台帳テーブルを検証して改ざんを検出する

[アーティクル]
02/13/2024

適用対象: SQL Server 2022 (16.x) Azure SQL Database Azure SQL Managed Instance

この記事では、台帳テーブル内のデータの整合性を検証します。お使いのデータベースで [自動ダイジェストストレージの有効化] 設定を有効にしている場合、「自動ダイジェストストレージを使用している T-SQL」セクションに従ってください。有効にしていない場合、「手動生成されたダイジェストを使用している T-SQL」セクションに従ってください。

前提条件

Azure SQL Database または Azure SQL Managed Instance を使用している場合、アクティブな Azure サブスクリプションがあること。アカウントがない場合は、無料アカウントを作成してください。
更新可能な台帳テーブルを作成して使用するか、追加専用の台帳テーブルを作成して使用します。
SQL Server Management Studio または Azure Data Studio。
検証ストアドプロシージャを実行する前に、データベースでデータベースオプション ALLOW_SNAPSHOT_ISOLATION を有効にする必要があります。

SQL Server Management Studio または Azure Data Studio を使用して、データベースに接続します。
次の T-SQL ステートメントを使用して、新しいクエリを作成します。
```
DECLARE @digest_locations NVARCHAR(MAX) = (SELECT * FROM sys.database_ledger_digest_locations FOR JSON AUTO, INCLUDE_NULL_VALUES);SELECT @digest_locations as digest_locations;
BEGIN TRY
    EXEC sys.sp_verify_database_ledger_from_digest_storage @digest_locations;
    SELECT 'Ledger verification succeeded.' AS Result;
END TRY
BEGIN CATCH
    THROW;
END CATCH
```
Note

検証スクリプトは Azure portal にもあります。 Azure portal を開き、検証するデータベースを見つけます。 [セキュリティ] で、[台帳] オプションを選択します。 [台帳] ウィンドウで、[</> データベースの確認] を選択します。
クエリを実行します。 digest_locations によって、データベースのダイジェストが格納されている現在の場所と以前の場所が返されます。 [結果] に台帳検証の成功または失敗が返されます。
digest_locations 結果セットを開き、ダイジェストの場所を表示します。次の例は、このデータベースの 2 つのダイジェストストレージの場所を示しています。
- path は、ダイジェストの場所を示しています。
- last_digest_block_id は、path の場所に格納されている最新のダイジェストのブロック ID を示します。
- is_current は、path の場所が現在のもの (true) か以前のもの (false) であるかを示します。
```
[
 {
     "path": "https:\/\/digest1.blob.core.windows.net\/sqldbledgerdigests\/janderstestportal2server\/jandersnewdb\/2021-05-20T04:39:47.6570000",
     "last_digest_block_id": 10016,
     "is_current": true
 },
 {
     "path": "https:\/\/jandersneweracl.confidential-ledger.azure.com\/sqldbledgerdigests\/janderstestportal2server\/jandersnewdb\/2021-05-20T04:39:47.6570000",
     "last_digest_block_id": 1704,
     "is_current": false
 }
]
```
重要

台帳検証を実行するときに、digest_locations の場所を調べて、検証に使用されるダイジェストが予期した場所から取得されるようにします。権限のあるユーザーによって、構成済みでロックされている不変ポリシーを使用せずに、Azure Storage などの保護されていないストレージの場所にダイジェストストレージの場所が変更されていないことを確認する必要があります。
検証によって、[結果] ウィンドウに次のメッセージが返されます。
- データベースに改ざんがない場合、メッセージは次のようになります。
```
Ledger verification successful
```
- データベースに改ざんがあった場合、[メッセージ] ウィンドウに次のエラーが表示されます。
```
Failed to execute query. Error: The hash of block xxxx in the database ledger doesn't match the hash provided in the digest for this block.
```

SQL Server Management Studio または Azure Data Studio を使用して、データベースに接続します。
次の T-SQL ステートメントを使用して、新しいクエリを作成します。
```
EXECUTE sp_generate_database_ledger_digest;
```
クエリを実行します。結果には最新のデータベースダイジェストが含まれ、現在の時点でのデータベースのハッシュが示されます。結果の内容をコピーします。これは、次の手順で使用します。
次の T-SQL ステートメントを使用して、新しいクエリを作成します。 <YOUR DATABASE DIGEST> は、前の手順でコピーしたダイジェストに置き換えてください。
```
EXECUTE sp_verify_database_ledger N'
<YOUR DATABASE DIGEST>
';
```
クエリを実行します。 [メッセージ] ウィドウには、次の成功メッセージが表示されます。

ヒント

最新のダイジェストを使用して台帳の検証を実行した場合、そのダイジェストが生成された時刻から検証が実行された時刻までのデータベースのみが検証されます。データベース内の履歴データが改ざんされていないことを検証するには、複数のデータベースダイジェストファイルを使用して検証を実行してください。データベースを検証する特定の時点から開始します。複数のダイジェストを使用した検証では、次のクエリのようになります。
```
EXECUTE sp_verify_database_ledger N'
[
    {
        "database_name":  "ledgerdb",
        "block_id":  0,
        "hash":  "0xDC160697D823C51377F97020796486A59047EBDBF77C3E8F94EEE0FFF7B38A6A",
        "last_transaction_commit_time":  "2020-11-12T18:01:56.6200000",
        "digest_time":  "2020-11-12T18:39:27.7385724"
    },
    {
        "database_name":  "ledgerdb",
        "block_id":  1,
        "hash":  "0xE5BE97FDFFA4A16ADF7301C8B2BEBC4BAE5895CD76785D699B815ED2653D9EF8",
        "last_transaction_commit_time":  "2020-11-12T18:39:35.6633333",
        "digest_time":  "2020-11-12T18:43:30.4701575"
    }
]';
```

Note

この例では、sp_generate_database_ledger_digest ストアドプロシージャを呼び出し、ダイジェストを生成してそれをすぐに検証に利用します。ただし、カスタムの信頼されたストレージを顧客が使用しているとき、後の検証のために、その信頼されたストレージにダイジェストを保存できます。

台帳テーブルを検証して改ざんを検出する

前提条件

データベースに対して台帳の検証を実行する

フィードバック

フィードバック

その他のリソース

台帳テーブルを検証して改ざんを検出する

前提条件

データベースに対して台帳の検証を実行する

関連するコンテンツ

フィードバック

フィードバック

その他のリソース