリケーション内の構造の量、アプリケーションの構造の数、所有している多様なアプリケーションの数、カスタム作成のアプリケーションもあります。 、多くの場合、状況に本当に依存します。
エリック・カバナ:どうぞ、デズ、質問が1つか2つあると思います。
Dez Blanchfield:人々の観点から、組織への影響についてのあなたの観察についての洞察を得たいと思っています。 この特定のソリューションで最大の価値があると思う領域の1つは、人々が朝起きて、組織のさまざまなレベルで仕事に行くとき、一連の、または一連の責任で起きることです彼らが対処しなければならないこと。 そして、私はあなたが話している種類のツールの有無にかかわらず、あなたがそこに何を見ているかについての洞察を得ることに熱心です。 そして、私がここで話しているコンテキストは、取締役会レベルの会長からCEO、CIO、Cスイートまでです。 そして今、私たちはコンプライアンスとガバナンスでここで話している種類についてもっと考えている最高リスク責任者を持っています。そして、新しいロールプレイ責任者、最高データ責任者を知っています。 、さらに心配しています。
そして、それぞれの側、CIOの周りに、ITマネージャーを片方の側に、ご存知のように、技術的なリード、そしてデータベースのリードがいます。 そして、運用スペースには、開発マネージャーと開発リーダー、そして個々の開発があり、データベース管理レイヤーにループバックします。 コンプライアンスと規制に関する報告の課題に対するビジネスのこれらのさまざまな部分のそれぞれの反応と、それに対するアプローチについて、あなたは何を見ていますか? あなたは人々が熱心にこれに来て、それに対する利益を見ることができるのを見ていますか、それとも彼らはしぶしぶ足をこのことに引きずり、箱のダニのためにそれをしているのを見ていますか? そして、彼らがあなたのソフトウェアを見たら、あなたはどんな種類の反応を見ますか?
Bullett Manale:ええ、それはいい質問です。 この製品、つまりこの製品の売り上げの大部分は、それが理にかなっている場合、熱い席にいる人によって動かされていると言えます。 ほとんどの場合、それはDBAであり、私たちの観点から言えば、彼らは監査が行われていることを知っており、監査人がしようとしている情報を提供できるように、DBAであるため、責任を負うことになりますお願いします。 独自のレポートを作成し、独自のカスタムトレースとこれらすべての種類のことを作成することで、それを行うことができます。 現実は、彼らがそれをしたくないということです。 ほとんどの場合、DBAは監査人との最初の対話を本当に楽しみにしていません。 会社に電話して、「これは素晴らしいツールです。あなたはそれを愛するでしょう」と言って、彼らにすべての機能を見せて、彼らがそれを買うことができるとあなたに言います。
現実には、彼らが実際に監査に直面するか、そのコインの反対側が監査を受けて惨めに失敗した場合を除いて、彼らは通常このツールを見ていないでしょう助けを得るように言われるか、罰金が科せられます。 全般的に見て、この製品を人々に見せた場合、彼らが間違いなくその価値を認識していると言えるでしょう。それは彼らが報告したいことを理解する必要があるという点で彼らに多くの時間を節約するからです、それらの種類のもの。 これらのレポートはすべて組み込まれ、アラートメカニズムが設定されています。3番目の質問では、多くの場合、課題になる可能性があります。 私は1日中レポートを表示できますが、それらのレポートが実際に有効であることを証明できない限り、DBAとしてそれを表示できるのは非常に難しい提案です。 ただし、監査証跡の整合性のデータが保持されていることを確認できるように、テクノロジとハッシュテクニック、およびこれらすべての種類を検討しました。
そして、それらは私たちが話すほとんどの人々の観点から見たものです。 確かに、さまざまな組織には、たとえば、データ侵害があり、他の組織が罰金やその他のことを聞いたときに、たとえば、Target人々が始めるものの種類、それは眉を上げるので、うまくいけばそれは質問に答えます。
Dez Blanchfield:ええ、間違いなく。 一部のDBAは、ツールで何ができるかをようやく理解したときに、深夜や週末も戻ってきたことに気づいています。 適切なツールがこの問題全体に適用されると、時間とコストの削減などが見られます。つまり、オーストラリアの3週間の銀行に座っていました。 彼らはグローバルな銀行であり、トップ3の銀行であり、巨大です。 また、資産管理のコンプライアンスと特にリスクについて報告しなければならないプロジェクトがあり、数百人の人間のために60週間分の仕事を見ていました。 そして、プロセスを自動化できる自分のようなツールのようなものを見せられたとき、この意味で、何百人もの人々が手動プロセスを行うのに何週間も費やす必要がないことに気付いたときの彼らの顔の表情は神を見つけたようなものです しかし、それから挑戦的なことは、実際にどのように計画に入れるかでした。ロビン・ブローア博士が示したように、これは行動的、文化的変化の混合になるものです。 あなたが対処しているレベル、アプリケーションレベルでこれを直接処理している人、あなたが提供できる種類の報告と監査とコントロールを行うツールを採用し始めると、どのような変化が見られますか?彼らが手動で行ったかもしれないことに反対? 彼らが実際に実践したとき、それはどのように見えますか?
