Upgrade to Pro — share decks privately, control downloads, hide ads and more …

あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策(Oracle Clou...

あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策(Oracle Cloudウェビナーシリーズ: 2021年11月24日)/20211124-OCW-CloudSecurity

野村総合研究所(NRI)様でクラウドガイドライン策定者である佐古様から、セキュリティの傾向と考慮点と、NRI社におけるクラウドセキュリティの社内浸透にむけた取り組みを紹介頂き、網羅的なセキュリティを実現する方法と施策を考察します。
また、Oracle Cloud Infrastructureでどのように実現するかについて事例を交えて紹介します。

Oracle Cloud ウェビナーシリーズ情報: https://oracle.com/goto/ocws-jp
セッション動画: https://oracle.com/goto/ocws-jp-video

oracle4engineer

November 26, 2021
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. 1. クラウドセキュリティ考慮点と考え方 2. NRI社におけるクラウドセキュリティの取り組み 3. セキュリティ視点からみたOracle Cloud Infrastructure の特長 4.

    オラクルのセキュリティへの取り組み アジェンダ Copyright © 2021, Oracle and/or its affiliates 3 株式会社野村総合研究所(NRI) 品質監理本部 情報セキュリティ部 佐古 伸晃 様
  2. 5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    はじめに 01 クラウドセキュリティの考慮点と考え方 02 NRIにおけるクラウドセキュリティの取り組み 03 セキュリティ観点からみたOCIの特長 04 まとめ 05
  3. 6 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    自己紹介 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼野村総合研究所(NRI) 情報セキュリティ部 佐古伸晃(SAKO Nobuaki) ⚫ サイバーセキュリティ担当 ⚫ 外部サービス利用時のセキュリティ対策評価 ⚫ 外部環境からの脅威への備え、ガードレールの設置 ◼実務:クラウドサービス・関連技術をいかに安全に使うか、の社内向けガイドライン策定 ⚫ クラウドサービス • 共通ガイドライン:IaaS / PaaS / SaaS 全般 • 個別ガイドライン:AWS / Azure / Google Cloud (GCP) / Oracle Cloud Infrastructure (OCI) 向けの詳細版 ⚫ バージョン管理(GitHubなど) ⚫ Docker / Kubernetes
  4. 7 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    はじめに 01 クラウドセキュリティの考慮点と考え方 02 NRIにおけるクラウドセキュリティの取り組み 03 セキュリティ観点からみたOCIの特長 04 まとめ 05
  5. 8 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    クラウドは大丈夫?の背景 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼クラウドサービスの利用は増え続けている ⚫ DX、コロナ禍におけるリモートワークの普及・デジタル化加速 ⚫ 政府情報システムにおける「クラウド・バイ・デフォルト原則」 ◼クラウドの特性と懸念(大丈夫?) ⚫ ネットワーク経由の利用と機密性 ⚫ コンピューター資源の共用と可用性 ⚫ 責任の共有と委託先管理 ◼ガートナー社の予測 ⚫ 2025 年までに、パブリック クラウドの使用を制御できない組織の 90% が、機密データを不適切に共有する。 ⚫ 2025 年までに、クラウド セキュリティの障害の 99% が顧客の責任(≒設定不備)となる。 出典:Gartner | Is the Cloud Secure? 調査年 利用状況 2020年 68.7% 2019年 64.7% 2018年 58.7% 出典:総務省 | 令和3年版 情報通信白書 クラウドサービスの利用状況 (一部でも利用している企業の割合) 出典:日本銀行 | クラウドサービス利用におけるリスク管理上の留意点
  6. 9 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    そもそもセキュリティとは あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼クラウドを安全に利用するには、セキュリティの傾向と対策を知ることが重要。 ◼セキュリティは、次の三要素が存在する場合に必要になる。 ⚫ 守るべき資産 ⚫ それを脅かす脅威 ⚫ 脅威が突いてくる脆弱性 ◼Information Technology(IT) 企業・システム・エンジニアが扱い、守るべき資産は、情報である。 ➢脅威を想定し、脆弱性があることを前提に、セキュリティを考える。 ⚫ どのように脅威を想定し、どのような脆弱性があることを知るか?
