X

A blog about Oracle Technology Network Japan

  • November 20, 2019

Oracle Autonomous Data Warehouse アーキテクチャと戦略:Part3(全3回)

Bill Kleyman
Switch、Digital Solutions、EVP | 業界インフルエンサー

 

3ブログ・シリーズのパート3:世界初、世界で唯一の自己保護型データベース・クラウド・サービス

 

ITやセキュリティの担当者は、データ侵害について考えただけで肝を冷やしますが、それにはもっともな理由があります。私たちは、データ侵害のコストが金銭的なものにとどまらないことを知っているのです。データ損失の影響は、ブランド、お客様、パートナーシップなど、さまざまなものに及びます。そしてデータをクラウドで管理するようになると、セキュリティ対策はいっそう複雑になります。

オラクルによる最近のセキュリティ・レポートによれば、クラウドとテナントの「Shared Responsibility Security Model」(責任共有セキュリティ・モデル:SRSM)にまつわる混乱が、多大なコストを発生させているとのことです。今年の調査に参加した企業のうち3分の1以上が、そのような混乱が原因でマルウェアに攻撃されたと答えています(34%)。またほぼ同じ割合の回答者(32%)が、監査リスクが増大したと答えました。

責任共有セキュリティ・モデルへの理解が不足しているため、データもリスクにさらされており、結果として権限のない人がデータにアクセスするという事例を30%の企業が経験していました。さらに29%の回答者が、混乱が生じた結果、パッチ未適用または構成を誤ったシステムが侵害されたと答えました。このことから、パブリック接続を使用しているクラウド・インフラストラクチャは、適切に構成されていないパブリック・サービスを狙うボットネットの攻撃を常に受けていることがよく分かります。

御社のクラウド環境は、セキュリティを念頭に置いて設計されている場合のみ、セキュリティが確保されているということを忘れないでください。たとえば最近の調査によれば、全S3サーバーのうちの7%が認証なしに外部から完全にアクセス可能であり、35%は暗号化されていないということです。過去6か月ほどの間に発生したインシデントから推測すれば(Risk Based Securityの最近の調査によると、2019年の前半だけで、3,813件のデータ侵害が報告され、41億件以上のレコードが流出したとのこと)、それらは決して価値の低いデータを格納していたわけではないはずです。

 

先に進む前に、3回連載のOracle Autonomous Data Warehouseのブログ・シリーズのパート1パート2を読んでおくことをお勧めします。しかし、そんなことよりセキュリティについて今すぐに知りたいというのであれば、それもやむを得ないでしょう――セキュリティは重要で、急を要するトピックですから。

Oracle Database Securityのシニア・バイス・プレジデントであるVipin Samarはこのように述べています。「データは最も重要な資産ですが、適切に保護されていない場合は、非常に大きな重荷になります」。それでは、Oracle Autonomous Data Warehouseというソリューションを利用すると、他にはないどのようなメリットがあるのでしょうか。私の見たところでは、セキュリティ面が優れているようです。アーキテクチャ全体のDNAに、セキュリティが組み込まれているのです。説明しましょう。

Oracle Autonomous Data Warehouseは、すべてのデータを暗号化して保存します。承認されたユーザーとアプリケーションのみが、データベースへの接続時にデータにアクセスできます。それ以降、Autonomous Data Warehouseへのすべての接続では、証明書ベースの認証とSecure Sockets Layer(SSL)暗号化が使用されます。つまり、Autonomous Data Warehouseへの許可のないアクセスは発生せず、クライアントとサーバーとの間の通信は完全に暗号化され、妨害や改竄は不可能であるということになります。したがって、悪意ある攻撃(中間者攻撃など)が発生した場合でも、完全に暗号化された通信が傍受されることはなく、Autonomous Data Warehouseは安全に稼働し続けます。

優れた点は他にもあります。データやデータベースへの接続を暗号化するのに、手動による構成は一切必要ありません。Autonomous Data Warehouseがあなたの代わりにやってくれるからです――まさに自律的に。なぜそれが重要なのでしょうか。クラウド・プロバイダーの中には、ストレージ・リポジトリやバケットを実際には暗号化しないところもあるからです。前述のように、セキュリティ企業Skyhigh Networksによれば、すべてのS3バケットのうち、35%は暗号化されていません。そして、このようなセキュリティの欠如はすでに、大手企業に影響を与えています。

Autonomous Data Warehouseは自律的に通信を暗号化するだけではなく、Oracle Cloudのセキュリティ標準に基づいて、すべてのユーザーに強力なパスワードの複雑さのルールを適用しています。まさかと思うかもしれませんが、パスワード・ポリシーについては、今でも多くの企業が問題を抱えています。そのため、ユーザーがパスワードをもっと頻繁に変更していれば、またはもっと複雑なパスワードにしていれば防げたかもしれないデータ侵害が発生しているのです。強力なパスワードの複雑さのルールを適用していれば、御社の最も重要なデータ・ポイントが、厳しいセキュリティ・ポリシーから外れることはありません。

さらに制限を厳しくするには、ネットワーク・アクセス制御リスト(ACL)を指定します。ネットワークACLを指定することで、特定のAutonomous Data WarehouseデータベースのみがACLにあるアドレスからの接続を受け入れ、他のクライアント接続はすべて拒否されます。つまり、悪意のあるアクセス試行やなりすまし攻撃は失敗します。ネットワーク・アクセス制御リストでは、ADWデータベースにアクセスできるデバイスを細かく指定できます。

Oracle Autonomous Data Warehouseには、セキュリティのベスト・プラクティスをお客様のデータに実装する以外にも、他にはない特長があります。お客様のデータウェアハウスを自動で保護するのです。これがどんなにすばらしいかと問われれば、非常にすばらしいと私は答えます。

 

世界初、世界で唯一の自己保護が可能な自律型ウェアハウス

これについては、Autonomous Data Warehouseブログ・シリーズのパート1パート2で詳しく取り上げています。しかし、このサービスがユーザーのために実行する、強力な自律型プロセスが多数あることに触れておくのは重要なことです。

  • Oracle Autonomous Data Warehouseが自己稼働型であるというのは、ネットワーク構成、ストレージ、データベースのパッチ適用およびアップグレードをお客様に代わって行う、完全に管理されたデータウェアハウス・クラウド・サービスであるという意味です。お客様側ではDBAは必要ありません。
  • Oracle Autonomous Data Warehouseは自己修復型でもあります。すべてのコンポーネントは高可用性を念頭に置いて設計されており、バックアップは完全に自動化されています。つまり、このアーキテクチャは停止時間に対する保護を備えており、その保護は設計の中心に組み込まれています。データベースを稼働させ続けるためにデータ・プラットフォームがアクティブに働いてくれているのを知れば、あなたも夜や週末の時間を自由に使えるようになるでしょう。

Autonomous Data Warehouse

Oracle Autonomous Data Warehouseは自己保護型です。

この種のデータベースとしては最初の自己保護型自動ウェアハウス・データベースですが、自己保護はOracle Cloudインフラストラクチャとデータベース・サービスのセキュリティから始まっています。Oracle Cloudインフラストラクチャの一部であるAutonomous Data Warehouseエコシステムの中では、セキュリティ・パッチは必要に応じて自動で適用されるため、脆弱性の存在する期間が短くなり、パッチが適用されていないシステムが抱えるリスクを軽減できます。

さらに、パッチ適用はスタック全体、つまりファームウェア、オペレーティング・システム(OS)、クラスタウェア、データベースを対象とします。お客様側で必要な手順はありません。パッチ・リリースを手動で追跡したり、スタックのさまざまなレイヤーで複数のパッチを追跡したりした日々はもう過去のものです。まさに「自己保護型」という言葉がぴったりです。

Oracle Autonomous Data Warehouseの自己保護型サービスは、データベースを含めたインフラストラクチャのセキュリティの状態を管理します。すべての処理が自動で行われ、ヒューマン・エラーの入り込む余地はありません。このエコシステムではここから、送受信中も、保存中も、バックアップされている間も、お客様のデータは常に暗号化されます。暗号化鍵は自動で管理され、ここでもお客様の介入は一切必要ありません。また、市場に出ている一部のデータ・ソリューションとは異なり、暗号化をオフにすることはできません。デフォルトでオンになっています。これほどまでにデータ侵害が蔓延している今の時代に、御社の大事なデータを暗号化せずにいていいはずがありません。

最後に、Oracle Autonomous Data Warehouse Cloudの管理作業は、ログに記録されて集められ、異常なアクティビティがないかどうか監視されます。そうです、ご想像の通り、Autonomous Data Warehouseサービスが異常な動作や異常なユーザー・アクセスをスキャンして、評価します。つまり、Autonomous Data Warehouseは定義済みのポリシーを使用してデータベース監査を行うため、お客様は何らかの異常のアクセスがあった場合にログを確認できます。

Autonomous Data Warehouseによる事前予防的かつインテリジェントな保護があるとはいえ、お客様はデプロイしているワークロードとデータに対して、セキュリティのベスト・プラクティスが適用されるように引き続き努めなければなりません。Oracle Database Securityのシニア・バイス・プレジデントであるVipin Samarはこのように述べています。「クラウドでのデータベースの保護は、共有責任です。オラクルがインフラストラクチャとネットワークを保護し、OSとネットワークの動作を監視し、OSとデータベースにパッチおよび更新を適用し、暗号化、適切な責任の分散、さまざまな認証を処理します」。

Samarはさらに続けます。「お客様企業は引き続き、アプリケーション、ユーザー、データを保護していく必要があります。そのためには、自社を標的とする攻撃をアプリケーションが阻止できるようにし、自社のユーザーがセキュリティのベスト・プラクティスに従い、ふさわしい管理によって機密データが保護されている状態を保つ必要があります。ある意味では、こうした要件は企業が現在利用しているオンプレミス・データベースの場合と同じであり、異なるのはセキュリティに関するインフラストラクチャの部分をオラクルがすでに引き受けているということだけです」。

