Oracle Cloud Infrastructure セキュリティの取り組み [2021年2月版]

オラクルのセキュリティへの取り組み
[2021年2月版]
日本オラクル株式会社
クラウド事業戦略統括本部ビジネス推進本部
大澤清吾, CISSP
2021年2月

Safe harbor statement
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、
情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以
下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買
決定を行う際の判断材料になさらないで下さい。
オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊
社の裁量により決定され、変更される可能性があります。

今後求められるセキュリティ対策と日本の取り組むべき点
考慮点ゼロトラストセキュリティの考え方セキュリティ対策例日本企業の状況
ネットワーク
• 通信を監視し、未許可のクラウドサービスの
利用を制限
• CASB
• Cloud Proxy
• WAF
グローバルより
注力している
デバイス
• デバイスの認証を常に実施
• 全てのデバイスの保護を徹底
• EDR、EPP
• MDM グローバルと同様
IDアクセス管理
• ID・ユーザを必ず検証
• 必要に応じて多要素認証(MFA)を実施
• IAM
• PAM
• MFA
対応が遅れている
アプリケーション • すべてのアクセスを制限し、不正操作を監視
• CASB、UEBA
• 標的型メール対策
• SIEM、SOAR
グローバルと同様
データ
• データが漏洩・改ざんされないように保護
• 必要最小限の権限付与
• 暗号化
• アクセス制御
対応が遅れている
Copyright © 2021, Oracle and/or its affiliates
3 出典: Oracle and KPMG Threat Report 2020
安全なクラウドセキュリティ環境を整備するためには、ネットワークセキュリティだけでなく、
ゼロ・トラスト・セキュリティな対策が必要となります。

4 出典: Oracle and KPMG Threat Report 2020

共有責任 = クラウド業者は仕組みを提供、お客様は管理作業に責任
共有責任モデルではお客様が管理するセキュリティは幅広い
アプリがアクセスするデータ
アプリケーション
Middleware
データベース
OS
Virtual Machine
サーバー・ストレージ
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
IaaS
PaaS
SaaS
ユーザー管理
クラウド
事業者管理
共有責任
5

共有責任モデル：Oracle Cloud Infrastructure の場合
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
IaaS
PaaS
SaaS
ユーザー管理
クラウド
事業者管理
共有責任
お客様側でツールの活用や
セキュリティ構成の管理を実施
SECURITY ON
THE CLOUD
SECURITY OF
THE CLOUD
オラクルはセキュアなクラウド・インフラ
とサービスを提供
6
Oracle が力を入れて
取り組んでいるところ

オラクルが実現する堅牢なセキュリティ
データ中心の
セキュリティ
自動化された
セキュリティ
管理
セキュリティ
・バイ・デザイン
SECURITY ON THE CLOUD
SECURITY OF THE CLOUD
＋
強力、完全なテナント分離
強制的な暗号化
(DB/Storage/Network)
階層型権限管理
特権ユーザーのアクセス制御
多要素認証とリスクベース認証
ボット対策とWAF(*)
脆弱性自動修復
セキュリティポリシーの自動有効
リスクのある設定を自動検知
自動化されたログ分析
7
Defense
In
Depth
重要情報の隠蔽セキュリティ構成
機密データ発見アクティビティ監査
DBセキュリティ対策の自動化
* WAF: Web Application Firewall

クラウドプラットフォームレベルでの環境隔離と暗号化
8
階層型権限管理
✓ 部署ごとの権限設定を実現
✓ コンパートメント間のリソースアクセスが可能な
為、部署を跨いだシステム構築も容易
✓ コンパートメントのQuota設定により使い過
ぎを抑止
強制的な暗号化
✓ OCIに存在するすべてのデータ・サービスは
Oracleがフルマネージドで暗号化
✓ データベースファイル,ストレージ
Block Volume, Boot Volume
✓ すべてのネットワーク通信も暗号化
強力、完全なテナント分離
✓ 分離された仮想ネットワークにより
情報漏洩のリスクを最小化
AD2
リージョン1
AD2
リージョン2
すべてのデータ
を暗号化
MACSec
高速・スケーラブルな
Layer2 暗号化
部署ごとにCompartment（サブアカウント）を作成
「コンパートメント」モデル
テナント
コンパートメント A コンパートメントB
ユーザーグループポリシー
ポリシーポリシー
部署-A 部署-B
セキュリティ
Hypervisor
VM VM VM
VM VM VM
ホストOS / カーネル
ネットワーク仮想化
物理サーバー

自動化されたEnd-to-Endのセキュリティで人的ミスを排除
9
パブリックアクセス不可
Oracle Cloud Guard Oracle Maximum Security Zone 自動パッチ適用
アップグレード
Autonomous
Database
• セキュリティ構成の評価
• ユーザーのリスク評価
• アクティビティの監査
• 機密データの発見
• データ・マスキング
自動化された
セキュリティ管理
Oracle Data Safe
リスクのある設定を自動検知
✓ 構成とアクティビティを監視
✓ 問題の特定、脅威を検出
✓ 問題の是正、顧客通知
セキュリティポリシーの自動有効
✓ ベスト・プラクティスを強制的に適用
✓ 初期段階からリソースのセキュリティを
確保
脆弱性の自動修復
✓ Autonomous Databaseによる
脆弱性自動修復
✓ Oracle Data Safeにより短時間で
セキュリティ・リスクを軽減

多層防御によるデータ中心のセキュリティ
外部からの攻撃
» ボットによる攻撃
» 標的型攻撃
» ランサムウェア
» DDoS
内部からの攻撃
» バックドア
» 内部不正
» 不正アクセス
特権ユーザー
管理
ネットワーク
IDアクセス
管理
インフラ
ストラクチャ
データベース
Web
Application
Firewall
Identity
Cloud Service
Cloud Guard/
Maximum
Security Zone
Data Safe
強力、完全なテナント分離 / 階層型権限管理 / 強制的な暗号化
10
データ
Observability and Management / Management Cloud
強制的な
暗号化
Autonomous Linux Autonomous Database
データ中心の
セキュリティ
監査証跡

• 設定や運用上の問題によって発生するセキュリティ
リスクを自動検知し、インフラの安定的な運用に寄与
• 他社のクラウドサービスと比べて監視できる項目が広く、
UI含め使い勝手が優れているため、効率的な運用が
可能
• 「Oracle Cloud Infrastructure」は、クラウドプラッ
トフォームレベルで環境隔離と強制的な暗号化がされ
ており、「Oracle Cloud Guard」と組みあわせること
で、お客様に安心して利用頂けるサービスを提供
ワークスアプリケーションズ様
11
ERPマネージド・サービスHUE Classic Cloud
で「Oracle Cloud Guard」を活用し、
セキュリティリスクを軽減

Oracle Cloud Infrastructure
セキュリティのプロもSaaS基盤としてOCIを選択
12
世界最大のコンピュータ
ネットワーク機器ベンダー
ハードウェアやソフトウェアセンサーから
テレメトリー情報を収集し、データを高度な
機械学習技術によって分析するSaaS
(Cisco Tetration) でOCIを採用
数千コア以上の大規模アプリケーションを
2ヶ月で稼働
インテリジェンス主導型の
セキュリティ企業
なりすまし攻撃、フィッシング、スパムによる
Eメール脅威の対策を提供するSaaSで
OCIを採用
高度なリアルタイム分析をベアメタル・
インスタンスを活用することでクラウドで実現
業界をリードする
サイバーセキュリティ企業
脅威の識別、調査、解決を行うクラウドベースの
SIEMソリューション(McAfee ESM Cloud)で
OCIを採用
他社クラウドに比べ1/4のコストで実現
60万データソースにおける1秒当たり
50万イベントをサポート

13
Oracle Cloud Infrastructure の
セキュリティへソリューションのご紹介

分離された仮想ネットワークにより情報漏洩のリスクを最小化
14 Copyright © 2021, Oracle and/or its affiliates
Host OS/Kernel
Network
Virtualization
Hypervisor
Server Virtualization
Hypervisor
Network
Virtualization
Host OS/Kernel
Isolated Network
Virtualization
Host OS/Kernel
Hypervisor
Container (Optional)
Hypervisor
Network
Virtualization Network
Virtualization
Hypervisor
Hypervisor
Network
Virtualization
Hypervisor
Network
Virtualization
これまでのクラウド Oracle Cloud Infrastructure
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
Hypervisorがハイジャックされるとクラウドが構成する
すべてのホスト/VMからデータ漏えいのリスク
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
Isolated Network
Virtualization
Host OS/Kernel
Hypervisor
Container (Optional)
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
Hypervisorからネットワーク分離されているので
ホスト内のリスクに限定
セキュリティ

Encryption by Default (すべてのデータは暗号化)
15
AD1
AD2
AD3
CUSTOMER REGION 1
AD1
AD2
AD3
CUSTOMER REGION 2
TDEでDatabaseファイルを暗号化
MACSec
高速・スケーラブルな
Layer2 暗号化
• OCIに存在するすべてのデータ・サービスはOracleがフルマネージドで暗号化
– Block Volume, Boot Volume, Object Storage, File Storage, Oracle Databaseファイル
– すべてのネットワーク通信も暗号化されている
セキュリティ

アカウント内セキュリティ分離をネイティブに実装
コンパートメント・モデルによる階層型アカウント管理
16
課題
部署をまたいで使用
するシステムの構築
が困難
部署ごとのアクセス権
限設定が複雑
部署ごとのコスト制
御が困難
• Compartmentを部署ごとに分けることで、
部署ごとの権限設定を実現
• Compartment間のリソースアクセスが可能なため部署
をまたいだシステム構築も容易
• Compartmentごとの課金表示やクオータ設定によるコ
スト管理
アカウント空間アカウント空間
アカウント空間
部署-A
部署-B
部署-A
部署-B
全部署で共通のアカ
ウントを作成
部署ごとに
アカウントを作成
or
従来型のアカウントの作成方法
Tenancy
Compartment A Compartment B
Users Groups
部署ごとにCompartment(サブアカウント)を作成
部署-A 部署-B
「コンパートメント」モデル
Policy
Policy Policy
セキュリティ

Oracle Cloud Guard
17
• 構成とアクティビティを継続的に監視
• 様々なソースからのデータを分析し、関連付け
• 問題を特定し、セキュリティ上の脅威を検出
• お客様の要件によっては、表面化した問題の是
正や顧客に通知
• ルートコンパートメントに適用できるため、
グローバル全体かつ新しいリソースも監視可能
• 無償で提供
自動化された

Oracle Maximum Security Zones
18
• 重要な資産を非常に安全場所に配置
• セキュリティは選択ではなく、常時オン
• 初期段階からリソースの安全性を確保することで、
セキュリティ問題を軽減
• 機密性の高いワークロードのための厳格な
セキュリティ対策を実施
• 無償で提供
事前定義のルール
パブリックアクセス不可、
安全でないストレージなし
軽減
セキュリティの問題;
リソース作成時にルールを強制的に適用
他社クラウドにはない、Oracle Cloud Infrastructureが業界初で提供した機能
自動化された

Oracle Autonomous Database
49%
19%
32%
セキュリティアセスメント
High Risk: 33
Medium Risk: 22
Low Risk: 13
68
Risks
18%
28%
24%
15%
15%
Data Discovery
Employee Basic Data: 27
Public Identifier: 49
Address: 42
Compensation data: 31
Oraganization Data: 32
179
Columns
56%
11%
31%
ユーザーアセスメント
Critical Risk: 47
High Risk: 9
Medium Risk: 2
Low Risk: 26
84
Users
Compensation data: 27
.
自動パッチ適用アップグレード
管理者は顧客データにアクセス不可
通信と格納データのデフォルト暗号化
自動化された

ハイブリットクラウドで利用するデータベースをよりセキュアに
✓ 統合されたデータベースセキュリティ管理サービス
1. 機密データの発見（Sensitive Data Discovery ）
2. データ・マスキング（Data Masking）
3. アクティビティの監査（Activity Auditing）
4. セキュリティ構成の評価（Security Assessment）
5. ユーザーのリスク評価（User Assessment）
✓ 特別なセキュリティの専門知識
✓ 多層防御における重要なデータ・セキュリティ対策
✓ 短時間でセキュリティ・リスクを軽減
✓ Oracle Cloud Databaseの利用でサービスを無償提供 ※1
✓ オンプレミス、他社クラウド上のオラクルDBへも対応
Oracle Data Safe
20
※1 監査機能は100万レコード/月まで無償、その他の機能は無償 Oracle Cloud上の
データベース
監査
ユーザー発見
アセスマスク
オンプレミス
のデータベース
Data Safe
AWS, Azure上の
オラクルデータベース
自動化された

Exadata Cloud Service であればデータセキュリティ機能を無償で利用可能
機密性の高い情報を保護するデータ・セキュリティ
21
発見的対策
予防的対策
凡
例
1. 監査証跡の記録
✓ 情報システムに対するサイバー攻撃を予兆検知
2. セキュリティ設定ミス、特権ユーザーの利用を監視
✓ 無差別型攻撃で狙われる構成ミスや管理者権限の利用状況を監視
3. データの暗号化
✓ 個人データが漏えいした際、二次的被害（社内外の影響）を最小限に
4. データのアクセス制御 / 権限分掌
✓ 悪意のある攻撃者よりデータの閲覧、改変、破壊などを防ぐ
✓Data Safe による構成・ユーザの
アセスメントと機密データの発見
✓Data Safeによる監査ログの管理
✓Oracle Cloudはデフォルトで暗号化
✓Database Vaultによる権限分掌
データ中心の
セキュリティ

権限管理とアクセスコントロール
IDとアクセス制御
• コンパートメントとグループ、ポリシーを
組み合わせた柔軟かつ強力な設定
多要素認証も含めた厳密なID管理
• SMSを用いたワンタイムパスワード
• iPhone、Android用アプリの提供
• ワンタイムパスワード
• 通知への応答（許可/拒否)
• 事前登録質問への回答（秘密の
質問）
柔軟なアクセス制御設定
• アプリケーション単位でアクセスの許
可や拒否、再認証や二要素認証の
要求をポリシーとして指定
Oracle Identity Cloud Service
22
ワンタイムパスワード通知への応答
イントラネットからの
アクセスはID/PWのみ
インターネットからのアクセス
には二要素認証を要求
Users
User1
User2
Instances
Instance1
Instance2
Groups
GroupX
GroupY
Dynamic
Groups
GroupZ
コンパートメントB
コンパートメントA
PolicyA PolicyB2
PolicyB1
Policies
PolicyA: allow group GroupX
PolicyB1: allow group GroupY
PolicyB2: allow dynamic-group
GroupZ
データ中心の
セキュリティ
• 使用したIdP
• 所属グループ
• ユーザー名
• IPアドレス

Web Application Firewall
Webアプリケーションのセキュリティ強化
データ中心の
セキュリティ

Oracle Management Cloud
ログ管理・監視・分析
ログ分析の効率化、機械学習
✓ 機械学習による自動分類、異常値検出、アラート
✓ 事前定義済みのログ収集テンプレート
✓ 様々なログフォーマットに対応し、DB監査ログ、ID管理ログやOSログ
などあらゆるログを投入して監査工数の削減に活用
クラスタ分析によるパターン検出・例外検出
✓ 類似パターンを持つログを自動的に認識しグルーピング
✓ 膨大なイベントログをパターン毎に集約
✓ 注意すべき情報をハイライトし、能動的な分析を支援
✓ 「Error」などのキーワードを含むクラスタ
✓ 例外的なメッセージ（件数の少ないクラスタ）
2016-02-29 19:23:42,317 [[ACTIVE] ExecuteThread: '6' for queue: 'weblogic.kernel.Default (self-tuning)'] ERROR
console.ConsolePerfCollector logp.251 - Session Expired while processing page with viewId null,so tracing for the
page is not recorded. ConsolePerfTraceData is...
2016-03-11 17:10:08,130 [EMUI_17_10_08_/console/database/instance/orarep/sqlmonitor/list] ERROR
reports.ReportXmlBean logp.251 - getReportXML SQLException: ORA-31011: XML解析に失敗しました
ORA-19213: 行 1
LPX-00118: Warning: エンティティ“amp;inst_id=1&amp”が未定義です
データ中心の
セキュリティ

価格概要：
* 監査機能は、 100万監査レコード/ターゲット/月まで無償、その他の機能は無償
** 監査機能は、 100万監査レコード/ターゲット/月まで利用可能、その他の機能は追加コストなく利用可能
*** 税抜き価格
サービス名単価単位
1 Data Safe for Database Cloud Service (*) 無償
2 Data Safe for Database Cloud Service –
Audit Record Collection Over 1 Million Records
- 10,000 Audit records per target per month
¥9.60 1万監査レコード/ターゲット/月
3 Data Safe for On-Premises Databases (**) ¥24,000 ターゲット/月
4 Data Safe for On-Premises Databases –
Audit Record Collection over 1 Million records
- 10,000 Audit Records per month
¥9.60 1万監査レコード/ターゲット/月
• Oracle Data Safe
• Oracle Cloud Guard : 無償
• Oracle Maximum Security Zones : 無償

価格概要：
1 Oracle Identity Cloud Service - Enterprise User ¥384.00 ユーザー/月
2 Oracle Identity Cloud Service - Consumer User ¥1.92 ユーザー/月
• Oracle Identity Cloud Service
1 Web Application Firewall - Requests ¥72 1,000,000インカミングリクエスト/月
2 Web Application Firewall - Good Traffic ¥18 グッドトラフィックのギガバイト/月
3 Web Application Firewall - Bot Management ¥480 1,000,000インカミングリクエスト/月
• Oracle Cloud Infrastructure Web Application Firewall
* 税抜き価格

参考資料
概要
• オラクルセキュリティサービス概要
https://www.oracle.com/jp/security/
• オラクルセキュリティ活用事例
https://blogs.oracle.com/sec/case-oraclesecurity
• クラウドセキュリティの最新情報：
クラウドセキュリティナビ
https://blogs.oracle.com/sec
各サービスを詳しく知りたい
• Oracle Cloud Infrastructure Web Application Firewall
https://blogs.oracle.com/sec/introducing-the-oci-waf-jp
• Oracle Data Safe
https://blogs.oracle.com/sec/data-safe-overview
• オラクルが提供するID管理ソリューション
https://blogs.oracle.com/sec/oracleidm1-idm
• Oracle Cloud ：セキュリティとコンプライアンス
https://blogs.oracle.com/sec/oracle-cloud-compliance
セミナー情報
• https://blogs.oracle.com/oracle4engineer/column_cloud_seminar

ありがとうございました
28

Oracle Cloud Infrastructure セキュリティの取り組み [2021年2月版]

Oracle Cloud Infrastructure セキュリティの取り組み [2021年2月版]

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Oracle Cloud Infrastructure セキュリティの取り組み [2021年2月版]

Ähnlich wie Oracle Cloud Infrastructure セキュリティの取り組み [2021年2月版] (20)

Mehr von オラクルエンジニア通信

Mehr von オラクルエンジニア通信 (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (8)

Oracle Cloud Infrastructure セキュリティの取り組み [2021年2月版]