※ 本記事は、Mahesh Thiagarajanによる”How Oracle intends to become your most trusted cloud platform“を翻訳したものです。
2023年10月2日
お客様は、クラウドへの信頼に懸念を抱くことがよくあります。クラウドの財務上および運用上の利点には異論の余地はありませんが、重要なビジネス・データを保護するクラウドの能力に懐疑的な人もいます。オラクルでは、クラウド上およびクラウド内でセキュリティとプライバシーを構築し、オラクルをクラウド・プロバイダとしてお客様と信頼を築くために役立つソリューションの開発を続けています。
オラクルは、最も重要なデータの防止、監視、緩和、保護、暗号化、アクセスに役立てるサイバー・セキュリティ機能をフル・スタックで提供しています。これらのセキュリティ機能はすべて、分散クラウドを通じて利用できます。その結果、お客様はOracle Cloud Infrastructure(OCI)を使用して、80を超えるグローバル、地域、業界標準に対応できます。
クラウド上のセキュリティとプライバシーに対するオラクルのアプローチは、シンプルで簡単で、緊密に統合され、完全なコントロールを提供する3つの主要な原則に焦点を当てています。こうした考え方を念頭において、オラクルはお客様がクラウド上で自身を守れるよう、新しいソリューションで絶えずイノベーションを続けています。
シンプルで簡単
オラクルは、セキュリティ・サービスを構築する際に、シンプルで規範的なセキュリティ・サービスを提供することの重要性を認識しています。セキュリティ・サービスを導入しやすくすることで、お客様はデータとアプリケーションを迅速に保護できます。
Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)では、拡張された認証オプションのセットが提供されるようになりました。FIDO2標準は数年間サポートされていますが、パスキー、アダプティブ・セキュリティ、Active Directoryへの委任認証、ソーシャル・サインオンおよびフェデレーションの認証を追加しています。
Oracle Access Governanceは、クラウド・ネイティブなアイデンティティ・ガバナンスおよび管理(IGA)サービスとして、直感的なユーザー・エクスペリエンス、動的なアクセス制御、および規範的な分析主導のアクセス・レビュー・プロセスを提供します。このサービスは、お客様がアクセス・プロビジョニングを管理し、アクセス権限とクラウド・インフラストラクチャ・ポリシーのレビューに関するインサイトを取得し、セキュリティ・リスクを修正するのに役立ちます。Access Governanceを使用すると、クラウド・インフラストラクチャおよびアプリケーションの重要なITリソースへのアクセスのプロビジョニングおよび管理を自動化できます。
OCI Key Management ServiceおよびOCI Dedicated Key Management Serviceにより、データの保護とデータ・ソブリン要件への対応をさらに強化できます。OCIは、Thalesグループと共同で外部キー管理を構築し、OCIの外で作成および管理する暗号鍵を使用してデータを暗号化できます。OCI Dedicated Key Management Serviceでは、OCIにプロビジョニングされた専用のシングルテナント・ハードウェア・セキュリティ・モジュール(HSM)を使用して、暗号化鍵を制御できます。
Oracle Database 23cでは、すべてのデータベースで次の機能を使用できるセキュリティ・バーが強化されています:
- SQL Firewall。受信SQL文を監視し、セッション・コンテキストと発行された文を有効なファイアウォール・ポリシーと比較することによって、SQLインジェクションや盗難データベース・ログイン資格証明などのセキュリティ問題の解決に役立ちます。
- スキーマ権限(Schema Privileges)によって、スキーマ全体へのアクセス権を付与でき、すべての表およびプロシージャへのシステム・レベルのアクセス権を付与するリスクなく、表やプロシージャなどの個々のデータベース・オブジェクトへのアクセス権を付与する既存の機能が拡張されます。
- 最新バージョンのトランスポート層セキュリティ(TLS 1.3)のサポートを含む、ネットワーク暗号化の改善。これにより、スループットが最大15%向上し、TLSでOSの証明書ストアを使用できるようになります。
OCI Network Firewallは、お客様がファイアウォールの強制を簡単に追加できるようにし続けています。最新リリースのサービスでは、ポリシーのスケールの向上、リージョン内のすべての可用性ドメインにわたる高可用性、高スループットおよびバルク・ポリシー・インポートにより、ファイアウォールの機能を拡張します。OCI Network Firewallを使用すると、管理者は単一のネットワーク・ファイアウォール・ポリシーを大規模なエンタープライズ・グレード・レベルに拡張し、リージョン内のすべての可用性ドメインにわたってリージョナルな高可用性を持ち、ファイアウォールでのユーザー・エクスペリエンスを向上させることができます。
Oracle EU Sovereign Cloudを使用すると、民間および公共部門の組織はデータ・プライバシをより詳細に管理し、機密データとアプリケーションをEUのデータ・プライバシおよびソブリン要件に合わせてクラウドを配置できます。
オラクルは、Top Secret/Sensitive Compartmentalized Information(TS/SCI)ミッションをホストするために米国インテリジェンス・コミュニティによってTop Secret Cloud Authorizationを達成しました。この新しい認定により、国防総省(DoD)とインテリジェンス・コミュニティ(IC)がOCIのイノベーションにアクセスできるようになり、オラクルのエンタープライズ認定は、非機密情報、管理された非機密情報(CUI)、および最高機密のワークロードをサポートするように拡張されます。