  7. 10 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    想定される脅威:セキュリティリスクの傾向を知る あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼OWASP (Open Web Application Security Project) Top 10 ⚫ Webアプリケーションのセキュリティ向上を目的とした非営利団体が公開する、最も重大な10のリスク ➢ 定期的に更新され、直近のセキュリティリスクの傾向を知ることができる ⚫ OWASPが公開するその他リソース • Mobile Top 10 、 OWASP API Top 10 • ZAP(脆弱性診断ツール)、Testing Guide(テストフレームワーク)、ASVS(セキュリティコントロールフレームワーク) 出典:OWASP Top Ten アクセス制御の不備 不適切な暗号化 インジェクション 安全でない設計 不適切なセキュリティ設定 脆弱で古くなったコンポーネント 不適切な識別と認証 ソフトウェアとデータの整合性不備 セキュリティログとモニタリングの不備 サーバーサイドリクエストフォージェリ (SSRF)
  8. 11 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    想定される脅威:敵対者の戦術とテクニックを知る あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼MITRE ATT&CK(マイター・アタック: Adversarial Tactics, Techniques, and Common Knowledge) ⚫ MITRE社の管理する、現実の観測に基づく、敵対戦術とテクニック(脅威)のナレッジベース ⚫ 初期アクセス、攻撃実行、永続化、侵出などの各12プロセスで、どのような事が行われるかパターン化 出典:MITRE ATT&CK ➢ 敵対者の戦術とテクニックを知ることで、どのような脅威に対策をとるか想定し、具体的な対策に落とし込む
  9. 12 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    脆弱性があることを知る あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼CVE(共通脆弱性識別子) ⚫ MITRE社が管理する一般公開されているセキュリティ脆弱性のリスト ⚫ 世界中のITベンダー、セキュリティ企業、リサーチ組織がCVE採番機関(CNA)として登録、報告 ➢ このリストや通知情報から、自組織の利用するプロダクトに該当する脆弱性を特定、対策を検討する 出典:MITRE | CVE Details
  10. 13 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    情報セキュリティの特性 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼ISMS(情報セキュリティマネジメントシステム) の認証基準 ISO/IEC 27002 Information technology では、以下のように定めている。 ⚫ 情報セキュリティ(Information Security)とは、情報の以下を維持すること。(基本の三特性) • 機密性 (Confidentiality) :情報が、許可されたものだけがアクセスできること • 完全性 (Integrity) :情報が、正しい状態で保持されること • 可用性 (Availability) :情報が、いつでも安全にアクセスできること ⚫ 更に、情報に以下のような特性を含めることができること。(追加の四特性) • 真正性 (Authenticity) • 責任追跡性 (Accountability) • 否認防止 (Non-Repudiation) • 信頼性 (Reliability) 出典:https://www.iso.org/standard/54533.html
  11. 14 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    クラウドセキュリティの考え方 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼オンプレミスとクラウドでも、守るべき資産(情報)は変わらない。 ◼その管理主体・アクセス経路・外部接続点の違いから、脅威と脆弱性は異なってくる。 ⚫ オンプレミス • 利用者が管理し、物理的に閉じたネットワークでアクセスが限定され、外部接続点は専任チームで統制されることが多い。 • 物理ネットワーク内にいる者はなりすましが困難なため、脅威ではない信頼された存在として扱われてきた。 ⚫ クラウド • 提供者が管理し、世界中どこからでもアクセスでき、利用者の権限・設定次第で外部接続点はフルオープンになる。 • オンプレミス環境では、クラウド環境では、インターネット上にいるモノを物理的に信頼できる存在と証明するのは困難。 ➢クラウドにおけるセキュリティの考え方・役割分担も自ずと変わってくる。
  12. 15 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    クラウドセキュリティの役割分担 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼代表例:AWSの責任共有モデル ⚫ 利用者の責任:クラウド ’における’ セキュリティ(Security ‘in’ the cloud) ⚫ 提供者の責任:クラウド ’の’ セキュリティ(Security ‘of’ the Cloud) ◼セキュリティだけではなく、予算・調達・契約 ・精算・ガバナンスなどその他の分野にも 及ぶ、クラウド利用の基本的な考え方。 ◼多くのクラウドサービスでも同じモデルを採用。 ⚫ 利用者側の責任は必ずある。 出典:Amazon Web Services ブログ 責任共有モデルとは何か、を改めて考える
  13. 16 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Oracle Cloud Infrastructure(OCI) におけるセキュリティの役割分担 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼OCIでは共有セキュリティ・モデル ⚫ 利用者の役割:ユーザは自分達のワークロード保護と利用サービスの安全な構成設定を行う ⚫ 提供者の役割:Oracleは基礎となるインフラストラクチャのセキュリティ対策を行う ◼基本的な考え方は共通 ⚫ クラウドにおけるセキュリティ ⚫ クラウドのセキュリティ ➢自分達の責任範囲と やる事を把握すること。 出典:Oracle Cloud Infrastructureのセキュリティ・チェックリスト
