※本記事は、Miranda JimenezPraveen Kollaikalによる”SaaS cloud security: Know your responsibility”を翻訳したものです。

 

クラウド・プロバイダは「セキュリティの責任共有」についてよく話をしますが、つまるところそれは何なのでしょうか。

自社のデータ・センターでエンタープライズ・ソフトウェアをオンプレミス型のITインフラ上で稼働させる場合、そのインフラのセキュリティとデータ、そして実行するアプリケーションのセキュリティ責任はお客様にあります。しかしながら、オラクルなどのパブリック・クラウド・モデルに移行すると、特定の責任はクラウド・プロバイダに移譲されます。

このブログ投稿は、クラウド・プロバイダであるオラクルとクラウドのお客様が、さまざまなセキュリティ責任においてを負うそれぞれの役割、およびセキュアなクラウド環境を確保するためにどのように協力するか、について明確にすることを目的としています。

では、現在のオンプレミス型アプリケーションがクラウドに移行する際に、どのように変化するかについて深堀していきましょう。

 

responsibilities
図1: オンプレミス型においてお客様が負うセキュリティの全責任と、オラクルなどのクラウド・プロバイダが基本的なセキュリティ対策を行うクラウドにおける共有責任との対比

 

クラウドの責任共有を受容するということ

ハードウェアからアプリケーションまでのセキュリティを含むあらゆる領域を管理することは、非常に複雑で、時間も費用もかかります。そこで、SaaSクラウド・モデルに移行すると、SaaSプロバイダがほとんどのタスクの責任を負う形に再編成されるのです。オラクルがSaaSプロバイダとして、インフラからオペレーティング・システム、アプリケーションまでのすべてを保護する責任を負うことで、お客様はデータの管理、アクセスの微調整、そしてビジネスの拡大に集中することができるのです。

アイデンティティとデータのセキュリティ

SaaSエンタープライズ・クラウド・モデルでは、アプリケーションに対するアイデンティティおよびアクセス権限はお客様が制御します。重要なデータ、機能、ビジネス・オブジェクトなど、クラウド・リソースに対するアクセス権の定義、監督および管理(認可されたユーザーへのアクセス権の付与、取消し、更新など) は、お客様の役割となります。これらの権限は、お客様の会社としてのIdentity and Access Management (IAM)ポリシーにおいて管理される必要があります。ユーザー作成プロセス、パスワード管理、ログイン・メカニズム、シングル・サインオン(SSO)および多要素認証(MFA)などの職責も同様にお客様によって管理されます。オラクルには、SaaSアプリケーションを実装・運用する際に使用するIAMツールが用意されており、そのツールを使ってお客様のIAMのプラクティスをSaaSのアイデンティティ管理に適用していただけます。

ユーザー・アクセスのハイジーン(衛生管理)に対する厳格な基準を維持することは、特権アクセス管理(PAM)を含むクラウド・セキュリティの基礎となります。データ保管者として、受信データと送信データの両方の全データが安全に管理されるようにするのはお客様の責任となります。転送中のデータを暗号化するためのTransport Layer Security (TLS)の実装は、オラクルのエンドポイントに到達する前にデータを保護し、SaaSサービスとの間で転送中のデータの機密性と整合性を保護するために不可欠です。

responsibilities comparison
図2: オンプレミスからSaaS環境までのさまざまなコンポーネントにわたるクラウド・セキュリティに関して、お客様とオラクルの役割の比較と責任共有モデルの概要

 

コンフィギュレーションとセキュリティ管理

クラウドのデータ保護には、コンフィギュレーションの管理がとても重要です。Gartnerは、「クラウドのセキュリティ侵害の90%はコンフィギュレーションのミスによるものだ」と述べています。お客様は、コンフィギュレーションの管理をプラクティスの軸として優先し、セキュリティ上の欠陥がないかを継続的に監視および検証する必要があります。まず、お客様のセキュリティのポリシーとベスト・プラクティスに従ってアプリケーションのセキュリティを制御してください。そして、厳格なガバナンスを実施し、徹底した監査を行い、適切なコンフィギュレーションを維持してください。以下は、その主なプラクティスの例です。

 

モニタリング

用心が肝要ですので、ガバナンスのプラクティスとして、SaaSアプリケーション全体のセキュリティを定期的に確認および監視する必要があります。すべてのコンフィギュレーション、アイデンティティとアクセス権、および機密データの変更の一貫した検証と監視を確実に実施してください。監査APIまたはOracle Risk Management and Complianceサービスなどのツールを効果的に使用し監視することで、ユーザー・アクセスおよびコンプライアンスの問題を検出してください。

 

コンプライアンス

オラクルは、国内、地域、および国際的な枠組みに従って、年に一度のコンプライアンス監査を実施し、当社の統制が業界標準に準拠していることを確認しています。お客様の役割は、オラクルが取得している認定(Service Organization Controls (SOC)、Payment Card Industry (PCI)、Health Insurance Portability and Accountability Act (HIPAA)、Federal Risk and Authorization Management Program (FedRAMP)などのレポート含む)およびオラクルの企業セキュリティ慣行を定期的に確認いただくことです。これらのレポートを入手するには、お客様の担当者に直接お問い合せください。

 

コミュニケーション

絶えず情報を得ることは、責任共有型セキュリティにおけるお客様の基本な役割です。セキュリティ・アラート、サービス停止時間、メンテナンス計画、あらゆるパフォーマンス関連の通知など、オラクルからのアップデートにご注意ください。 

また、カスタマ・サポート・ポータルで、Oracleサポート記事、Oracleブログ、新機能や新製品のお知らせの確認を日常的に行ってください。 Cloud Customer Connectで実施しているプログラムを通じて専門のエンジニアと連携してください。より深い関わりを持つためには、Voice of the Customerに参加してSaaS Cloud Security (SCS)チームと直接話をしてください。質問がある場合やインシデントを報告する必要がある場合は、セキュリティ・イベントとしてサービス・リクエストを起票してください。

 

Trust but Verify(信頼せよ、されど検証せよ)

オラクルは、SaaSクラウド・プロバイダとして、データを保護するための堅牢なセキュリティ対策を維持しています。お客様は、サービスのセキュリティ・ステータス情報を定期的に確認する必要があります。主なリソースには、Consensus Assessment Initiative Questionnaires (CAIQ)、SIGアンケート、SOC 1、SOC 2レポート、および年間セキュリティ評価レポートがあります。これらのレポートは、包括的なインサイトをご提供するものです。より詳細なレビューが必要な場合は、契約に基づいて監査権限を発動し、Oracle Trust Centerにアクセスして、公開されている資料の詳細を確認してください。

 

ベスト・プラクティスに従う 

業界のベストプラクティスに沿って、SaaSクラウド・セキュリティを強化してください。徹底したデータ検出、暗号化、キー管理、ワークステーション・データ損失防止(DLP)の対策を講じてください。オラクルのアプリケーションの中には、Internet Content Adaptation Protocol (ICAP)を使用した、ファイルとドキュメントのスキャン機能が統合されているものがあります。強力なセキュリティ・ガバナンスとポリシーを維持するために、クラウドにアップロードする前に常にファイル・スキャンすることをお薦めします。

 

教育

SaaSクラウド・システムのすべての企業ユーザーに自身のセキュリティの責任について教育することは、セキュアなクラウド戦略にとって重要です。お客様は、従業員の皆さまが適切なセキュリティ・トレーニングを受けられるようにする必要があります。オラクルの場合は、クラウド・プロバイダとして、我々の従業員のセキュリティ教育を非常に重要視しています。年次のトレーニング・セッションは、チームのセキュリティに対する高い意識と警戒心を保つための手段であり、次のようなトピックが含まれます。

  • セキュリティ・ポリシーと実践方法
  • 職務分掌の保守
  • ソーシャルエンジニアリングやフィッシングなどにおける最新の脅威の認識
  • 安全なブラウジング 
  • セキュアなデータの取り扱い
  • パスワード管理

 

結論

絶えず悪質な攻撃者(bad actors)と戦っている現代の脅威の世界では、システム、データ、評判を守ることはオラクルとお客様の共同責任です。SaaSプロバイダとして、オラクルはセキュリティ責任の大部分を担います。しかし、セキュリティの責任共有の本質はコラボレーションですので、お客様の資産を保護するための役割を認識し果たしてください。 

この投稿で、Oracle SaaS Cloudのセキュリティの責任共有が意味するところが明らかになれば幸いです。より深く理解し、セキュリティ戦略を強化するためには、このブログ中に張られているリンク先もぜひご参照ください。

 

ミランダヒメネス

ミランダ・ヒメネス
プロダクト・マーケティング・マネージャー
Miranda Jimenezは、Oracle SaaSクラウド・セキュリティの製品管理チームのメンバーであり、メッセージング戦略の開発、コンテンツ作成、製品のローンチ、その他のセキュリティに関するマーケティングのイニシアチブに注力しています。
ミランダはテクノロジーに情熱を持ち、その普及に貢献するためにテクノロジー・プロジェクトに従事してきました。

 

プラビーン・コライカル

プラビーン・コライカル
VP SaaSセキュリティ
Praveenは、オラクルのSaaSクラウド・セキュリティ製品管理のバイス・プレジデントです。彼は、20年近くにわたり、Salesforce、Yahoo、McAfee、KLA-Tencorで製品の構築やチームの牽引など、複数のリーダーシップの役割を果たしてきました。Praveenはカリフォルニア大学バークレー校とマサチューセッツ工科大学において、電子工学の学士号と、エンジニアリングのリーダーシップとサイバー・セキュリティを専攻とするMBA を取得しています。