※ 本記事は、Sarah Fujitaによる”Oracle sovereign cloud solutions: Control over your data with access management“を翻訳したものです。

2023年5月22日

この投稿は、クラウドにおけるデータ・ソブリンに関するマルチパート・シリーズのパート3です。

顧客が強力なデータ・ソブリン戦略を実装できるようにするために、Oracleは、データを制御するためのより多くのオプションを組織に提供する分散クラウド・アプローチを開発しました。Oracle Cloud Infrastructure(OCI)サービスの特長や機能、クラウド・リージョンの構築方法にかかわらず、セキュリティおよびアクセス管理はデータ保護の基盤となります。データ保護の規制には、誰が、どこで、どのようにデータにアクセス、処理および格納できるかに関する非常に具体的な要件があります。

セキュリティとソブリンが収束する方法の1つは、OCIのクラウド・リージョン・グループ間の物理的および論理的な分離です。これについては、前の記事「レルムの活用によるクラウド分離の強化」で取り上げました。OCI独自のレルム分離アプローチは、様々なタイプのリージョンにアクセスできるユーザーを制限し、独自の顧客ユース・ケースと要件に基づいて特定のコンプライアンス標準を実装するための構造を提供します。レルムは、OCI内のアクセス管理の不変部分として特徴付けられます。

この投稿では、クラウド・リソースおよびデータへのアクセスの管理によって、不正なアクセス、収集、使用またはデータの開示のリスクをどのように軽減できるかなど、アクセス管理についてさらに詳しく説明します。

OracleがOCIへのアクセスを管理する方法

クラウド・コンピューティング業界では、クラウド・サービス・プロバイダがクラウドのセキュリティを担当し、顧客またはテナントがクラウドのセキュリティを担当する共有責任という考えについてよく話します。しかし、このプロセスは実際にはどのようなものなのでしょうか?

Oracleは、OCIの開発、管理、サポートに必要なOCIの部分へのエンジニアリングおよび運用チームのアクセスを管理します。OCIへのアクセスは最小特権の概念に基づきます。つまり、機能の実行および厳格なアイデンティティ認可ポリシーの実装に必要な最小限のロール資格に制限されます。OCIをサポートするインフラストラクチャとサービスへのオペレーション・スタッフのアクセスには、マルチファクタ認証、VPN接続、およびユーザー・アカウントとパスワードまたは秘密キーを使用したSSH接続が必要です。

セキュリティは認可と認証で終了しません。アクセスの監視も同様に重要です。OCIは、OCIサービスをサポートするサーバーおよびネットワーク・デバイスの認証ログを継続的に監視するためのソリューションを採用しています。

すべてのOCIデプロイメント・モデルに同じアクセス制御が実装されています。ただし、アクセスを管理する機能には、セキュリティ・クリアランスと担当者の居住地に基づいて、制限の層をさらに実装する機能が必要な場合があります。レルムの分離により、Oracleは、このタイプの拡張アクセス制限をサポートするプロセスを設計しました。これらの追加レベルのアクセス制御は、分散クラウド戦略の中核であり、OCIは、ガバメント・クラウド、分離された地域、および欧州連合のソブリン・クラウド・リージョンに個別のサポートおよび運用モデルを提供できます。

次の表のリージョン数は、2023年5月現在のものです。OCIは定期的に新しいクラウド・リージョンを開いています。最新の詳細は、パブリック・クラウド・リージョンを参照してください。

Oracle Cloud Deployment Models

顧客がOCIでアクセスを管理する方法

クラウド・プロバイダとして、Oracleは、OCIで収集、処理または格納する顧客データに関する洞察を得ていません。クラウド内のデータのセキュリティはユーザーの責任で、適切なセキュリティ・プラクティスの実装には、クラウドのリソースとデータへのアクセスの管理(データの適切な分類や関連するコンプライアンス要件の満たすなど)が含まれます。データ・ソブリンにおいて、この側面は、データの不正アクセス、使用または開示から保護することを意味します。

どのクラウド・デプロイメント・モデルを選択したかにかかわらず、OCIのサービスと機能によって、クラウド・テナンシに格納されたクラウド・リソースおよびデータへのアクセスを制限し、アクセスおよびセキュリティ・リスクの監視に役立つ機能が提供されます。組織は、次のコアOCIサービスを使用して、アクセス管理に対する包括的なアプローチを実装できます。:

  • Identity and Access Management (IAM)サービスでは、お客様は組織のクラウド・リソースへのアクセス権を持つユーザーを制御できます。IAMは、テナンシ全体の顧客セキュリティ・モデルをサポートするための十分な柔軟性があり、単一のテナンシ、コンパートメント、またはリソース・セットに制限されています。