  14. 17 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    「クラウドのセキュリティ」は信頼できるのか? あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼クラウド事業者の責任は果たされているか? ⚫ 責任を共有するには、利用するクラウドサービスが信頼できるか、コンプライアンスの観点で判断する必要がある。 ⚫ 企業のセキュリティポリシーに合致するか、独自の質問票を用意するケースもあるが、クラウドサービス事業者と 一問一答をやり取りするのは非常に労力・時間がかかる。 ◼コンプライアンスに関しては、以下のような第三者基準の認証取得状況を確認する。 ⚫ ISO27001:情報セキュリティマネジメントシステム(ISMS) ⚫ ISO27017:クラウドベースの情報セキュリティの統制 ⚫ ISO27018:クラウド上での個人データ保護 ⚫ SOC1:財務報告に係る内部統制報告書 ⚫ SOC2:セキュリティや可用性等の内部統制報告書 ⚫ HIPPA、PCI-DSS、FISCなど:特定業界ごとの統制基準 ⚫ ISMAP、FedRAMP / SP800-53、NIST SP800-171、GDPR、マイナンバー法など:国ごとの統制基準 ➢ NRIではISO・SOCの取得状況に応じ、 クラウド事業者のセキュリティ対策が 実施済みと判断し、セキュリティアセス メントを省略可としている
  15. 18 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    (ご参考)主要パブリッククラウドの第三者認証取得状況 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼第三者認証は様々な観点でセキュリティ・プライバシーの管理・統制がなされていることの証明。 ⚫ 財務状況、サービス運営、情報セキュリティ対策、各国政府機関の要求水準(ISMAP認定が待たれる) ⚫ 従業員の権限管理・アクセスコントロール、データセンターの物理セキュリティ(監視カメラ、侵入防止など) ⚫ 個人情報、特定個人情報、医療情報、クレジットカード情報などの管理・保護 ➢ クラウドサービス利用する業務の業界基準、データの所在地域、個人情報の有無などによって使い分ける ◼主要パブリッククラウドの対応状況は以下(以下は認証の一部) 出典:Oracle Cloud Compliance 他 対象 グローバル 業界 地域 第三者認 証 ISO/IEC 27001 ISO/IEC 27017 ISO/IEC 27018 SOC1 SOC2 SOC3 CSA CCM / STAR HIPAA PCI-DSS FISC ISMAP FedRAM P / SP 800-53 NIST SP800- 171 Cyber Essential s UK C5 Germany GDPR Privacy Shield プライバ シーマーク マイナン バー法 概要 情報セ キュリティ マネジメン トシステム (ISMS) クラウド ベースの情 報セキュリ ティの統 制 クラウド上 での個人 データ保 護 財務報告 に係る内 部統制報 告書 セキュリ ティや可 用性等の 内部統制 報告書 セキュリ ティや可 用性等の 内部統制 簡易報告 クラウドの セキュリ ティ・統 制・リスク 管理 米国医療 業界の医 療情報機 密保持 グローバル なクレジッ トカード業 界基準 日本の金 融業界向 け安全対 策基準 日本政府 情報シス テムのため のセキュリ ティ評価 制度 米国政府 系セキュリ ティ/プラ イバシー管 理 米国政府 外の非格 付け情報 の保護 英国政府 のサイバー セキュリ ティ保護 手法 ドイツ政 府の運用 セキュリ ティ証明 EUの一般 データ保 護規則 EUと米国 への個人 情報移転 に関する 要件 日本国内 法人向け の個人情 報保護処 置 日本に住 民票を持 つ個人の 番号保護 AWS ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦ Azure ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦ Google ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦ ◦ ◦ - ◦ OCI ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦
  16. 19 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    OCIのセキュリティとコンプライアンスの考え方 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 出典:OCIのセキュリティとコンプライアンス対応、そしてISMAP ◼OCIのクラウドサービス提供者としてのセキュリティとコンプライアンスの考え方は、 以下7つの柱を土台に、対応するサービス群・コンプライアンスで実装されている。 ➢利用するサービス群・コンプライアンスが、どのようなセキュリティ特性に対応するか押さえておく Trusted Enterprise Cloud Platformの7柱(7 Pillar) OCIの提供するサービス群・コンプライアンス
  17. 20 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼AWS、Azure、Google Cloud において、利用者が実施すべきベストプラクティスは5つの柱で 纏められている。考え方は共通。 ⚫ 運用上の優秀性 ⚫ セキュリティ ⚫ 信頼性 ⚫ パフォーマンス効率 ⚫ コスト最適化 「クラウドにおけるセキュリティ」のベストプラクティス あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 出典:AWS Well-Architected 出典:アーキテクチャ フレームワークの最新ベスト プラクティスで Google Cloud のワークロードを強化 出典:Microsoft Azure Well-Architected Framework
  18. 21 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼OCIにおけるベストプラクティスは 4つのビジネス目標とフォーカス領域 として纏められている。 ◼ コンプライアンスと耐障害性が追加 要素としてあるが、基本的な5つの 考え方は共通。 ➢各々のフォーカス領域ごとに、該当する サービスのセキュリティを考え、対策する。 OCIにおけるベストプラクティス あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ビジネス目標 主なフォーカス領域 セキュリティーとコンプライアンス •ユーザー認証 •リソースの分離とアクセス制御 •コンピュート・セキュリティ •データベース・セキュリティ •データ保護 •ネットワーク・セキュリティ 信頼性と耐障害性 •フォルト・トレラント・ネットワーク・アーキテクチャ •サービスの制限および割当て制限 •データのバックアップ •スケール パフォーマンスとコストの最適化 •コンピューティングのサイズ設定 •ストレージ戦略 •ネットワークの監視およびチューニング •コスト追跡と管理 動作効率 •デプロイメント・ストラテジ •ワークロードのモニタリング •OS管理 •サポート 出典:Oracle Cloud Infrastructureのベスト・プラクティスのフレームワーク
