※ 本記事は、David Cross, Miranda Jimenez, Erica Wongによる”Announcing the Availability of Cloud Guard Fusion Applications Detector“を翻訳したものです。

2022年10月18日

Application Securityの次のフェーズ

この投稿のために、Oracle SaaS Cloud Security(SCS)組織のテクニカル・プロダクト・マネジメントからMiranda Jiménez氏とErica Wong氏をゲストにお招きしています。

SaaSモデルに関しては、お客様はスタックのアプリケーション構成、データおよびアイデンティティ・レイヤーのセキュリティを管理および監視する責任を負います。ただし、データ・オブジェクトの管理およびユーザー・ロールおよび職責の構成ミスには、SaaSアプリケーションに対する最も重要な脅威の1つがあります。実際、組織の80%は、ユーザーが仕事を行うために必要なアクセス権限よりも多くのアクセス権限を提供します。17%は、ほとんどのユーザーまたはすべてのユーザーがあまりにも多くの権限を持っていると言います(Cybersecurity Insiders, 2020)。

多層防御戦略の構成要素であるOracle SaaSは、Oracle Cloud Guard Fusion Applications Detectorを使用して、重要なクラウド・サービス全体の異常や疑わしいアクティビティを監視および検出できる統合ソリューションを通じて、セキュリティ問題を特定し、それらを選別するための方法をお客様に提供する、次のステップを踏み出しています。

Oracle Cloud Guard Fusion Applications Detectorとは?

Oracle Cloud Guard Fusion Applications Detectorは、Oracle Cloud HCMとOracle Cloud ERPにおける潜在的なセキュリティの問題を監視して警告するのに役立ちます。Fusion Application環境の機密リソースへの変更をトリガーする事前構成済レシピを提供します。たとえば、機密データや役割とユーザーの機能承認権限の追加、削除または変更など、機密データまたはアクティビティへのアクセスに影響を与える可能性のあるユーザー権限の変更によってレシピがトリガーされます。これらの変更は、規制対象の顧客にとって特に注意が必要な場合があります。

不正行為に関連する機密行為を早期に特定して警告することは、組織へのリスクを軽減するために不可欠です。Oracle Cloud Guard Fusion Applications Detectorを使用すると、機密性の高いFusionオブジェクトに対する変更イベントに基づいてアラートを作成できます。たとえば、ERP管理者および銀行口座の詳細が変更された場合、またはHCMユーザーの給与または福利厚生に変更があった場合に管理者に通知するアラートを作成できます。

CG Fusion Apps

Oracle Cloud Guard Fusion Applications Detectorには、セキュリティ状態を維持するための組込み機能があります。

  • Fusion Applications環境のオンボーディングをシンプルで簡単に。Fusionの登録はポッド・レベルで、単一のターゲットとレシピが同じポッドにデプロイされるときにHCMとERPの両方に適用される可能性があります。
  • 即時利用可能な(OOTB)Fusion Applications Activity Detectorレシピを適用する機能。
  • OOTBテンプレートから新規FAレシピを作成し、組織のニーズに応じて変更する機能。

Cloud Guard Fusion Applications Detectorのユースケース・シナリオ

  • 規制コンプライアンスの維持を支援するリソースを監視: 義務的なプライバシー法および規制への準拠は複雑になる可能性があります。Cloud Guardは、コンプライアンス要件に対応するために環境内のアクセス変更に関連するリスクをより可視化し、監査チームが要件を満たすために焦点を当てる必要がある内容に関するガイダンスを提供します。
  • ユーザー・ロールおよび権限の変更の識別: ユーザー/ロールに基づく権限の管理は、SaaSセキュリティ体制の強化に役立ちます。Cloud Guardは、個々のロールに対するセキュリティおよび機能権限の変更を検出することで、ほぼリアルタイムの可視性を提供します。
     
  • 不審なログインの検出: 組織の安全性のために、不良または疑わしいIPアドレスの検出が不可欠です。Cloud Guard Fusion Applications Detectorでは、ユーザーがさらにアクションを実行するためにログインしている疑わしいIPまたは異常な場所があるかどうかを検出できます。
     
  • 機密オブジェクトの監視および検出: 認証済ユーザーでもリスクが生じます。データにリスクを追加するポリシーを知らずに変更できます。個人識別可能情報(PII)(すなわち、名前、住所、市民権、障害など)および財務データに関連する活動の検出は、疑わしいデータ処理、抽出またはレポートについて警告できます。
     
  • データ・マスキングによる機密データの保護を支援: セキュリティ操作やアナリストは、通常、エンドユーザーのPIIや財務詳細を表示できません。Cloud Guard Fusion Applications Detectorには、エンド・ユーザー情報のプライバシを保護するのに役立つデータ・マスキング機能があります。
  • 全体的なセキュリティの向上: 組織が業務を変革し、クラウド・アプリケーションを保護すると、環境全体のモニタリングと明確なインサイトが課題になります。Cloud Guard Fusion Applications Detectorは、単一のルール設定と監視ポイントを提供することで、これらのギャップを埋めるのに役立ちます。これにより、運用上の議論の基礎を築き、ビジネス・チームとセキュリティ・チームの両方による重要なリスクに対処するためのインサイトを提供できます。

Cloud Guard Fusion Applications DetectorによるHCMおよびERPアプリケーションの保護方法

Targets

Targets

Detector Recipes

Detectorレシピ

Problems

Problems

Targetsは、Cloud Guardが監視するHCMおよびERPリソースおよびインスタンスのスコープを定義します。

Detectorは、ユーザーまたはデータおよびオブジェクト管理に関する潜在的なセキュリティ問題を識別するための一連のルールとして機能するレシピです。Detector Rulesは個別にクローニングおよび管理できるため、特定のルール条件およびリスク・レベルを実装できます。

Problemsとは、Cloud Guardのモニタリングによって生成される出力です。これらは通知形式で表示され、さらに調査するためにHCMまたはERPアプリケーション内のユーザー、ロールまたはオブジェクトに関するセキュリティの問題を示すことができます。

各Detectorレシピは、次のような一連のベースライン・ルールで構成されます:

Role Management

Role Provisioning

PII Object Management

Access management
  • ロールに対するデータおよび機能権限の追加、削除または変更
  • ユーザーのロールの追加または削除
  • 職務分掌
  • 定義済ユーザーのPIIオブジェクトおよびデータの追加、削除または変更
  • ユーザー認証、ログイン、ユーザー名、セッション識別子、IPアドレス
  • 非フェデレーテッドの認証(直接アプリケーション・ログイン)

Cloud Guardを使用すると、次のようにOOTB Fusion Applications Activity Detectorレシピに基づいて新しいレシピをクローニングできます。:

OOTB Detectorレシピを選択できます。:

Detector rules  

独自のDetectorレシピをクローニングおよび作成することもできます:

Detector recipes

 

まとめ

Cloud Guard Fusion Applications Detectorは、データの処理、レポート作成または抽出に関して、潜在的なセキュリティ問題と異常なアクティビティを特定して報告するのに役立ちます。クラウド・ガードを開始するには、Oracleの販売またはサポート担当者にご連絡ください。

インフラストラクチャ・レベルでCloud Guardが実行できることに関心がありますか。Oracle Cloud Guardが提供する機能はこちらでご確認ください。