Oracle Cloudはエンタープライズ・レベルのセキュリティ/コンプライアンス対応を提供する──「Oracle CloudWorld 2013」レポート

オラクルが提供を開始した「Oracle Cloud」は、Oracle Databaseなどのオラクル製品を利用する企業が、エンタープライズ・レベルの性能、可用性、拡張性、管理性を備えたクラウドを求める際に最有力の選択肢となるクラウド・サービスだが、企業のITマネジャーとしては、そのセキュリティやコンプライアンス対応の方針がどうなっているのかが気になることだろう。2013年4月9日に都内で開催された「Oracle CloudWorld 2013」では、米国オラクル・コーポレーションでOracle Cloud の運用を担当する幹部が来日し、そうした疑問に答えるべくセッションを実施した。(編集部)

Oracle Cloudのセキュリティ・アプローチ、各国法制度への対応は?

米国オラクル・コーポレーション Oracle Cloud Operations バイスプレジデントのレーフ・オルソン氏
 オラクルが持つハードウェア/ソフトウェア技術を結集して提供される「Oracle Cloud」の特徴の1つは、企業がオンプレミスで利用しているオラクルのアプリケーション群やOracle Databaseなどのミドルウェア群を、そのままクラウド上で利用したり、オンプレミス/クラウド間で連携や移行を行ったりできる点だ。これにより、企業はオンデマンド、スケーラブル、高可用性、高コスト効率といったOracle Cloudの利点を享受しつつ、オンプレミスのIT資産も引き続き生かすことができる。この点に魅力を感じるIT部門は多いはずだが、1つ気がかりなのは、セキュリティやリスク管理に関する対応方針だろう。

 Oracle CloudWorld 2013では、こうしたCIO/ITマネジャーの疑問に答える場として、米国オラクル・コーポレーションでOracle Cloud Operationsバイスプレジデントを務めるレーフ・オルソン氏によるセッション「Oracle Cloudが実現する、世界最高レベルのセキュリティ/コンプライアンス」を実施。Oracle Cloudが採用しているセキュリティ・アプローチや、各国の法制度への対応状況などが説明された。

 セッションの冒頭、オルソン氏は、オラクル・コーポレーションのCIOであるマーク・サンデー氏がクラウドのセキュリティについて語ったビデオを流し、その中で触れられた重要なポイントとして次を挙げた。


  • セキュリティの仕組みが、クラウド上に最初から作り込まれていること
  • ビジネス・ユーザーだけでなく、ITプロフェッショナル・ユーザーにとっても使いやすいものであること
  • 業界別、地域別のコンプライアンスに対応していること

 「これらのポイントについて、すべてのクラウド・プロバイダーから同じ品質が提供されているわけではない」とオルソン氏。「クラウド・サービスを検討する際には、この点に気をつけていただきたい」と注意を促した。

クラウドで難易度が増す「リスク管理」の課題

 かつては企業のCIOとしての職務も経験したオルソン氏は、「CIOは、常に複数の課題に同時に取り組んでいる」と語る。その課題とは、ITリソースの「デリバリ(提供)」を確実に行ってビジネスを円滑に進めること、その導入や運用にあたって「経済的な効率」を追求すること、そしてセキュリティ対応やコンプライアンス順守などITシステムに関する「リスク管理」を行うことだという。

 今日、クラウドが注目されているのは、これら3つの課題に対して有効なソリューションだからである。「デリバリ」に関しては、最新のテクノロジーを迅速かつ柔軟に取り込んでいける点が、「経済的な効率」については、必要に応じて必要な量だけリソースを調達できるユーティリティ・コンピューティングやサブスクリプション・モデルを適用している点がメリットとして挙げられる。

 また、3つ目の「リスク管理」に関しては、クラウドを利用する際、「その管理を誰が行うのか」が問題となる。

 「クラウドを使う場合でも、ユーザーが自らすべてのリスク管理をしなければならないとすれば多くのコストがかかる。これについては、ユーザーとクラウド・プロバイダーが協力して課題に取り組めるかどうかが大きなポイントになる」(オルソン氏)

世界中にデータセンターを構築して各国のニーズ/事情に対応

 オルソン氏は、Oracle Cloudのコンセプトとして、“ミッション・クリティカルなクラウド”である点を挙げる。エンタープライズ・レベルのビジネス・バックボーンを支えるシステムに求められる可用性、柔軟性、管理性を実現するにあたり、Oracle Cloudでは次のようなアプローチをとっているのだという。

  • IT要件を初期段階から組み込んで設計
  • 多層防御によるセキュリティの確保
  • フルスタックでのオーナーシップ
  • コンプライアンスに対する包括的なコントローラビリティ

 これらのアプローチの実践例として、オルソン氏はグローバルに展開しているデータセンターを紹介した。日本でもクラウド・サービス専用の新たなデータセンターを開設することが発表されている。

 「これらのデータセンターは、それぞれの地域に応じた展開を行っていくうえで重要な投資だ。サービスを提供する各国のルールや企業の事情に合わせて、場合によってはデータを分散させて保持するだけでなく、特定の地域や国にまとめておくことも求められる。Oracle Cloudでは、そうしたニーズへの対応も可能となっている」(オルソン氏)

巧妙化するサイバー攻撃に備え、多層防御のセキュリティ・アプローチを採用

 オルソン氏が率いる「Oracle Cloud Operations」では、現在300人以上のオラクル社員が、24時間365日体制でOracle Cloudユーザーのサポートを行っている。

 その中で、セキュリティに関するチームは担当分野ごとに細分化されており、業務実施、民間企業/政府機関のコンプライアンス、現場での指揮監督といった役割ごとに、それぞれのエキスパートが対応している。セキュリティ・チームに関しては、専門知識レベルもさることながら、過去の犯罪歴なども含め一般社員よりも厳しい採用審査を実施し、業務プロセスの遂行についても厳格なルールが定められている。

 また、スタッフによる厳格な業務プロセスの順守と併せて、複数レベルでのファイアウォールの設置、侵入検知と攻撃への対処、ホスト・システムのセキュリティ強化などの取り組みも行っている。特に侵入検知に関しては、「単一の攻撃だけを分析対象にしたのでは対応が難しい攻撃パターンでも、複数顧客のシステムやデータセンターをまたいだ攻撃を総合的に分析し、効果的に対処できる」(オルソン氏)点が、グローバルに展開するOracle Cloudの強みの1つだという。

 さらに、これらのセキュリティ確保に使われるコンポーネントが、「Oracle Identity Manager」、「Oracle Access Manager」や、「Oracle Database Vault」、「Oracle Audit Vault」といった、すでに世界中のエンタープライズ・システムで豊富な実績のあるテクノロジーだという点も大きなポイントだ。

 監査については、日次および四半期ごとのインフラおよびアプリケーションのスキャン、四半期ごとのパッチとバージョンのレビュー、規則に従ったアクセス権限の棚卸し、疑似攻撃による脆弱性の発見などの作業を実施している。

インシデント発生時には顧客とオラクルが連携して対処

 万が一、Oracle Cloud上で何らかのインシデントが検知された際には、オラクル・チームによる回避作業、フォレンジック(詳細調査)作業、ユーザーへの通知の実施と併せて、製品チームや開発チーム、法制対応チームなど、オラクル内の他の組織が共同で対処する。

 「日々の監視の中で、何か問題が発生した場合には、迅速に分析してお客様にその旨を通知し、お客様とオラクルが一丸となってインシデントに対応していく体制を整えている」(オルソン氏)

 一方、コンプライアンスに関しては、基本的に「ISO 27001/2コントロールフレームワーク」に基づくプログラムを実施しており、第三者機関による監査を年次で受けている。準拠している標準規格としては、ISOのほかに「SSAE16(SOC 1,2)(米国保障業務基準)」、「HIPPA(医療保険の相互運用正と説明責任に関する法律)」、「DIACAP(米国国防総省情報保障認定および資格プロセス)」、「英国データ保護法」などがある。「コンプライアンスについては、国や企業のニーズに応じて柔軟に対応できる」とオルソン氏は胸を張る。

 最後にオルソン氏は、改めてOracle Cloudがクラウドの利点を享受しつつ、エンタープライズ・レベルのセキュリティやコンプライアンスに十分に対応可能なサービスであることを強調したうえで、「オラクルは、Oracle Cloudの多層防御、脅威への対応プロセスに多くの投資を行ってきた。Oracle Cloudで提供するプロフェッショナルなサービスの内容や規約、使い方について、引き続き一貫性を保ってユーザーの皆様にお伝えしていきたいと思っている。もし必要なものがあれば、我々から提供させていただくので、ぜひ要求をお聞かせいただきたい」と呼びかけてセッションを締めくくった。


Comments:

Post a Comment:
Comments are closed for this entry.
About

Twitter
Facebook

Search

Recent Posts
Archives
« 4月 2014
  
1
2
3
4
5
6
7
9
10
11
12
13
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today