Bullett Manale:手動で処理する場合とこのツールを使用する場合の違いは何ですか? それが問題ですか?
Dez Blanchfield:まあ、具体的にはビジネスの影響。 そのため、たとえば、手動プロセスでコンプライアンスを実現しようとしている場合は、多くの人間と常に長い時間がかかります。 しかし、ご存じのように、この質問に何らかのコンテキストを置くために、このツールを実行している1人が潜在的に50人を置き換えて、同じことをリアルタイムで、または数か月対数か月で行えることを話しているのでしょうか? そのようなものですか、それは一般的にどうなるのでしょうか?
Bullett Manale:なるほど、それはいくつかのことです。 1つは、これらの質問に答える能力があることです。 これらのことのいくつかは、非常に簡単にはできません。 そのため、自家製のものを作成したり、自分でレポートを作成したり、トレースや拡張イベントを設定してデータを手動で収集したりするのに時間がかかる場合があります。 本当に、私はあなたにいくつかを与えます、つまり、これは実際にはデータベース全般には関係していませんが、エンロンが起こってSOXが流行した直後のように、私はヒューストンの大手石油会社の1つで、 、ビジネスコストの25%がSOXコンプライアンスに関連していたように思えます。
さて、それはSOXの最初の最初のステップのようなものでしたが、多くのことを必要としないという意味でこのツールを使用することで多くの利益を得ることができますこれを行う人々の多くとそれを行う多くの異なるタイプの人々。 そして私が言ったように、DBAは通常、監査人との会話を本当に楽しみにしている人ではありません。 そのため、多くの場合、DBAがこれをオフロードし、監査人にインターフェースされるレポートを提供できること、および関与することなく式から完全に削除できることがわかります。 そのため、リソースの面でも大幅に節約できます。
Dez Blanchfield:大幅なコスト削減について話しているのですか? 組織はリスクとそのオーバーヘッドを取り除くだけでなく、本質的にコストの大幅な削減について話していることを意味します。A)運用上、またB)実際に提供できるのであれば、データ侵害や法的な罰金、またはコンプライアンス違反の影響のリスクが大幅に減少したことを報告するタイムコンプライアンスですか?
Bullett Manale:ええ、絶対に。 つまり、準拠していないため、あらゆる種類の悪いことが起こります。 彼らはこのツールを使用できますが、それは素晴らしいか、そうでないかであり、実際にどれほど悪いかを知るでしょう。 ええ、それは明らかにツールだけではなく、このようなツールがなくてもチェックやすべてを実行できます。 私が言ったように、それはただもっと多くの時間と費用がかかるだろう。
Dez Blanchfield:それは素晴らしい。 それで、エリック、私はあなたに返事をするつもりです、なぜなら私にとって重要なことは、あなたが知っているように、市場の種類が素晴らしいことだと思うからです。 しかし、本質的には、問題の商業的影響を回避できること、またはコンプライアンスの報告と管理にかかる時間を短縮できることに基づいて、その重要性は金で評価する価値があります。ツールは、物の音ですぐに元が取れます。
エリック・カバナフ:そうです。 さて、今日はお時間をいただきありがとうございます、バレット。 時間と注意を払ってくれた皆さん、そしてロビンとデズに感謝します。 今日もまた素晴らしいプレゼンテーションです。 このコンテンツを無料で提供してくれたIDERAの友人に感謝します。 このWebキャストは、後で見るためにアーカイブします。 通常、アーカイブは約1日以内に起動します。 そして、新しいウェブサイト、insideanalysis.comについてのご意見をお聞かせください。 まったく新しいデザイン、まったく新しいルックアンドフィール。 皆様のフィードバックをお待ちしております。それでは皆さんにお別れを申し上げます。 あなたは私にメールすることができます。 それ以外の場合は、来週お届けします。 今後5週間以内に7つのウェブキャストがあります。 忙しくなります。 そして、今月後半にニューヨークで開催されるStrata ConferenceとIBM Analyst Summitに参加します。 近くにいる場合は、立ち寄って挨拶してください。 気をつけて、みんな。 バイバイ。