  19. 22 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    クラウドセキュリティの考慮点と考え方 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼ クラウドサービスは、インターネット経由で利用する共同サービス。 ◼ クラウドサービスには、提供者の責任と、利用者の責任がある。 ◼ 提供者の「クラウドのセキュリティ」は、第三者認証の取得状況を確認する。 ⚫ 権威ある認証を借りる:ISO27017、SOC2、 PCI DSS、ISMAP、FISC など ◼ 利用者の「クラウドにおけるセキュリティ」は、公開ナレッジ、ベストプラクティスを活用する。 ⚫ 先人の知恵を借りる:OWASP、MITRE ATT&CK、CVE、各社セキュリティベストプラクティス など
  20. 23 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    はじめに 01 クラウドセキュリティの考慮点と考え方 02 NRIにおけるクラウドセキュリティの取り組み 03 セキュリティ観点からみたOCIの特長 04 まとめ 05
  21. 24 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼利用者としての対応方針は以下。 1. 初期段階からセキュリティの観点を取り込む。(セキュリティのシフトレフト) 2. 利用するクラウドサービスごとに対策を行い、多層防御を行う。(セキュリティに銀の弾丸はない) 3. アカウント作成直後から、脅威・障害に備え、継続的に利用状況を注視する。(全てのフェーズで対応する) 4. 発生したインシデントに対応する体制・シナリオを用意、定期的に訓練する。(発生した場合に備える) ◼ 膨大なアップデートが行われるクラウスサービスで、セキュリティアップデートにどう追従するか? 1. クラウドサービス横断でセキュリティ対策の大方針を定める 2. デファクトスタンダードのセキュリティフレームワークを活用する 3. 各クラウドサービスのベストプラクティスを利用する 4. セキュリティの傾向調査、発生インシデントの再発防止、定期棚卸での実態把握、ノウハウ化 セキュリティを実現するサービスでの対策と対応方針 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
  22. 25 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼各サービスごとに設定できる対策と想定される脅威は様々だが、大別して7つを設定。 対策の大項目 想定される脅威 1. ネットワークによるアクセス制御・境界線防御 インターネットからのログイン施行、侵入・攻撃 2. アイデンティティによる認証・認可、MFA 不正アクセス、アカウント乗っ取り、過大権限による誤操作 3. 暗号化による保存データ・通信経路の保護 情報漏洩、盗聴、改ざん 4. 多重化・冗長化構成による可用性の向上 HW故障、SW障害、広域障害 5. バックアップ取得によるデータロストへの備え 運用ミス、データセンター被災、ランサムウェア 6. ロギング・モニタリングによる記録・監視 攻撃、不正行動 7. 分析・レポーティングによる可視化・監査 攻撃、障害、設定不備の見落とし ◼ セキュリティ以外の関連する観点も追加し、より包括的なガイドラインとしている。 8. 統制レベルに応じたアカウント分割 コンプライアンス違反、本番環境とその他環境の混同 9. 予算設定、利用金額超過アラート 使い過ぎ、不正利用 クラウドサービス横断のセキュリティ対策の大方針 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
  23. 26 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    NRIにおけるクラウド利用者向けガイドラインの構成 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼NRIでは、以下の3種類を組み合わせ、共通の考え方で各種ガイドラインを策定している。 ⚫ ノウハウをもとにした独自ルール ⚫ 各クラウドのベストプラクティス ⚫ CISベンチマーク(クラウド セキュリティ設定のデファクト) 統制エンジン/セキュリティ設定診断サービス/CSPM 自社ノウハウをもとにした独自ルール 各クラウドのベストプラクティス CISベンチマーク Oracle Cloud ガイドライン Google Cloud ガイドライン Azure ガイドライン AWS ガイドライン 利用者が守るべきクラウド セキュリティ対策をまとめた ガイドライン ガイドラインでの対策が守ら れているか診断・管理する ツール/サービス クラウド利用者向けガイドライン(共通)
  24. 27 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    代表的なセキュリティフレームワーク あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼デファクトスタンダードとなっているセキュリティフレームワークには以下のようなものがあり、それぞれ サイバー攻撃対策・内部不正対策、組織面・技術面の四象限で特長がある。 ⚫ NIST CSF: 米国立標準研究所(NIST) 発行のCyber Security Framework ⚫ CIS Controls:米インターネットセキュリティセンター(CIS) 発行のセキュリティ管理策 ⚫ ISMS: JISQ27001(ISO/IEC27001) に基づいた情報セキュリティ管理の仕組み ⚫ PCI DSS: クレジットカード業界セキュリティ団体(PCI SSC) 発行の対策基準 ◼クラウドサービス利用時のセキュリティ判断基準 ➢ NRIでは、サイバー攻撃対策に特化し、業界を問わず、 具体的な技術面での対策・設定に強みを持つ CISの提供するリソースを活用 出典:NRIセキュア | 【解説】NIST サイバーセキュリティフレームワークの実践的な使い方
  25. 28 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    (参考)セキュリティフレームワークやナレッジの利用例 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼セキュリティフレームワークやナレッジを活用したセキュリティ対策の評価・分析手法 ◼セキュリティベンチマーク/コントロールでの対策/方針と、セキュリティフレームワークとのマッピング 出典:NRIセキュア | MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス IM-1: 一元化された ID と認証システムを使用する CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1 3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3 セキュリティの原則: 一元化された ID と認証システムを使用して、クラウドリソースと非クラウドリソースに対する組織の ID と認証を管理します。 出典:Microsoft | Azure セキュリティベンチマーク 出典:Microsoft | MITRE ATT&CK® と組み込 み Azure security control とのマッピングを発表
  26. 29 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Center for Internet Security(CIS)の提供リソース あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼米国の政府・学術機関・企業がインターネット・セキュリティ標準化に取り組む団体。 ⚫ CIS Controls:サイバー攻撃に焦点を当てた具体的技術対策を示す18種類のフレームワーク ⚫ CIS Benchmarks:セキュリティ推奨事項・設定値を記載したドキュメント 出典:CIS Center for Internet Security 責任共有モデルのどのレイヤーをカバーするか
  27. 30 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    CIS Benchmarks の対象 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼CIS Benchmarks は、非常に広範囲な製品・サービスを対象とするドキュメント群。 ⚫ パブリッククラウドの設定に関してはほぼ唯一の基準であり、デファクトスタンダートとなっている。 カテゴリ 対象の製品・サービス(例) Cloud Provider Alibaba Cloud, Amazon Web Services, Microsoft Azure, Google Cloud Platform, IBM Cloud, OCI Desktops & Web Browsers Apple Desktop OSX, Apple Safari Browser, Google Chrome, Microsoft Internet Explorer, Microsoft Windows Desktop 10/XP/NT, Mozilla Firefox Browser, Opera Browser, Mobile Devices, Zoom Mobile Devices Apple Mobile Platform iOS, Google Mobile Platform Network Devices Agnostic Print Devices, Check Point Firewall, Cisco Firewall Devices, Cisco Routers/Switches IOS, Cisco Wireless LAN Controller, Juniper Routers/Switches JunOS, Palo Alto Networks Server Software – Operating Systems Amazon Linux, CentOS, Debian Linux Server, IBM AIX Server, Microsoft Windows Server, Novell Netware, Oracle Linux, Oracle Solaris Server, Red Hat Linux Server, Slackware Linux Server, SUSE Linux Enterprise Server, Ubuntu LTS Server Server Software - Other Apache HTTP Server, Apache Tomcat Server, BIND DNS Server, FreeRADIUS, Microsoft IIS Server, IBM DB2 Server, Microsoft Exchange, Microsoft SharePoint Server, Microsoft SQL Server, MIT Kerberos, MySQL Database Server, Novell eDirectory, OpenLDAP Server, Oracle Database Server, PostgreSQL Database Server, Sybase Database Server Security Metrics Quick Start Guide, Security Metrics Virtualization Platforms Agnostic VM Server, Docker, Kubernetes, VMware Server, Xen Server Other Microsoft Access, Microsoft Excel, Microsoft Office, Microsoft Outlook , Microsoft PowerPoint, Microsoft Word 出典:CIS Benchmarks
  28. 31 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    CIS Benchmarks の定める項目と内容 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼CIS Benchmarks はドキュメント内で以下のように詳細な対策が記載されている。 ⚫ 手順はコンソール操作およびCLIと具体的な出力結果が記載されており、システマティックに判断が可能。 項目 内容 推奨事項 対象を堅牢化するための具体的な運営・設定 評価ステータス 自動化できるもの(Automated)、手動で行うもの(Manual) プロファイル定義 レベル1:基本的な対策、レベル2:拡張対策 説明 推奨事項の説明 論理的根拠 設定すべき理由 影響 設定する際に考慮すべき影響 監査 適切に設定されているかの確認する手順 修復 適切に設定するための手順 デフォルト値 関連する設定項目のデフォルト値 リファレンス 設定・方針の参考リンク CIS Control CIS Control で定義されている対策フレームワークとのマッピング MITRE/ATT&CK MITRE/ATT&CK で定義されている脅威パターンとのマッピング* ➢ 自動化できるもの(技術項目)と手 動で行うもの(運用・方針)と位置 づけ ➢ 適用レベルを細分化し、適用タイ ミングと機密性によって調整 1. アカウント作成後すぐ実施 2. サービス利用までに実施 3. 機密データ取扱い時に実施 4. 機密性が高い場合に検討 *AWS/Azureから順次対応中(2021/5~)
  29. 32 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    (参考)CIS Benchmarks 本文 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 推奨事項 プロファイル 監査方法 コンソール 修復方法 CIS Control との対応 根拠 説明 監査方法 コマンドライン 参考URL *MITRE ATT&CKとのマッピング情報は、CIS Benchmarksの別紙一覧表 (Excel)に記載あり (2021/11/24時点) 出典:CIS Benchmarks
  30. 33 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    AWS Security Hub - AWS独自、CIS v1.2.0、PCI DSS等に対応 Microsoft Defender for Cloud(旧Security Center) - Azure独自、CIS v1.1.0、NIST SP 800-53等に対応 Google Cloud Security Health Analytics - GCP CIS v1.1.0、NIST SP 800-53等に対応 OCI Cloud Guard - OCI独自、CIS v1.1.0等に対応 (参考)パブリッククラウドのCISベンチマーク準拠チェックサービス あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
  31. 34 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    NRIのクラウドガイドライン あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 NRIの共通的なガイドライン NRIのOCI向け個別ガイドライン CISの推奨項目 オラクル社のベストプラクティス タイトル 本文 根拠 サービ ス名 OCI対策 名 OCI対策 例 必要性 recomme ndation# Title 分類 対策 確認手順の例 ユーザア カウントの 多要素 認証 クラウド利 用者はユー ザアカウント に多要素認 証(MFA)を 設定しなけ ればならな い。 多要素認 証であれ ば防げたイ ンシデント が発生し、 パスワード 保護だけ では不十 分であると の認識が 広まってい る。 ポリ シー MFAの 強制 ポリシー でMFA 利用を 強制し、 リソースへ のアクセ スを制限 する。 アカウン ト開設 後すぐ やる 1.7 Ensure MFA is enabled for all users with a console passwor d アイデン ティティお よび認可 の管理 マルチファ クタ認証 の実装 マルチファクタ認証(MFA)の使用を強制します。リソー スへのアクセスを、時間制限付きの1回かぎりのパス ワードを使用して認証されたユーザーのみに制限できま す。 リソースへのアクセスを許可するアクセス・ポリシーで、 リソースにMFAを適用できます。 たとえば、次のポリシーでは、GroupAのユーザーが、 任意のコンパートメントのインスタンス・ファミリに属する リソースを管理する場合にMFAを強制します。 allow group GroupA to manage instance- family in tenancy where request.user.mfaTotpVerified='true' ◼共通ガイドライン、個別ガイドライン、CISベンチマーク、ベストプラクティスを横串でマッピング。 ⚫ 各ルール、ベストプラクティス間の関連性を把握することで、根拠と具体的な対策が明確になる ⚫ 外部リソースを活用することで、セキュリティの傾向変化・アップデートへの追従が容易となる ⚫ 共通的な考え方で対策するため、ベンチマークやベストプラクティスにない対応にも先手が打てる ➢ 各種ガイドラインは、社内有識者と連携して現場レベルで調整のうえ、定期的に見直し・アップデートを実施 NRIのクラウドガイドラインでの記載(イメージ)
  32. 35 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼ルール、適用・検知、利用者の対処、教育・啓蒙を通じ、継続的な対策の普及を行っている。 • ガイドライン適用の維持 • 違反通知へのアクション • 調査、アナウンス対応 • e-Learning • 研修、勉強会 • セキュリティ担当連絡会 • クラウド利用申請・審査 • アカウントの棚卸・調査 • ガイドライン準拠状況の チェック・通知サービス • 各種社内規程 • クラウドガイドライン • 脆弱性/セキュリティ アップデート対応 ルール 適用・ 検知 利用者 の対処 教育・ 啓蒙 NRIにおけるクラウドセキュリティの取り組み あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
  33. 36 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    はじめに 01 クラウドセキュリティの考慮点と考え方 02 NRIにおけるクラウドセキュリティの取り組み 03 セキュリティ観点からみたOCIの特長 04 まとめ 05
  34. 37 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼利用するサービス毎に、権限設定や鍵管理などの保護対策を行う。 ➢責任分界点、推奨事項、コンポーネント毎の設計・設定、初期と定期的タスクを押さえること。 OCIの各サービスごとのセキュリティ・ベストプラクティス あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 出典:セキュリティのベスト・プラクティス ⚫ ブロック・ボリュームの保護 ⚫ クラウド・アドバイザの保護 ⚫ コンピュートの保護 ⚫ Container Engine for Kubernetesの保護 ⚫ データ・カタログの保護 ⚫ データ統合の保護 ⚫ データ転送の保護 ⚫ データベースの保護 ⚫ 電子メール配信の保護 ⚫ ファイル・ストレージの保護 ⚫ GoldenGateの保護 ⚫ IAMの保護 ⚫ 監視の保護 ⚫ ネットワーキングの保護: VCN、ロード・バランサおよび DNS ⚫ 通知の保護 ⚫ オブジェクト・ストレージの保護 ⚫ リソース・マネージャの保護 ⚫ サービス・コネクタ・ハブの保護 ⚫ 脆弱性スキャンの保護