自動で保護、自律的にインテリジェント

昨今の脅威を拡散させている媒体の規模、スピード、破壊力を考えると、当面の間、ビジネス・リーダーは心の安まるひまがなく、テクノロジーも停滞してはいられないでしょう。しかし、Oracle Autonomous Data Warehouseソリューションの一部である自動化されたセキュリティ・テクノロジーと、クラウドベースのID管理により、企業はリスクを管理できるようになります。

データとインフラストラクチャへの攻撃は、さまざまな形を取って行われます。国家を含む悪意ある攻撃者、APT攻撃、組織的犯罪、そして意図的ではない(または何らかの不満を抱いてなされる)内部の人間による脅威はすべて、御社のビジネスにも大きく関係しています。御社のインフラストラクチャ、オペレーティング・システム、アプリケーション、ユーザー、そしてもちろんデータベースが標的になる可能性があるのです。

データセットの価値がいよいよ増している今、いったん足を止めて、データベースについて十分に理解し、自社がどのようにデータを活用しているかを把握しましょう。

信じられないかもしれませんが、データなくしては何も進まない今の世の中で、自社のデータベースがどれほど安全なのか、機密データはどこに保存されているのか、実際にどれほどの量のデータを保有しているのかといったことを把握していない企業が多数あるのです。御社がそうであるなら、データの海を自分たちだけで泳いでいこうとはしないでください。

たとえばオラクルは先般、Oracle Autonomous Databaseの機能であるOracle Database Security Assessment Toolをリリースしました。このツールを使用すれば、先ほど挙げたような質問に答えられるようになります。このツールはさまざまなセキュリティ構成パラメータを確認して、不足している点を特定し、必要なセキュリティ・パッチを探します。そして暗号化、監査、アクセス制御などのセキュリティ対策が施されているかを確認し、ベスト・プラクティスと照らし合わせます。

このAssessment Toolで、自社の機密データはどこに格納されているか、どれほどのデータがあるのかを確認できます。Oracle Database Security Assessment Toolは個人を特定する情報、仕事のデータ、健康状態に関するデータ、財務データ、情報技術に関するデータなど、50種類以上の機密データについて、データベースのメタデータを検索します。そうしたデータのセキュリティ上のリスクを把握するためです。

また、この評価ツールは、検索結果に注目させたり、推奨事項を提示したりする機能があるため、グローバル企業の規制遵守に役立ちます。検索結果や推奨事項は、欧州連合の一般データ保護規則(EU GDPR)とCenter for Internet Security(CIS)ベンチマークの双方に対応しています。

御社のデータ(と評判)を守りたいのであれば、データ・セキュリティへの第一歩として、問題解決につながる質問に対する答えを考え、現在のデータの使用方法を把握し、スマートで自律したソリューションを活用することで、データの管理方法とデジタル・マーケットへのアプローチの方法を刷新することをお勧めします。覚えていてほしいのですが、まず取りかかるべきなのは、自社のデータ要件を十分に理解することです。つまり、以下の質問に答えられるようになってください。

  • データ量は増えているのか。管理が複雑になっているか。
  • セキュリティに関して「恐怖」を感じたことがあり、ポリシーの改善が必要とされているか。
  • 現在使用しているデータ・システムには、インテリジェンスが全般的に不足していないか。
  • データ分析を適切に利用できていないために、競争上の優位性を失っていないか。
  • データを可視化できる優れたソリューションを使用しているか。
  • データの使用場所を増やしたり分散させたりしようとしているか。

ふさわしい種類のデータ駆動型アーキテクチャを見極めるのに役立つ質問は、他にもたくさんあります。Oracle Autonomous Data Warehouseがあれば、この難題に取り組むときに、当て推量で進むのを避けられます。自己稼働型、自己修復型、そして自己保護型であるという特長はすべて、御社がデータウェアハウスを最大限に活用できるようにするための設計です。

私が最初の投稿で書いたように、データは御社の業務にとって不可欠なものです。セキュリティも同じです。セキュリティは非常に重要であり、手抜きをする余地などありません。何よりも、時代遅れのアーキテクチャに足を引っ張られることのないように気をつけてください。環境が複雑化し、断片化が進むと、管理が難しくなるだけではなく、セキュリティのリスクが増大します。実際に、データ侵害の発生事例のうち85%は、すでに入手可能であったパッチが適用されていれば防げたかもしれないものです。Oracle Autonomous Data Warehouseのようなソリューションと、それを支える自己保護型アーキテクチャがあれば、そうした種類の脅威を排除し、本当に価値のあるもの、つまりユーザー、ビジネス、データに注意を集中させることができます。

Photo by Steven Su on Unsplash

 

※本記事は、Bill Kleyman(EVP of Digital Solutions, Switch | Industry Influencer) による”Oracle Autonomous Data Warehouse: The world’s first and only self-securing database cloud service“を翻訳したものです。

 


AutonomousDatabaseを無期限 / 無料(Always Free)で使用可能になりました。

Cloudをまだお試しでない方は、無料トライアルをご利用下さい。

 

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.