Oracleは、クラウド・サインイン時に多要素認証を要求することで、攻撃対象領域をさらに削減

※ 本記事は、Matthew Flynnによる”Oracle further reduces your attack surface by requiring multifactor authentication at cloud sign-in“を翻訳したものです。

セキュリティは、常にOracle Cloud Infrastructure (OCI)の最優先事項でした。信頼を築くことは基盤であり、企業は長年にわたりOracleを信頼してきました。当初から、オラクルはセキュリティをクラウド・プラットフォームの構成要素として設計していました。ただし、その選択はセキュリティ態勢にも影響を与える可能性があります。そのことを念頭に置いて、すべてのOCIテナンシでマルチファクタ認証の使用を強制する変更を最近実装しました。

Oracle Cloud、設計によってセキュリティを組み込む

OCIは、デフォルトですべてのアクセスを拒否します。ストレージ・バケットはデフォルトでプライベートであるため、機密データを誤ってパブリックのストレージ・バケットに入れる可能性は低くなります。誰かがOCI Identity and Access Management (IAM)サービスを使用してバケットをパブリックにしなければならず、その操作は監視され、監査証跡に記録されます。実際、Cloud Guardを設定してアクティビティを検出し、ストレージ・バケットやアクセス・ポリシーの変更をセキュリティ・チームに警告することができます。また、ビルトインのレスポンダ・レシピを設定して、バケットの可視性をプライベートに戻すこともできます。また、「バケットをパブリックにしない」というポリシーを強制したい場合は、クラウド管理者がバケットをパブリックにする権限を持っていても、Security Zoneを設定してバケットをパブリックに変更できないようにすることもできます。これは、ストレージ・バケットだけではありません。これらのセキュリティ機能は、OCI Computeインスタンスからネットワーキング・コンポーネントまで、あらゆるOCIリソースに適用されます。

OCIは、インフラ上で提供するセキュリティ機能に加え、インフラ自体もセキュリティを最優先に設計しています。OCIの分離されたネットワーク仮想化により、オラクルのクラウド管理コードがお客様のハードウェアで実行されることはありません。この機能は、敵がコンピュート・ホスト上でroot権限を取得した場合でも、ネットワーク上での横移動を防ぐことができます。ハードウェアベースのRoot of Trustは、プロビジョニング時にファームウェアを常に検証するため、サプライチェーンの攻撃やマルウェアからの保護に役立ちます。

OCIをセキュアに使用することを選択する必要

OCIがお客様にとって最も信頼できるクラウド・プラットフォームになるよう、多くのリソースを投入しました。このセキュリティは、OCI全体に組み込まれており、使いやすく、深く統合されています。セキュリティはチーム・スポーツです。クラウド管理者は、セキュリティ・ポリシーの作成、データの共有または管理権限の付与を制御できます。アクセス権限を別のユーザーに付与するたびに、攻撃対象領域が増える可能性があります。

フィッシング攻撃と中間者攻撃はより高度になり、これらの手口の多くは、洗練されたクラウド管理者からも資格証明の取得に成功し続けています。従業員の資格情報をダーク・ウェブで売られることを望む人はいません。

幸いなことに、比較的単純なアプローチでは、資格証明の漏えいに関連するリスクを大幅に軽減できます。多要素認証(MFA)またはパスワード以外のものを含む強力な認証技術をすでに使用している可能性があります。たとえば、Fast Identity Online (FIDO) パスキーは、使いやすく、管理者の既存のデバイスですでに使用可能である可能性が高い、強力でフィッシングに強い認証アプローチを提供します。MFAソリューションは、通常、少なくとも2つの認証を組み合わせています。所持情報(デバイス)と、知識情報(ピンまたはパスコード)または生体情報(バイオメトリック・スキャン)を組み合せます。MFAのメリットは非常に影響力が大きいため、すべてのOCIテナントにデフォルトで実装することにしました。

強力な認証がデフォルトで有効に

2023年夏、私たちはOCI全体で、サインオン・セキュリティをさらに強化し、MFAをOCI全体のデフォルトのセキュリティ態勢として実施することで、資格情報が漏洩するリスクを防ぐための措置を講じました。すべての新しいテナンシは、クラウド管理者に対してデフォルトでMFAを有効にして作成されます。Oracleは、すべての既存のテナントに、MFAの使用を強制するOracle Cloudコンソールのデフォルト・ポリシーを設定しました。

ワークロードに適したセキュリティを引き続き構成することをお薦めします。たとえば、Oracle Cloud Guardを使用して、セキュリティ態勢を弱める可能性のある構成を理解および監視し、Security Zoneを使用して予防的な方法でポリシーを適用し、OCI IAMを使用してゼロトラストおよび最小権限の原則を適用します。さらに、すべてのクラウド管理者に対して引き続き強力な認証が必要です。オラクルのその他のクラウド・セキュリティ・ポートフォリオを確認して、これらのサービスがお客様の環境のセキュリティ確保にどのように役立つかをご確認ください。

もっと知りたいですか?

Oracle Cloud Infrastructureの詳細は、Oracle Cloud無料トライアルから始めるか、デモのためにOracle営業チームにお問い合せください。