クラウド環境の進展によるセキュリティ対策の複雑化しており、弊社へもご相談を頂く機会が増えております。

昨今、情報セキュリティは経営層の最優先課題になっています。これは自社の機密データがハッカーの手に落ちることだけでなく、自社ブランドが永続的に損なわれることを懸念しています。

クラウドセキュリティで考慮すべき点

あるセキュリティ意識トレーニング企業の創設者によると、重大な侵害を受けたことを公表した中小・中堅企業の約60%は6~12か月以内に倒産しています。原因としては、ベライゾンの2021年データ漏洩/侵害調査報告書では、データ漏洩の原因をみるとフィッシング、人的ミス、IDやパスワードの紛失・盗難など人的要素が含まれているものが85%、「OracleとKPMGによる公開されたセキュリティ脅威レポート」では、人手を介した運用により設定ミスが発生し、それに起因したデータ損失が51%発生しており、人手による運用が大きな要素となっています。

また、クラウドならではの考え方として、責任共有モデルがあります。これは、クラウドで提供されるシステムにおいて、クラウド事業者が責任を持つ部分とサービスを利用する顧客が責任を持つ部分を明確に分ける考え方で、大きく3つに分類されます。

  1. ユーザー管理:お客様側でツールの活用やセキュリティ構成の管理を実施
  2. 共有責任:クラウド業者は仕組みを提供、お客様は管理作業に責任
  3. クラウド事業者管理:セキュアなクラウド・インフラとサービスをクラウド事業者が実施

オラクルのクラウドセキュリティへの取り組み

オラクルでは、Oracle Cloud Infrastructure の 共有責任モデルに対して、SECURITY ON THE CLOUD、SECURITY OF THE CLOUDと分けて対応を行っています。

  • SECURITY ON THE CLOUD:セキュリティのベストプラクティスをデフォルトで提供することで、セキュアなクラウド基盤を提供します。
  • SECURITY OF THE CLOUD:お客様側でツールの活用やセキュリティ構成の管理をより効率化・自動化をするための各種サービスを提供しており、オラクルが力を取り組んでいるところです。これによって先ほどのセキュリティ課題である人為的なミスや故意のセキュリティ侵害の低減を実現します。

Oracle Cloud Infrastructure のセキュリティは3つのポイントがあります。

  1. 新世代クラウドとしてのセキュア・バイ・デザイン
  2. 自動化されたセキュリティ管理
  3. データのセキュリティ

 

1.新世代クラウドとしてのセキュア・バイ・デザイン

クラウド・インフラストラクチャのアーキテクチャ設計の段階から組み込まれたセキュリティであり、これまでのPublic Cloudでは実現できなかった、より堅牢かつ高性能なインフラレベルのセキュリティを提供します。

  • 強力、完全なテナント分離
    • ネットワークの仮想化をお客様が利用する環境が乗っている物理サーバーとは異なるサーバーで実行し、テナント間で影響を与えない完全なネットワーク分離を実現します。セキュリティ的にもパフォーマンス的にも独立した領域を担保し、物理的に独立した専用環境(Bear Metal)も提供
  • 強制的な暗号化
    • OCIに存在するすべてのデータ・サービスはOracleがフルマネージドで暗号化。ネットワーク通信もすべて暗号化し、ユーザー側で解除することはできない。
  • 階層型権限管理 (コンパートメント)
    • リソースと権限の管理を階層型で管理します。ベストプラクティスに従った設定が容易で、うっかりミス(意図しない権限付与)や越権行為が困難なデザインになっています。

 

2.自動化されたセキュリティ管理

現在発生しているセキュリティ・インシデントの最大の原因である人による設定・運用ミス、ヒューマンエラーを排除するために、完全に自動化されたセキュリティ管理を無償で提供します。

  • リスクのある設定を自動検知(Cloud Guard)
    • クラウドでの情報流出事故の原因となる設定ミスやうっかり変更をテナントを横断して常時監視し、発見、対処します。
  • ポリシーの自動適用 (Maximum Security Zones)
    • 高セキュリティなコンパートメントを設定し、その内部ではセキュリティポリシーに従った設定を強制します。
  • 脆弱性をスキャン (Vulnerability Scanning)
    • ​​​​​潜在的な脆弱性についてホストを定期的にチェックし、セキュリティの脆弱性を迅速に特定します。
  • 脆弱性を自動修復 (Autonomous Database)
    • メンテナンス上大きな工数となるパッチ適用を自動化します。サイバー攻撃の多数を占める既知の脆弱性をついた攻撃に対処できます。
  • 自動化されたログ分析(Oracle Management Cloud / Observability and Management)
    • 機械学習によりOS層、アプリ層を含む稼働情報やログを収集・分析し、ビジュアル画面で障害予兆検知や素早い障害解析が可能となります。

3.自動化されたセキュリティ管理データ中心のセキュリティ

ゼロトラストにおいても、データ中心のセキュリティ対策が重要といわれておりますが、オラクルが40年以上にわたって培ってきた多層防御のコンセプトの中核をなすもので、データそのものセキュリティを強化します。

  • DBセキュリティ対策の自動化(Data Safe)
    • データベースのセキュリティ設定をスキャン、自動レポート&対処。機密データの自動検出と隠蔽を実施し、DB上のアクティビティの自動モニタリングします。
  • 特権ユーザーのアクセス制御(Database Vault)
    • データベース管理者を含む特権IDに対するデータアクセス、操作権限を制限し、アプリに依存せずDB側で厳密にアクセスを強制的に制御します。
  • データドリブンセキュリティ (Virtual Private Database / Data Redaction / Label Security)
    • 作業に不要な機密データへのアクセスを制御し、利用者の属性に応じた行・列レベルでのアクセス制御を行うことで、データの最小権限の読み取りを実現します。
  • 多要素認証とリスクベース認証(Identity Cloud Service)
    • 最新のセキュリティ要件に応じたクラウドID管理システムを構築済みSSOサービスとして提供。多要素認証・リスクベース認証やIPアドレス、グループなどに応じた接続制御が可能。
  • ボット対策とWAF(Web Application Firewall)
    • HTTP経由の攻撃をブロックする高度なWAFを提供。ツールによる大量攻撃に対抗する高度なボット対策も利用可能。

 

参考資料

■ セキュリティソリューションを活用頂いているお客様

■ カタログ

  • 準備は万全ですか?マルチクラウド時代のID管理とセキュリティ対策
    マルチクラウド環境のセキュリティ、利用監視、ガバナンスを実現するには?機械学習技術を活用した高度な脅威検知と、迅速なID/アクセス管理、多層防御によるセキュリティリスクを低減するIDaaS (Identity as a Service) を簡単に実現できるサービスをご紹介します。
  • クラウド時代の運用管理とセキュリティ対策の最適解
    IT運用の高度化とセキュリティ対策が急務となる昨今、他社クラウドもオンプレミスも含んだ運用管理、アクセス監視、セキュリティ対策など包括的なソリューションが必要です。クラウド時代に最適なセキュリティ対策、統合運用管理のソリューションをご紹介します。

■ Slideshare

■ その他参考情報