  35. 38 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼セキュリティ・サービス群を利用して、顧客・内部データやコンポーネントを保護する対策を行う。 ⚫ リージョンと可用性ドメイン (環境の分離) ⚫ Identity and Access Management (IAM) ⚫ Identity Cloud Service (IDプロバイダ) ⚫ Cloud Guard (監視・可視化・改善支援) ⚫ Vulnerability Scanning (脆弱性定期チェック) ⚫ Security Zones (ポリシー強制区画) ⚫ Vault (暗号鍵とシークレット資格情報) ⚫ Security Advisor (セキュア構成の作成支援) ⚫ Bastion (堅牢な踏み台サーバ) ⚫ Web Application Firewall (WAF、LB連携) ⚫ Audit (APIコールとコンソール操作の記録) ⚫ Certificates (プライベート認証局とTLS証明書) OCIのセキュリティ対策サービス あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 出典:Oracle | セキュリティ・サービス(Security Services)
  36. 39 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    CIS Benchmarks の定めるセキュリティ対策 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼各パブリッククラウドの CIS Benchmarks は共通的な対策方針となっている。 ⚫ 観点さえ押さえれば、他のパブリッククラウドでも応用可能 ⚫ OCI特有の考え方・サービス仕様として押さえるべき点は以下 • ネットワーク:VPC/VCN・セグメントの持ち方、GW・ピアリングの接続形態、FW・ACLの制御仕様が異なる。 • コンパートメント:OCI独特の概念。論理的な組織構成で、リソースアクセス、権限継承の設計ポイント。 • Cloud Guard:OCI独自のセキュリティ統合サービス。 ➢ そのまま利用する訳ではなく、組織の対応レベルに応じた調整、合意のうえでの代替策も必要 ◼概ね以下の章構成だが、サービスの設定単位での対応となるため対策の数・粒度は異なる。 1. Identity and Access Management(IAM) 2. Logging / Monitoring 3. Networking 4. VM / Storage / Database / Serverless ※ 5. Security / Compliance ※Kubernetes関連(AWS EKS/Google GKE/Oracle OKEなど)は別のベンチマークとして分離
  37. 40 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼ 主要なパブリッククラウド の CIS Benchmarks の項目数は以下。 ⚫ AWS は Monitoring(ログメトリック、アラーム)の設定項目が多い。 ⚫ Azure は Security(Azure AD、Microsoft Defender)関連の設定項目が多い。 ⚫ Google Cloud は Database(Cloud SQL、PostgreSQL、MySQL) の設定項目が多い。 ⚫ OCI はデフォルト有効化済みや設定機能がない(暗号化解除できないなど)ため設定項目が少ない。 CIS Benchmarks の推奨事項 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 AWS Azure Google Cloud OCI Version 1.4.0 1.3.1 1.2.0 1.1.0 最終更新 2021/5/28 2021/7/21 2021/5/1 2020/11/9 IAM 21 23 15 12 Networking 4 6 10 5 Logging / Monitoring 11+15 15 12 17 VM - 7 11 - Storage 7 11 2 2 Database - 18 30 - Serverless - 11 3 - Security / Compliance - 15+5 - 2 合計 58 111 83 38
  38. 41 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    パブリッククラウドサービスの三大構成要素 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼パブリッククラウドのサービス群を大別すると、以下3つの構成要素に分類できる。 ① コンピューティング:仮想サーバ、ストレージ、ネットワーク等、システム構築に利用する機能 ② 運用/監視 :1.が正常に稼働するためシステムの運用状態を監視する機能 ③ 認証/認可 :サービス提供されるクラウドの機能に対し、適切なユーザに適切な権限を与える機能 コンピューティング 認証/認可 運用/監視 Subnet C 10.0.30.0/24 Subnet D 10.0.30.0/24 ORACLE CLOUD INFRASTRUCTURE (REGION) Availability Domain 1 Availability Domain 2 AD3 Subnet A 10.0.30.0/24 Bastian Server Primary Database Loaded Balanced Web Servers Standby Database Database System Object Storage Identity & Access Management VPN Bare Metal Compute Database System Dynamic Routing Gateway VCN Load Balancer Virtual Machine Virtual Machine Cloud Guard Notifications Alarming Monitoring Healthcheck Compartments Tagging Auditing Logging Secu rity Lists Policies Groups Subnet B 10.0.30.0/24