  • Vaultのキー管理により、お客様が管理するキーを使用して、お客様データの暗号化を一元管理できます。キーの作成、ローテーション、有効化または無効化、リソースへのキーの割当て、およびデータの保護のための暗号化および復号化のためのキーの使用を行います。状況に応じて、Vaultをマルチテナント・ソフトウェアベースのキー管理サービスとして、または専用のHSMモジュールとして実装できます。いずれの場合も、Vaultはレルム内に排他的に配置されます。

  • Auditサービスでは、OCIパブリック・アプリケーション・プログラム・インタフェース(API)へのコールが、Oracle Cloudコンソール、ソフトウェア開発者キット(SDK)またはコマンドライン・インタフェース(CLI)から発信されたかどうかにかかわらず、ログに記録されます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、ソースIPアドレス、ユーザー・エージェントなどが含まれます。これらのログに記録されたイベントのデータは、キーおよびVaultに対する管理アクションの追跡など、テナンシ内のアクティビティをモニターできるようにすることで、データの保護に役立ちます。

  • Access Governanceは、インサイトベースのアクセス・レビュー、アイデンティティ分析およびインテリジェンス機能を提供するクラウド・ネイティブのアイデンティティ・ガバナンスおよび管理(IGA)ソリューションです。これにより、ユーザー機能およびアクションを監査して、テナンシ管理機能への現在の適切なレベルのアクセスを決定できます。

  • Cloud Guardセキュリティ・ゾーンは連携して、構成とユーザーのセキュリティ・ポリシーを定義および適用し、テナンシの変更およびアクティビティをモニターし、問題が検出されたときに修正アクションを実行します。

OracleのEverything Everywhereイニシアチブは、すべてのデプロイメント・タイプにわたって技術的および運用上のパリティを推進します。そのため、選択したクラウド・デプロイメントに関係なく、すべてのOCIセキュリティおよびアイデンティティ・サービスが使用可能であることが保証されます。クラウド・リソースおよびデータへのアクセスを管理することは、強力なデータ・ソブリン戦略に貢献しますが、それだけにとどまりません。アクセスを制御することは、必要なときにデータを移動できることも意味します。

OCIはお客様にデータの移植性と可用性を実現

マルチクラウド・アプローチを採用するお客様が増えるにつれ、データの移植性と可用性の重要性を過小評価することはできません。データをクラウド・プロバイダから遠ざけるまでも、データを制御する能力は、データ主権の重要な側面です。

Oracleでは、データを移行する必要がある場合は、データをペナルティにする必要はありません。ネットワーク・エグレス用の高価格でデータを制限する他のクラウド・サービス・プロバイダとは異なり、オラクルのアプローチは、ネットワーク・エグレスと無料のイングレスを毎日低価格に顧客に提供することです。

データの移植性を向上させるために、OCI Data Transferなどの業界をリードする低アウトバウンド・データ転送速度とサービスを提供し、OCI環境との間でデータを安全に出し入れします。また、Oracleは、ターミネーションおよび終了が発生した場合でも、データの権利が変更されないように契約上の約束をします。

Oracleは、大量のデータ転送要件があるワークロードでも、OCIへのデータの移動を簡単かつコスト効率よく行えます。これは自分のデータであり、自分で制御できるはずです。

Oracleのソブリン・クラウド・ソリューションを使い始める

強力なセキュリティ体制は、あらゆるソブリン・クラウド戦略の重要な要素であり、適切なアクセス制御を導入する必要があります。Oracleのソブリン・クラウド・ソリューションは、データを管理し、データの不正アクセス、収集、使用または開示の潜在的なリスクを軽減する機能と機能を確保します。

アクセス管理のフォローアップとして、オラクルのソブリン・クラウド・ソリューション・シリーズの次の記事では、クラウドの運用とサポートによって、最も機密性の高いワークロードに対する保護と制御を強化する方法に重点を置いています。このプロセスがOCIガバメント・クラウド、分離された地域、欧州連合のソブリン・クラウド・リージョンにとって何を意味するか、そしてそれがお客様のソブリン・クラウド戦略にとって重要である理由について説明します。

アクセス管理についてご質問がある場合や、Oracleのソブリン・クラウド・ソリューションについて詳しく知りたい場合は、いずれかの担当者にご連絡ください。Oracle Cloud Infrastructureが提供する様々なデプロイメント・モデルの詳細は、次のリソースを参照してください: