Save 37% off PRO during our Black Friday Sale! »

ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日) / 20211006-OCW-Zerotrust-Ransomeware

ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日) / 20211006-OCW-Zerotrust-Ransomeware

2020年8月に公開されたNIST SP 800-207 Zero Trust Architectureから1年が経ちました。
この間、日本では内部不正事案の増加、ランサムウェアなどの外部からの攻撃も継続的に発生し、ゼロトラストセキュリティ対策へのお客様の意識に変化が生じています。

10/6に、米国での最新動向も交えながら今求められるデータセントリックなセキュリティ対策の考え方をお伝えするとともに、オラクルのソリューションで解決するセキュリティ対策について事例を交えながらご説明します。

Oracle Cloud ウェビナーシリーズ情報: https://oracle.com/goto/ocws-jp
セッション動画: https://oracle.com/goto/ocws-jp-video

140494d272a4d89883a94fdfdb29dea2?s=128

oracle4engineer
PRO

October 07, 2021
Tweet

Transcript

  1. Oracle Cloud ウェビナー ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ 2021年10月6日 日本オラクル株式会社 事業戦略統括 事業開発本部 大澤

    清吾, CISSP
  2. 1. セキュリティトレンド 2. ランサムウェア対策への考え方と対策 3. ゼロトラストセキュリティの最新情報とお客様の気づき 4. 今後求められるセキュリティ対策と日本の取り組むべき点 5. オラクルのセキュリティへの取り組み

    アジェンダ Copyright © 2021, Oracle and/or its affiliates 2
  3. 情報セキュリティにおける脅威は、外部脅威と内部脅威の2つに分類することが出来ます。標的型攻撃は起点となる 外部脅威の対策だけではなく、内部脅威に対するセキュリティ対策も重要となります。 情報セキュリティにおける脅威 Copyright © 2021, Oracle and/or its affiliates

    3 外 部 脅 威 無差別型攻撃 ✓ 成功事例の多いシステムの脆弱性を利用し、無差 別に行う ✓ システムの脆弱性(パッチの未適応)を狙う ◼ “85% ”のセキュリティ侵害は、CVEの発表後に発生(*1) ◼ クラウドサーバーをネット接続から“約52秒後”にサイバー攻撃の標的(*2) ◼ Amazon S3バケットの設定ミスを悪用し、無差別にクレジット カード情報を窃取するスクリプトがばら撒かれる(*3) 標的型攻撃 ✓ 組織の脆弱性を推定して、環境に応じて攻撃を行い、 成功するまで標的を繰り返し攻撃する ◼ Webアプリケーションの脆弱性をついた攻撃により内部に侵入(*4), インスタンスの資格情 報を盗み、ストレージから“暗号化されていないDBバックアップファイル”を奪取 ◼ 被害者のネットワークへのアクセスを取得し、偵察活動を行う、データを盗み出すための ネットワークリソース、バックアップ、またはその他の機密ファイルを探し出し、 “攻撃者は人 手によりランサムウェアを展開し、被害者のデータを暗号化“する (*5) 内 部 脅 威 従業員による不正アクセス ✓ 内部で権限を持つアカウントから重要な情報にアクセ スし、外部に持ち出す ◼ 従業員が“顧客サポート用のデータベースへ不正アクセス” (*6)し、顧客情報を不正に 持ち出し、第三者へ売却 ◼ SNSから技術開発担当へ接触し営業秘密情報持ち出し、中国企業に情報を提供 (*7) ◼ ライバル企業に転職した技術者が、転職前の企業の営業秘密情報を不正に取得(*8) *1 : CISA: Top 30 Targeted High Risk Vulnerabilities *2 : https://japan.zdnet.com/article/35135993/ *3 : https://gigazine.net/news/20190712-magecart-hack-amazon-s3-buckets/ *4 : https://searchsecurity.techtarget.com/news/252467901/Capital-One-hack-highlights-SSRF-concerns-for-AWS *5 : https://www.ipa.go.jp/files/000084974.pdf *6 : https://blog.trendmicro.com/trend-micro-discloses-insider-threat-impacting-some-of-its-consumer-customers/ *7 : https://www.nikkei.com/article/DGXMZO64989980U0A011C2AC8Z00 *8 : https://www.nikkei.com/article/DGXZQODG1204J0S1A110C2000000 内 部 脅 威 対 策 が 必 要
  4. システム開発等を担当するパート ナーSEが、2017-2019年の間に、 210名分のID、パスワード、取引暗 証番号などを不正入手 課題 • システム管理担当者が顧客情 報にアクセスできてしまった • 多要素認証が必須ではなかった

    解決策 • 管理者へのアクセス制御の実現 • 厳格な本人確認:多要素認証 会計システムの更新プロジェクトに携 わっていた中国の再委託先の社員が、 取引先情報など約7万件を不正に 取得 課題 • 中国から個人情報にアクセスす る業務を実施 • 個人情報を伏字化していない 解決策 • 業務委託先からのアクセス・ ルートの制限 • 開発データのマスキング 特権IDを不正利用し、捜査情報や 人事情報に不正アクセス。さらに、上 司のパソコンで不正プログラムを実行 し、26万件の運転免許データを削除 課題 • 管理者への権限過剰付与 • 改ざん対策ができていなかった • 不正な操作を検知できなかった 解決策 • 管理者の職務分掌の実現 • データの改竄・消去の防止 • 異常操作の早期発見&警告 昨今の事案 Copyright © 2021, Oracle and/or its affiliates 4 再委託先からの不正アクセス システム担当による内部不正 パートナー企業による不正アクセス
  5. セキュリティインシデントが与える経営への影響とクラウドセキュリティ対策の課題 Copyright © 2021, Oracle and/or its affiliates 5 60

    % 重大な侵害を受けたことを公表した 中小・中堅企業の約60%は 6~12か月以内に倒産(*1) 企業の経営への影響 *1 出典:https://www.itpro.co.uk/security/data-breaches/357941/how-much-will-a-data-breach-really-damage-your-organisations *2 出典: Oracle and KPMG Threat Report 2020 *3 出典: https://www.darkreading.com/operations/85--of-data-breaches-involve-human-interaction-verizon-dbir/d/d-id/1341012 設定ミスによるデータ損失の発生 51% 人手を返した運用により 設定ミスに起因した、データ の損失が51%発生 (*2) 85 % データ漏洩の85%は フィッシング、人的ミス、認 証情報の紛失・盗難など 人的要素を含む (*3) データ漏洩における人的要素
  6. 6 Copyright © 2021, Oracle and/or its affiliates サイバーセキュリティモデルの変遷 1990

    2000 2010 2020 ………… データ量 境界防御 (Perimeter Defense) 縦深防御 (Defense in Depth) サイバーレジリエンス (Cyber Resilience ) ゼロトラスト又はデータドリブン防御 Zero Trust Defense or Data-Driven Defense Build Security Into Your Network’s DNA: The Zero Trust Network Architecture Forrester 2010 Policy Decision Point(PDP) Policy Enforcement Point(PEP) X.500 電子ディレクトリ・サービス 情報機関改革及び テロ予防法(2004) Federal Identity, Credentialing and Access Management (FICAM) De-Perimeterization (非境界化) - Jericho Forum 2007 NIST SP 800-207 Zero Trust Architecture, 2020 NCSC Zero trust principles – Beta Release, 2020 DoD Zero Trust Reference Architecture, 2021 Executive Order on Improving the Nation’s Cybersecurity, 2021 DoDブラックコア The Road to Zero Trust(Security): DIB Zero Trust White Paper, Defense Innovation Board, 2019 出所:Seigo Osawa & Hideki Matsuoka, Oracle Corporation Japan, 2021 エドワードスノーデン (2013) アメリカ同時多発テロ事件 (2001) 重要インフラへの攻撃 (2021) ✓ セキュリティモデルは数年毎に大波を迎え、過去の思想を塗り替えて成長 ✓ モデル変更の理由は、サイバー攻撃の高度化、組織化(国家支援型等) ✓ 過去のモデルの全否定ではなく、境界防御をやりながらゼロトラストを目指す
  7. 1. セキュリティトレンド 2. ランサムウェア対策への考え方と対策 3. ゼロトラストセキュリティの最新情報とお客様の気づき 4. 今後求められるセキュリティ対策と日本の取り組むべき点 5. オラクルのセキュリティへの取り組み

    アジェンダ Copyright © 2021, Oracle and/or its affiliates 7
  8. セキュリティの考え方 Copyright © 2021, Oracle and/or its affiliate 8 Confidentiality

    (機密性) Integrity (完全性) Availability (可用性) 資産の正確さ及び完全さを保護する特性 データの改ざん・破壊、システム停止 許可されていない個人、エンティティ又はプロセス に対して、情報を使用不可又は非公開にする特 性 情報漏えい、不正アクセス 認可されたエンティティが要求したときに、 アクセス及び使用が可能である特性 システム停止
  9. • 米国の30,000組織が影響を受ける • ハッカーはExchangeの脆弱性を利用 して電子メールアカウントにアクセスした • ウェブシェルマルウェアをインストールし、 被害者のサーバへの継続的な管理ア クセスを実現 2021年5月

    2020年12月 2021年5月 • コロニアル・パイプラインは5,500マイル (テキサス州からニュージャージー州ま で)のパイプラインを運営 • 1日に1億ガロンの燃料を輸送 • 燃料配送パイプライン全体を停止し、 米国東海岸のガソリンおよびジェット燃 料の配送に影響 • 500万ドルの身代金 (Darkside) • サプライチェーン攻撃 - Solarwinds Orionのコードに注入されたマルウェア • 米国内の8,000の組織が影響を受け る(複数の政府機関を含む • Microsoft、VMWare、Ciscoが影響 を受ける • ベンダー製品に対する顧客の信頼性に 影響を与える 9 最近のランサムウェアの攻撃 Copyright © 2021, Oracle and/or its affiliates
  10. 二重の脅迫 従来のランサムウェアはコンピュータに保存されているデータを暗号化して復号のための身代金を要求する(第一弾の脅迫) だけでしたが、昨今増加している二重恐喝脅迫型ランサムウェアは第二弾の脅迫としてコンピュータ内に保存されている データを公開すると脅迫して、金銭を要求します。 従来のランサムウェアではデータ暗号化のみでしたのでバックアップからデータを復元できれば元の状態に戻すことができてい ましたが、昨今の二重恐喝脅迫型ではデータを復元できたとしてもデータを不正に公開されるリスクが残ってしまいます。 事業継続を脅かす新たなランサムウェア攻撃 Copyright © 2021,

    Oracle and/or its affiliates 10 企業のネットワークに 侵入し、横展開 データ破壊 暗号化、バックアップ削除 データ復旧に 身代金を要求 支払いに応じない場合、 情報を公開すると脅迫 データ搾取 参照:https://www.lac.co.jp/lacwatch/report/20210405_002585.html 参照:https://www.ipa.go.jp/security/announce/2020-ransom.html 従来型のランサムウェア 二重恐喝脅迫型のランサムウェア Availability (可用性) Integrity (完全性) Confidentiality (機密性)
  11. オラクルの多層型 対ランサムウェア 防御&保護 Copyright © 2021, Oracle and/or its affiliates

    11 攻撃ベクトル: クレデンシャルの収集/盗難、 フィッシングメール、フェイク SWアップグレードアラート 初期攻撃: ハッカーチームは、コ マンド&コントロール センターを設定して 悪意のある活動を 開始 データとストレージの攻撃: 恐喝目的でデータを操作お よび公開 バックアップアクセス: ランサムウェアは、バックアップを 含め、接続されたシステムへの 横方向の移動を試みる データアクセス: ローカル、ドメイン、およびネット ワークアクセスの特権クレデンシャ ルの盗難 ランサム支払い データ復旧の保証なし
  12. オラクルの多層型 対ランサムウェア 防御&保護 Copyright © 2021, Oracle and/or its affiliates

    12 DBSAT, ユーザーアカウント, 特権とロールの検証 透過的暗号化とセキュリティ 強化された Exadata Infrastructure DON’T pay ransom! データの欠損なくクリーンな環境 あるいは、フルリカバリー Oracle Audit Vault and Database Firewall 攻撃ベクトル: クレデンシャルの収集/盗難、フィッシ ングメール、フェイクSWアップグレード アラート 初期攻撃: ハッカーチームは、コマンド &コントロールセンターを設 定して悪意のある活動を 開始 データとストレージの攻撃: 恐喝目的でデータを操作および公開 バックアップアクセス: ランサムウェアは、バックアップを含め、接 続されたシステムへの横方向の移動を 試みる ZDLRAによるトランザクションなデータ保護、 バックアップ有効性検証、サイバーレジリエンス データアクセス: ローカル、ドメイン、およびネットワークアクセス の特権クレデンシャルの盗難 ランサム支払い データ復旧の保証なし ZDLRA Cyber Vault: エアギャップバックアップコピー
  13. Copyright © 2021, Oracle and/or its affiliates 13 • セキュアな構成、最新のパッチ、隔離されたネットワーク

    • 強力なID管理、柔軟なデータ側からのアクセス管理 • Oracle Exadada, Data Safe, Database Vault ランサムウェア対策 未然の防止 • Transparent Data Encryption (TDE) • Key Vault • AVDFでの検知検出, Data Safe データ流出対策 • ZDLRA(Zero Data Loss Recovery Appliance) • Data Guardによる障害対策 ランサムウェア リカバリー対策 Oracleが貢献可能なランサムウェア対策 二段階の脅迫回避 ソリューション 「ZDLRA、TDE、OCI Object Storageの組 み合わせ」 米国メガバンク 50台以上のZDLRAで 10000DBを保護
  14. 1. セキュリティトレンド 2. ランサムウェア対策への考え方と対策 3. ゼロトラストセキュリティの最新情報とお客様の気づき 4. 今後求められるセキュリティ対策と日本の取り組むべき点 5. オラクルのセキュリティへの取り組み

    アジェンダ Copyright © 2021, Oracle and/or its affiliates 14
  15. 2021.9 2021.8 2021.6 2021.5 2021.2 2020.8 ゼロトラストセキュリティのこの1年を振り返る Copyright © 2021,

    Oracle and/or its affiliates 15 NIST SP 800-207 Zero Trust Architecture Executive Order on Improving the Nation’s Cybersecurity NCSC Zero trust principles DoD Zero Trust Reference Architecture (Draft) CISA Zero Trust Maturity Model (Draft) Moving the U.S. Government Towards Zero Trust Cybersecurity Principles (Draft)
  16. アメリカ合衆国国防総省(DoD) : ゼロトラストセキュリティを提供 Copyright © 2021, Oracle and/or its affiliates

    16 出典:https://www.afcea.org/content/dod-offer-zero-trust-architecture-year ネットワーク中心のセキュリティモデルからデータ中心の セキュリティモデルへのこのパラダイムシフトは、 最初にデータと重要なリソースを保護する方法に重点を置き、 次にネットワークに重点を置く すべてを許可して例外で拒否するのではなく、すべての [ネットワークアクセス]を拒否して例外で許可するという 基本的な前提を変更 巧妙な攻撃者は私たちの資格情報を盗み、特権に昇格し、 データを盗み出します。だからこそ、データ侵害を防ぐために、 ゼロトラストを採用する
  17. リソースにアクセスしてくるすべてのセッションを 「信頼できないもの」とみなして毎回、認証・認可の プロセスを実施することでセキュリティを確保する方式。 •認証:アクセス者がリソースにアクセスしてよいかを判断する •認可:アクセス者がアクセスしてよいリソースの範囲を判断する。 従来のネットワーク境界型のセキュリティ確保方式の代わ りに出てきた概念。 ゼロトラスト・アーキテクチャの定義 (NIST SP

    800-207) Copyright © 2021, Oracle and/or its affiliates 17 出典:NIST Special Publication 800-207 https://csrc.nist.gov/publications/detail/sp/800-207/final 内部アクセスでも無条件に 信頼せず毎回権限を確認 社内システム にアクセス 業務に関わるNWの構成は年々複雑化 複雑化する企業NWや内部犯によるデータ漏洩等への対応を強化 内部からの不正アクセス は防げない 一度境界を突破されると横断的に 他システムのデータも盗まれてしまう
  18. 各省庁で保存時と転送時のデータ暗号化と他要素認証が必須に 国家サイバーセキュリティ向上に関する大統領令 セキュリティベストプラクテイスとしてゼロトラストを採用 • SaaS, PaaS, IaaS などの安全なクラウドへ移行 各省庁は「保存時と転送時のデータへの暗号化」と 「多要素認証」の採用

    • 180日以内に各省庁は採用が必須 • 本命令から60日毎に採用状況報告と採用計画の 提出 • 180日以内に採用不可の場合には国土安全保障 長官に報告 2021年5月12日付 サイバーセキュリティに関する大統領令 Copyright © 2021, Oracle and/or its affiliates 18 出典:https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
  19. • ゼロトラストとは、「ネットワーク内のすべての人、すべて のものが疑わしい」という前提に基づくセキュリティ哲学 です。ゼロトラストは、セキュリティの焦点を、境界防御 からデータ中心へと変えること • 成熟度モデルは、「アイデンティティ」、「デバイス」、 「ネットワーク/設備」、「アプリケーションワークロード」、 「データ」の5つの柱に対して従来型、先進型、最適型 のゼロトラスト・アーキテクチャの具体的な例を提示

    • これによって、ゼロトラストへの移行を支援するための 数多くの道筋として成熟度モデルを提供 CISA Zero Trust Maturity Model (Draft) Copyright © 2021, Oracle and/or its affiliates 19 出典:https://www.cisa.gov/publication/zero-trust-maturity-model
  20. (Draft) • ホワイトハウスは、「ゼロトラスト」を2024年までに実装 を目指す • ログ、多要素認証、資産管理、ユビキタス(あらゆる所 での)暗号化の対策が必要 • 5つのレイヤー(柱)で対策を実施 •

    アイデンティティ • デバイス • ネットワーク • アプリケーション • データ Moving the U.S. Government Towards Zero Trust Cybersecurity Principles Copyright © 2021, Oracle and/or its affiliates 20 現在の脅威環境では、連邦政府はもはや重要なシステ ムやデータの保護を境界線ベースの防御に依存すること はできません。この課題に対処するには、連邦政府機関 のサイバーセキュリティへの取り組み方に大きなパラダイムシ フトが必要となります。 目的 (1段落のみ) 「EO 14028(*)は各省庁に対し、ユニバーサルロギング、 多要素認証(MFA)、信頼性の高い資産目録、ユビキ タス(あらゆる所での)暗号化の使用など、政府全体で主 要な基本的セキュリティ対策を満たすことに注力し、ゼロト ラストアーキテクチャを採用するよう指示しています。 ゴール (1段落目のみ) * EO 14028 : the President issued Executive Order (EO) 14028 [2020年5月の大統領令] 出典:https://zerotrust.cyber.gov/downloads/Office%20of%20Management%20and%20Budget%20-%20Federal%20Zero%20Trust%20Strategy%20-%20DRAFT%20For%20Public%20Comment%20-%202021-09-07.pdf
  21. 21 Copyright © 2021, Oracle and/or its affiliates ゼロトラストの考え方 After/With

    Covid-19 働く場所 『性悪説の設計』 誰が・どこから なんのアプリケーションを使って どんなルールで なんのシステムを使って なんの情報を 変化する働き方 デバイス/ワークロード 本人確認の厳格化 全通信の監視 アプリケーション 最小権限の実現 ゼロトラストアーキテクチャ データ(資産)
  22. 22 Copyright © 2021, Oracle and/or its affiliates ゼロトラストの考え方:この1年でお客様が気が付いたこと EDRの導入の敷居が高い

    ID管理と職務分掌ができていない そもそも守るべき情報がわからない 多くの機密情報はDBに入っている 内部不正対策が進んでいない ゼロトラストは侵入前提で対策する リモートワークではリモートデスクトップが 使いものにならない インターネットブレイクアウトが 必要となり境界防御から脱却
  23. ゼロトラストセキュリティのアプローチ(Framework) Copyright © 2021, Oracle and/or its affiliates 23 Network主軸のアプローチ

    ID管理・N/W対策が中心 オラクルのアプローチ データ・セントリック・セキュリティ セキュリティ ポリシー ID管理 Detection & Response データ アプリ N/W 分析・可視化 自動化 Security Enforcement Endpoint(端末) データ ユーザー アプリ N/W
  24. ゼロトラストセキュリティの各アプローチでの脅威に対する防御策の違い 最も重要な資産であるデータ層が守れていないケースが多い Copyright © 2021, Oracle and/or its affiliates 24

    Network主軸のアプローチ ID管理・N/W対策が中心 オラクルのアプローチ データ・セントリック・セキュリティ セキュリティ ポリシー ID管理 Detection & Response データ アプリ N/W Endpoint(端末) 内部不正 内部不正 ネットワーク機器 脆弱性への攻撃 パスワードリスト 型攻撃 管理者 なりすまし攻撃 データ ユーザー アプリ N/W アプリケーションへ の不正アクセス アプリケーション への不正アクセス 管理者 なりすまし攻撃 パスワードリスト 型攻撃 ネットワーク機器 脆弱性への攻撃 Security Enforcement 監査証跡 暗号化 特権ユーザー管理 行列アクセス制御 多要素認証
  25. データ・セントリック・セキュリティでの各攻撃手法への解決策 25 パスワードリスト 型攻撃 内部不正 管理者 なりすまし攻撃 攻撃手法 アプリケーションへの 不正アクセス

    ネットワーク機器 脆弱性への攻撃 アカウント乗っ取り 1.多要素認証 伏字化されてされていない 機密データの持ち出し 2. 保存状態でのデータ不可視化 (暗号化、マスキング) 個人情報への過大な可視性 4. 行列レベルのアクセス制御 不正操作の内容が不明 5. 操作ログの取得・保全 対策 管理者権限の不正利用 3 . 特権ユーザー管理 リスク Copyright © 2021, Oracle and/or its affiliates
  26. データ伏字化 暗号化 アクセス制御 監査 アプリケーションによる対策 データベースによる対策 データ・セントリック・セキュリティ:アプリケーションによるセキュリティ実装の課題 Copyright © 2021,

    Oracle and/or its affiliates 26 ポリシーがアプリケーション毎にバラバラ 法対応等の変更時に個別での対応で高コスト パフォーマンス劣化やデータ量増などH/W影響大 一元的なポリシーによるセキュリティ対策 DBの設定変更のみで短期間・低コストで実装 パフォーマンス、データ量へのH/Wへの影響小 特権ユーザー 管理 強制的な 暗号化 監査証跡 行・列レベルの アクセス制御 データ伏字化 暗号化 アクセス制御 監査証跡 データ伏字化 暗号化 アクセス制御 監査 データ伏字化 暗号化 アクセス制御 監査
  27. 27 Copyright © 2021, Oracle and/or its affiliates 守るべき2種類のデータソース:構造化と非構造化データの考え方 他社が得意な領域

    Oracleの得意な領域 オラクル 太郎 111-2233-444 XX-XXXX-5678 契約ID 電話番号 お客様名 電話番号 XXX-XXXX-4739 VPN ダウンロード Cloudへ アップロード 構造化データ 非構造化データ 社員 管理者 悪意ある アクセス なりすまし 内部漏洩 システム管理 データ 職務分掌 職務分掌 職務分掌 職務分掌 伏字による画面撮影対応 (必要な情報のみ表示) オブジェクト 半構造化データ
  28. 1. セキュリティトレンド 2. ランサムウェア対策への考え方と対策 3. ゼロトラストセキュリティの最新情報とお客様の気づき 4. 今後求められるセキュリティ対策と日本の取り組むべき点 5. オラクルのセキュリティへの取り組み

    アジェンダ Copyright © 2021, Oracle and/or its affiliates 28
  29. 今後求められるセキュリティ対策と日本の取り組むべき点 考慮点 ゼロトラストセキュリティの考え方 セキュリティ対策例 日本企業の状況 ネットワーク • 通信を監視し、未許可のクラウドサービスの 利用を制限 •

    CASB • Cloud Proxy • WAF グローバルより 注力している デバイス • デバイスの認証を常に実施 • 全てのデバイスの保護を徹底 • EDR、EPP • MDM グローバルと同様 IDアクセス管理 • ID・ユーザを必ず検証 • 必要に応じて多要素認証(MFA)を実施 • IAM • PAM • MFA グローバルより 対応が遅れている アプリケーション • すべてのアクセスを制限し、不正操作を監視 • CASB、UEBA • 標的型メール対策 • SIEM、SOAR グローバルと同様 データ • データが漏洩・改ざんされないように保護 • 必要最小限の権限付与 • 暗号化 • アクセス制御 グローバルより 対応が遅れている Copyright © 2021, Oracle and/or its affiliates 29 出典: Oracle and KPMG Threat Report 2020 安全なクラウドセキュリティ環境を整備するためには、ネットワークセキュリティだけでなく、 ゼロ・トラスト・セキュリティな対策が必要となります。
  30. ID・アクセス管理(IAM)で日本企業が苦労している点 発見された設定ミス: グローバルと差が大きい TOP3 IDアクセス管理・データセキュリティの対応状況について:調査結果 Copyright © 2021, Oracle and/or

    its affiliates 30 1位 2位 セキュリティグループの誤設定 3位 機密情報が暗号化されていない 過剰な権限付与 37% 45% 33% 40% 25% 32% IDアクセス管理・データセキュリティ対策に関して、日本企業は認証に加えて利用者に必要となる 最小権限の実現と誤設定の早期検知、暗号化に課題があり、改善が必要となっています。 アクセス 制御 暗号化 出典: Oracle and KPMG Threat Report 2020 ① 人事イベントとの連携 ② クラウドサービスへのIAMによる制御 ③ アプリケーション/モバイル利用の制御 ④ 権限管理 ⑤ 多要素認証 太字:グローバルとの差が多いもの
  31. 1. セキュリティトレンド 2. ランサムウェア対策への考え方と対策 3. ゼロトラストセキュリティの最新情報とお客様の気づき 4. 今後求められるセキュリティ対策と日本の取り組むべき点 5. オラクルのセキュリティへの取り組み

    アジェンダ Copyright © 2021, Oracle and/or its affiliates 31
  32. 共有責任 = クラウド業者は仕組みを提供、お客様は管理作業に責任 共有責任モデルではお客様が管理するセキュリティは幅広い アプリがアクセスするデータ アプリケーション Middleware データベース OS Virtual

    Machine サーバー・ストレージ ネットワーク 物理 アプリがアクセスするデータ アプリケーション Middleware データベース OS Virtual Machine サーバー・ストレージ ネットワーク 物理 アプリがアクセスするデータ アプリケーション Middleware データベース OS Virtual Machine サーバー・ストレージ ネットワーク 物理 IaaS PaaS SaaS ユーザー管理 クラウド 事業者管理 共有責任 Copyright © 2021, Oracle and/or its affiliates 32
  33. 共有責任モデル:Oracle Cloud Infrastructure の場合 アプリがアクセスするデータ アプリケーション Middleware データベース OS Virtual

    Machine サーバー・ストレージ ネットワーク 物理 アプリがアクセスするデータ アプリケーション Middleware データベース OS Virtual Machine サーバー・ストレージ ネットワーク 物理 アプリがアクセスするデータ アプリケーション Middleware データベース OS Virtual Machine サーバー・ストレージ ネットワーク 物理 IaaS PaaS SaaS ユーザー管理 クラウド 事業者管理 共有責任 お客様側でツールの活用や セキュリティ構成の管理を実施 SECURITY ON THE CLOUD SECURITY OF THE CLOUD オラクルはセキュアなクラウド・インフラ とサービスを提供 Copyright © 2021, Oracle and/or its affiliates 33 Oracle が力を入れて 取り組んでいるところ
  34. SECURITY PART OF OUR DNA Security is not Optional, it

    is FOUNDATION. • 1977 年からビジネス・スタート。最初の顧客は CIA • 米国政府の要求に応えるセキュリティ技術を提供 • セキュリティは追加できると考えず、組み込むべきもの • オラクルの製品とクラウド・サービスでは、セキュリティは 最初から組み込まれ、常にオン。 34 Copyright © 2021, Oracle and/or its affiliates
  35. オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY ON

    THE CLOUD SECURITY OF THE CLOUD + 強力、完全なテナント分離 強制的な暗号化 (DB/Storage/Network) 階層型権限管理 ボット対策とWAF(*) セキュリティポリシーの自動有効 リスクのある設定を自動検知 Copyright © 2021, Oracle and/or its affiliates 35 Defense In Depth 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化 * WAF: Web Application Firewall 脆弱性スキャン 自動化されたログ分析 脆弱性自動修復 多要素認証とリスクベース認証 特権ユーザーのアクセス制御
  36. クラウドプラットフォームレベルでの環境隔離と暗号化 階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセ スが可能、部署を跨いだシステム 構築も容易 ✓ コンパートメント毎のクオータ設定に

    より 使い過ぎを抑止 強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化 強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより 情報漏洩のリスクを最小化 AD2 リージョン1 AD2 リージョン2 すべてのデータ を暗号化 MACSec 高速・スケーラブルな Layer2 暗号化 部署ごとにCompartment(サブアカウント)を作成 「コンパートメント」モデル テナント コンパートメント A コンパートメントB ユーザー グループ ポリシー ポリシー ポリシー 部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネル ネットワーク仮想化 物理サーバー Copyright © 2021, Oracle and/or its affiliates 36 セキュリティ ・バイ・デザイン
  37. 多層防御によるデータ中心のセキュリティ 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS

    内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース Web Application Firewall Identity Cloud Service Data Safe 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Copyright © 2021, Oracle and/or its affiliates 37 データ Observability and Management / Management Cloud 強制的な 暗号化 Autonomous Linux Autonomous Database Vulnerability Scanning Cloud Guard/ Security Zones 監査証跡 行・列レベルの アクセス制御 データ中心の セキュリティ 設定ミスの 検知・是正 多要素認証
  38. リスクのある設定を自動検知 • 構成とアクティビティを監視 • 問題の特定、脅威を検出 • 問題の是正、顧客通知 セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用

    • 初期段階からリソースの セキュリティを確保 脆弱性自動修復 • Oracle Autonomous Databaseに おける脆弱性自動修復 • Oracle Data Safeによる セキュリティ・リスク軽減 自動化されたEnd-to-Endのセキュリティで人的ミスを排除 パブリックアクセス不可 自動パッチ適用 アップグレード Oracle Cloud Guard Oracle Security Zones Oracle Autonomous Database Oracle Data Safe Copyright © 2021, Oracle and/or its affiliates 38 •セキュリティ構成評価 •ユーザーのリスク評価 •アクティビティの監査 •機密データの発見 •データ・マスキング 自動化された セキュリティ 管理
  39. 「政府情報システムのため のセキュリティ評価制度 」 (ISMAP) Oracle Cloud Infrastructureが ISMAPに登録完了 監査法人による厳格な監査、IPAによる審査を経て登録 •

    1200以上のISMAP管理項目に対するセキュリティ評価 Exadata を使ったサービスを含んだOCIのサービスが登録対象 • 国が認定する「安全・安心なクラウドサービス」を利用した システム構築が可能 https://www.oracle.com/jp/corporate/pressrelease/jp20210622.html • OCI ... Oracle Cloud Infrastructure Copyright © 2021, Oracle and/or its affiliates 39
  40. • 設定や運用上の問題によって発生するセキュリティ リスクを自動検知し、インフラの安定的な運用に寄与 • 他社のクラウドサービスと比べて監視できる項目が広く、 UI含め使い勝手が優れているため、効率的な運用が 可能 • 「Oracle Cloud

    Infrastructure」は、クラウドプラッ トフォームレベルで環境隔離と強制的な暗号化がされ ており、「Oracle Cloud Guard」と組みあわせること で、お客様に安心して利用頂けるサービスを提供 ワークスアプリケーションズ 様 Copyright © 2021, Oracle and/or its affiliates 40 ERPマネージド・サービスHUE Classic Cloud で「Oracle Cloud Guard」を活用し、 セキュリティリスクを軽減
  41. ① ユーザーのミス、ソフトウェアの構成エラー、パッチの適用忘れ、アカウントの 乗っ取りなどから生じたトップダウン攻撃 ② クラウドリソースの再割り当てや、ネットワーク層でのテナント間攻撃を可能に するなど、ファームウェア書き換えの成功によって生じるボトムアップ攻撃 Oracle Cloud Infrastructure IDCによるラボ検証ペーパー:自動運用に基づいたテナントデータ保全とプライバシー重視

    Copyright © 2021, Oracle and/or its affiliates 41 Oracle Cloud Infrastructure (OCI) の主要なコンポーネントに適用され ている、下記の項目についての安全性を保つために有効性を検証。 ◼ クラウドアーキテクチャ: 信頼の起点(Root of Trust)、ネットワーク仮想化の分離 ◼ 自律型ソフトウェア: ホストプラットフォームの健全性、簡略化されたデータセキュリティ対策 ◼ 高度なセキュリティサービスコントロール: クラウドセキュリティポスチャ管理、ユーザー設定エラーの削減 本調査によるIDCの見解:以下の防御対策を提供し、「OCIプラット フォームは、テナントおよびデータに対して最終的に管理し、独自の管理 が適切と考えるセキュリティチームにとって特に最適」 詳細はこちら ⇒ https://go.oracle.com/LP=109222?elqCampaignId=291082
  42. Oracle Cloud Infrastructure セキュリティのプロもSaaS基盤としてOCIを選択 Copyright © 2021, Oracle and/or its

    affiliates 42 世界最大のコンピュータ ネットワーク機器ベンダー ハードウェアやソフトウェアセンサーから テレメトリー情報を収集し、データを高度な 機械学習技術によって分析するSaaS (Cisco Tetration) でOCIを採用 数千コア以上の大規模アプリケーションを 2ヶ月で稼働 インテリジェンス主導型の セキュリティ企業 なりすまし攻撃、フィッシング、スパムによる Eメール脅威の対策を提供するSaaSで OCIを採用 高度なリアルタイム分析をベアメタル・ インスタンスを活用することでクラウドで実現 業界をリードする サイバーセキュリティ企業 脅威の識別、調査、解決を行うクラウドベースの SIEMソリューション(McAfee ESM Cloud)で OCIを採用 他社クラウドに比べ1/4のコストで実現 60万データソースにおける1秒当たり 50万イベントをサポート
  43. 43 Copyright © 2021, Oracle and/or its affiliates カテゴリ 機能

    機能名 単価 セキュリティ・ バイ・デザイン 強力、完全なテナント分離 Isolated Network Virtualization / Bare Meta 標準機能 強制的な暗号化 Encryption by Default 標準機能 階層型権限管理 Compartment 標準機能 自動化された セキュリティ管理 リスクのある設定を自動検知 Cloud Guard 無償 ポリシーの自動適用 Security Zones 無償 脆弱性スキャン Vulnerability Scanning 無償 オンラインでのパッチ適用 Autonomous Database 無償 (*1) 自動化されたログ分析 Logging Analytics 10GBまで無償 データ中心の 多層防御 DBセキュリティ対策の自動化 Data Safe 無償~ (*2) 特権ユーザー管理 Database Vault DBCS HP ~ (*3) 多要素認証、リスクベース認証 Identity Cloud Service ¥384 ~ (*4) ボット対策とWAF Web Application Firewall ¥90 ~ (*5) *1 Autonomous Database 利用時に無償で利用可能 *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償 *3 DBCS High Performance以上で利用可能 *4 価格単位:¥384 [ユーザー/月] *5 価格単位 : ¥72 [1,000,000インカミングリクエスト/月] + ¥18 [グッドトラフィックのギガバイト/月]
  44. ご視聴 ありがとうございました Copyright © 2021, Oracle and/or its affiliates 44