最近、色んな製品がSOX法対策を謳っていたりする。
でも、何が出来るのかを見ていると
「ログが取れます！詳細に取れます」
としか言うてない製品が多いような気もする。
SOX法自体が米国のエンロンを代表とする不正会計を背景に企業の会計の透明性を向上させようという意図から出来たものであるから、ログは取得できて当たり前でその後に何が出来るかが“カギ”になっている。
つまり、ログが取得できても誰がどのデータをどういう操作を行って何をしたのかが判らなければ意味がない。


WebLogicの観点で言うと
JDBCを利用するときには予めJDBC接続プールを作成しなければならず、しかも、その際にはユーザIDやパスワードを入力する必要がある。これではユーザからのアクセス毎にDBに対する認証制限をかけることはできないため誰がDBにアクセスしたかはWLSへの膨大なアクセスログとDBへのアクセスログを照らし合わしながら見なければ監査を行うことは厳しい。
つまり、Oracleが最近発表したバーチャルIDの様なものに対応していなければ、RDBMSとしてメジャーなOracleを利用する各種アプリケーションサーバはDBに対するアクセス制限やその監査を行うことが出来ないということだ。
現状どうなっているのかを詳しく知っているわけではないが、Oracle社がSOX法対策としてOracleDBに対して個々のアクセスユーザの情報を把握した状態でSSOによる認証を可能にする機能を自社製品に展開しているように思えるが、願わくば他のベンダーにも公開して欲しいところだ。
そして、結果としてMySQLや他のDBにも同様の機能が備わりユーザにとってよりメリットの高い状況になることを望みたい。