緊密に統合
オラクルは、最初から、インフラストラクチャ、データベース、アプリケーション、クラウド全体にわたって緊密に統合されたセキュリティを開発しました。私たちは、お客様が均一な分散クラウドを持っていないことを認識しています。当社は、お客様のセキュリティを確保し、お客様のセキュリティ戦略を当社の要件に合わせて変更しないよう努めています。
Oracle Cloud Guardは、基本的なクラウド・セキュリティ態勢管理(CSPM)を超えて、次の新機能を備えたクラウド・ネイティブ・アプリケーション保護プラットフォーム(CNAPP)およびクラウド・ワークロード保護プラットフォーム(CWPP)に移行することで、セキュリティを支援する範囲を拡大し続けています:
- Log Insight Detector: ソースに関係なく、ログ・オブジェクトを問い合せた結果に基づいてアラートを作成
- Workload Protection: コンピュート・インスタンスをモニターして、フリートのセキュリティ状態の評価を支援
- Container Governance: Oracle Container Engine for Kubernetes (OKE)デプロイメントの検出およびガードレールを提供
OCI Configは、運用、セキュリティ、コンプライアンス、分析のユース・ケースに対処するためのOCIおよびカスタム・リソースからのインサイトを提供するフルマネージド型の単一テナント・サービスです。このサービスでは、ユース・ケースに応じてリソース構成データをデータベースまたはデータ・レイクに格納し、Oracle Analytics Cloud (OAC)を利用した、すぐに使用できる充実したデータ・ビジュアライゼーションを提供し、大規模なデータ処理のためにSQLまたはApache Sparkを使用したデータ問合せを可能にします。OCI Configは、対応するリソースの構成情報を提供して、Oracle Cloud Guardで識別される問題へのレスポンスをトリアージおよび評価できます。
また、Stellar Cyber、DigiCert、Qualysなど、OCIを自社のホーム・ベースにしたセキュリティ・テクノロジ・パートナーシップも拡大し続けています。サードパーティのクラウド・セキュリティ・パートナとともに、オラクルは顧客のインフラストラクチャ、アプリケーションおよび開発スタック全体で多層防御を提供しています。
完全なコントロール
どこにいても、データとアプリケーションの制御を維持する必要があることを認識しています。したがって、完全なコントロールの実現には、分散クラウドのインフラストラクチャで一貫性がある必要があります。同時に、クラウドの取り込みが増加してIT環境が分散クラウド・デプロイメントでより複雑になるため、組織が既存のプラクティスやツールを使用してデータを保護することはますます困難になっています。たとえば、現在のほとんどのシステムでは、データベース、ネットワークおよびアイデンティティのセキュリティのサイロ化されたソリューションを、異なる環境の数で乗算して調整するためのセキュリティ・チームが必要です。アプリケーション、環境およびユーザーが絶えず独立して変化するので、これらのソリューションが連携して機能することは困難です。今日のセキュリティ・システムでは、正社員や請負業者など、過度に許容されない方法や制約のないタイプの個人を区別するために、広範な構成も必要です。
オラクルは、組織が分散IT環境のデータをより適切に保護するのに役立つ、ネットワークおよびデータ・セキュリティのための新しいオープンスタンダードを設計するために、業界全体のイニシアチブに参加しています。この新しい取り組みの中で、オラクルはApplied Invention、他の主要なテクノロジー・プロバイダ、およびその他の業界リーダーとコラボレーションしています。この新しい標準のZero Trust Packet Routingにより、ネットワークは、すべてのシステムおよびユーザーに対してセキュリティ・ポリシーを均一に適用できるアイデンティティ対応セキュリティ・レイヤーを使用して、共有セキュリティ・ポリシーをまとめて強制できます。
この新しいイニシアチブをサポートするために、オラクルは、Oracle Zero Trust Packet Routing Platformを発表します。このプラットフォームは、組織が正当な活動のハードルを追加することなく、不正なアクセスやデータの使用を防止するのに役立ちます。このプラットフォームを使用すると、人による読みとりや監査、理解が可能なユーザー属性とデータ属性を持つインテント(意図)・ベースのセキュリティ・ポリシーを定義できます。ネットワーク・レイヤーでは、テクノロジによってセキュリティ・インテントが強制され、ネットワーク全体にポリシーが分散されます。時間の経過とともに、プラットフォームはシステムの変更を継続的に監視し、セキュリティの意図が強制されることを確認し、管理者がネットワーク全体のポリシー強制を監査、検証およびビジュアル化できるようにします。スタンダードおよびZero Trust Packet Routing Platformを使用すると、オラクルはクラウド・セキュリティを向上させ、データへのアクセス、移動および保護の方法を再定義します。
まとめ
オラクル・セキュリティ・チームからの継続的なイノベーションと、ネットワークとデータ・セキュリティに革命を起こしたいというオラクルのビジョンを組み合せることで、セキュリティ態勢管理、ホストベースの制御、脆弱性や脅威のスキャン、アイデンティティとアクセス管理ネットワーク・コントロールが組み込まれ、導入が容易なクラウド・プラットフォームの登場を意味します。オラクルはセキュリティ・ポートフォリオの構築を継続しており、これらのサービスは、お客様が最も信頼できるクラウド・プラットフォームとなるための継続的なイノベーションの始まりにすぎません。
詳細は、次のリソースを参照してください: