QueryPieがAgentless哲学にこだわる理由

概要

現代のITインフラの進化は、セキュリティのパラダイムに革新的な変化を求めています。クラウド技術の導入とコンテナベースのアプリケーションが加速する中で、従来の境界型セキュリティモデルの限界が顕著になっています。この変化の中心には、AWS、Azure、GCPなどのマルチクラウド環境とオンプレミスシステムを組み合わせたハイブリッドインフラが位置しています。さらに、動的なIT資産の増加はインフラの状態をリアルタイムで追跡することを難しくしており、コロナ禍以降、リモートワークやモバイルアクセスの増加に伴い、ゼロトラストセキュリティモデルの重要性が一層高まっています。この記事では、急速に変化するIT環境において、効果的なセキュリティ体制を構築するための新しいアプローチとソリューションについて考察します。

現代ITインフラ環境の3つの特徴

1. インフラの分散化: AWS、Azure、GCPなどの複数のクラウド環境と、従来使用していたオンプレミスシステムが組み合わさったハイブリッド環境が増加しています。
2. 動的IT資産: EKS、AKS、GKEなどの管理された Kubernetes 環境やオートスケーリング、サーバーレスアーキテクチャの普及により、インフラが柔軟に変化しており、その状態を追跡することが難しくなっています。
3. リモートワークおよびモバイルアクセスの増加: コロナ禍以降、リモートワークが普及し、さまざまな業務システムにモバイルでアクセスする機会が増加しました。このため、ゼロトラストセキュリティモデルの重要性がさらに高まっています。

エージェントベースのセキュリティの4つの限界点

最近のセキュリティトレンドでは、エージェントレス型のソリューションに注目が集まっています。その理由は何でしょうか？

エージェントレス方式の最大の利点は、システムリソースを節約できる点です。特に、さまざまな環境での管理や保守の負担を大幅に軽減できるため、多くの企業がこの方式を選んでいます。QueryPieは、エージェントレス型のアクセス制御ソリューションを提供しており、企業がより安全で効率的なインフラ運用を実現できるようサポートしています。これにより、企業はセキュリティ脅威を効果的に管理し、コンプライアンス要件を満たすことができます。エージェントレスセキュリティソリューションの導入は今後も増加すると予想され、セキュリティ業界における重要な変化の一部として位置づけられています。

エージェントレス基盤のアーキテクチャの強み：QueryPieの選択

エージェントをインストールせずにデータベース、サーバー、Kubernetesなどの環境でアクセス制御とロギングを提供するためには、これらのインフラとクライアントとの相互作用を理解する必要があります。各インフラとユーザーの中間地点で、パケットの内容とその意味を把握し、どのようにプロキシ機能を提供するかを設計することが求められ、これには多くの作業が伴います。

特に、データベースアクセス制御においては、ユーザーが実行したSQL構文をパーサーを通じて完全に解析し、ユーザーがそのSQLを実行するために必要な権限を持っているかを確認する必要があります。加えて、ユーザーが利用するサードパーティーのデータベースクライアントが複数のデータベースと通信する中で、認証、暗号化、クエリ実行、ストリーム通信といったさまざまなパケットのやりとりを、まるでデータベースが直接実行しているかのように、QueryPie Proxyが処理します。

QueryPieは20種類以上のデータベースのSQL構文を完全に解析し、権限をチェックします。さらに、特定のテーブルやカラムに対するアクセス権も確認します。加えて、TableauやLookerなどのビジネスインテリジェンスソリューションとデータウェアハウス間で、権限制御とロギングを行います。

私たちはこの方法のために、QSI(Query Structural Interface)を独自に設計し、SSH、SFTP、Telnet、VNC、Kubernetes APIなどをすべて分析して、すべてのインフラ出口でプロキシとして動作する機能を開発しました。

最終的に、QueryPieの基本理念は、インフラの柔軟性と拡張性を損なうことなくセキュリティを構築することです。これにより、エージェントのデプロイやメンテナンスが不要となり、各インフラリソースが最大限に活用できるようにし、マルチクラウドおよびオンプレミス環境全体にわたる包括的な可視性を提供します。

このようなエージェントレス技術を通じて、QueryPie製品がどのような価値を提供するかを簡単に紹介します。

QueryPie DACは、QSI(SQL構文パーサー)を使用して、ユーザーが実行したSQL構文を完全に解析し、ユーザーとデータベース間のパケットをプロキシして、適切な権限を持ったユーザーのみがデータベースにアクセスし、SQLを実行できるようにします。また、SQL解析を通じて、テーブルやカラムレベルでのアクセス制御を提供し、機密情報のマスキング機能もサポートします。

さらに、ユーザーのログに基づいて、リアルタイムでクエリの分析や異常行動の検出が可能です。

• リアルタイムクエリ分析: 実行されたSQLやデータベースのリソースアクセスをリアルタイムで分析します。
• 異常行動検出: 異常なクエリパターンを検出し、潜在的な脅威を早期に察知します。

QueryPie SACは、SSH/SFTPのプロキシ機能を通じて、ユーザーが実行するコマンドやファイル転送活動に対するアクセス制御および監査を実施します。

QueryPie KACは、KubernetesのすべてのAPIをプロキシし、クラスター内で発生する API 呼び出しを分析および制御します。

顧客事例：エージェントレスアプローチ制御の導入によるデータセキュリティと効率の向上

Dunamu(ドゥナム)は、世界で最も取引量の多い暗号通貨取引所UpBitを運営している韓国のスタートアップ企業で、数十のAWSアカウント、数千台のデータベース、数百人のデータベースユーザーを抱えています。これまで、すべてのデータベースサーバーとユーザーのコンピューターにエージェントをインストールしてアクセス制御とロギングを行っていましたが、クラウド環境でデータベースの変更が絶え間なく発生する中、エージェントベースのアクセス制御と監査はもはや維持不可能であると判断しました。

そこで、DunamuはQueryPieを導入し、エージェントをインストールする必要がなくなりました。データベースアクセスが必要なユーザーには、WebベースのSQL実行環境を通じてエクスポート/インポート/クリップボードコピーに対する権限制御を追加し、さらに高いレベルのデータセキュリティ環境を実現しました。この変更により、年間数十時間にわたるエージェントのインストールとメンテナンスの時間を削減し、リアルタイムで全てのデータベースの可視性を確保できるようになりました。

さらに、QueryPieはISMS-P、電子金融監督規定、ISO27001などで求められるインフラアクセス制御とロギングに関する要件を満たしており、金融会社として分類されるDunamuが義務として遵守しなければならない韓国のISMS-P認証や電子金融監督規定、またISO-27001、27701、27017、27018などのグローバルな情報セキュリティ認証を維持するために不可欠なソリューションとして位置付けられています。

エージェントレスセキュリティソリューションによる IT 環境革新

今日の複雑なIT環境では、セキュリティがこれまで以上に重要になっています。数百台から数千台のサーバやデータベースを管理することは容易ではなく、従来のエージェントベースのアプローチには大きな限界がありました。こうした状況下で、QueryPieのエージェントレスセキュリティソリューションは新しいパラダイムを提示しています。

Dunamuの事例のように、QueryPieのアーキテクチャにより、セキュリティ担当者はより本質的なタスクに集中できるようになり、高い可視性とシンプルなアクセス制御、監査機能が提供されるようになりました。これにより、ITインフラが目まぐるしく変化する中でも、セキュリティとビジネスのバランスを保つ新たなスタンダードを築いています。

QueryPieが提供する革新的なセキュリティアーキテクチャは、単に文章で説明するよりも、実際に体験することでその真価を実感できるものです。エージェントレスアプローチがもたらす効率性と革新を通じて、あなたのセキュリティ課題をどのように解決できるか、今すぐ確認してみてください。 (Link to QueryPie Virtual Tour)