汎用的に適用できると考えられる「データベース監査によるリスクコントロール」について、監査ログの具体的な活用方法も含めてまとめてみました。

　コントロールを効かせる対策としては、防御的(予防)なものと、発見的(検知)なものとがあります。データベースでの操作ログを取得することは主に発見的コントロールです。しかし、操作記録を残されている＝自分の行為は見られていると思えば、個人情報を覗き見しようとか営業数値をちょっと有利に変えてしまおうとか、そういった不正な気持ちを抑止し牽制することも期待できます。

　通常コントロールを効かせづらいDB管理者、特権ユーザーの行為に対して、特に有効といえます。データベースはIT領域の中でもデータそのものを扱うのにも関わらず、最もブラックボックス的な領域となってきました。外部委託、派遣社員なども含めたDBに特化したエンジニアの手に委ねざるを得ない状況は変わらない中では、データべース監査によって問題行動が検知されることがすなわち防御にもなる、と言えるのではないでしょうか。