  39. 42 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼CIS OCI Foundations Benchmark が定める5対策領域の適用範囲は以下。 1. IAM 2. ロギング/モニタリング 3. ネットワーキング 4. ストレージ ※ 5. 資源管理 ※VM、データベース暗号化は デフォルト実施のため項目なし CIS OCI Foundations Benchmark の適用範囲 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 4. スト レージ 3. ネットワーキング 5. 資源管理 1. IAM 2. ロギング/ モニタリング Subnet C 10.0.30.0/24 Subnet D 10.0.30.0/24 Subnet B 10.0.30.0/24 ORACLE CLOUD INFRASTRUCTURE (REGION) Availability Domain 1 Availability Domain 2 AD3 Subnet A 10.0.30.0/24 Bastian Server Primary Database Loaded Balanced Web Servers Standby Database Database System Object Storage Identity & Access Management VPN Bare Metal Compute Database System Dynamic Routing Gateway VCN Load Balancer Virtual Machine Virtual Machine Cloud Guard Notifications Alarming Monitoring Healthcheck Compartments Tagging Auditing Logging Secu rity Lists Policies Groups
  40. 43 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    CIS OCI Foundations Benchmark‐Identity and Access Management あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 1.1 特定サービスでリソース管理するためのサービスレベル管理者を作成すること Manual Level 1 1.2 全てのリソースに対する権限がテナント管理者グループにのみ与えられていること Manual Level 1 1.3 IAM管理者がテナント管理者グループを更新できないこと Manual Level 1 1.4 IAMパスワード・ポリシーで14文字以上のパスワード長を必要とすること Manual Level 1 1.5 IAMパスワード・ポリシーでパスワードが365日以内に期限切れになること Manual Level 1 1.6 IAMパスワード・ポリシーでパスワードの再使用を防止すること(24世代) Manual Level 1 1.1 サービスレベル管理者を作成する ⚫ サービスへのアクセスを厳密に制御し、最小権限の原則を実現する 1.2-1.3 テナント管理者グループに権限を設定し、変更できないこと ⚫ グループで管理者権限を制御 1.4-1.6 パスワードポリシーを適切に ⚫ パスワード長(12→14文字)、期限切れ(120日→365日)、再使用防止(5世代→24世代)に変更
  41. 44 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    CIS OCI Foundations Benchmark‐Identity and Access Management あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 1.7 コンソール・パスワードを持つすべてのユーザーに対してMFAが有効になっていること Automated Level 1 1.8 ユーザーのAPIキーが90日以内にローテーションされること Automated Level 1 1.9 ユーザーの顧客秘密鍵が90日以内にローテーションされること Automated Level 1 1.10 ユーザー認証トークンが90日以内にローテーションされること Automated Level 1 1.11 テナント管理者ユーザ用にAPIキーが作成されていないこと Automated Level 1 1.12 すべてのOCI IAMユーザーアカウントに有効かつ最新の電子メールアドレスがあること Manual Level 1 1.7 MFAは必須 1.8-1.10 クレデンシャルのローテーションを行う ⚫ 90日以内にローテーションし、関連付けられたユーザーと同じレベルのアクセスを行う(異動などを考慮) 1.11 管理者権限でAPIキーを実行しない 1.12 メールアドレスは組織管理されたものを使い、個人のものを使わないこと ⚫ 異動・組織改正や退職時に問題になることが多い。
  42. 45 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    CIS OCI Foundations Benchmark‐Networking あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 2.1-2.4 SSH(22)とRDP(3389)のインターネットに対する全開放を、セキュリティリストとNSGで防止 ⚫ セキュリティリスト:セグメント単位で設定(ネットワークチーム) ⚫ ネットワークセキュリティグループ(NSG):VNIC単位で設定(サーバチーム) ⚫ 公式はNSG推奨だが、CISは併用運用を想定。 ※ホワイトリスト形式であり、どちらかが許可すると有効化 ⚫ SSHとRDPを使いたい場合は、デフォルトポートから変更する 2.5 デフォルトセキュリティリストではICMPのみ許可 ⚫ デフォルトでポート22が全開放されているので削除 2.1 0.0.0.0/0からポート22への入力を許可するセキュリティリストがないこと Automated Level 1 2.2 0.0.0.0/0からポート3389への入力を許可するセキュリティリストがないこと Automated Level 1 2.3 0.0.0.0/0からポート22への入力を許可するネットワークセキュリティグループがないこと Manual Level 1 2.4 0.0.0.0/0からポート3389への入力を許可するネットワークセキュリティグループがないこと Manual Level 1 2.5 すべてのVCNのデフォルトセキュリティリストがICMPを除くすべてのトラフィックを制限すること Automated Level 1
  43. 46 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    CIS OCI Foundations Benchmark‐Logging and Monitoring あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 3.1 Auditログの保存期間が365日に設定されていること Automated Level 1 3.2 リソースでデフォルトタグが使用されていること Manual Level 1 3.1 Auditログの保存期間を90日→365日に変更する ⚫ ログ・リテンションは、アクティビティ・ログをどのくらいの期間保持するかを制御。 ⚫ 調査によると、サイバー侵害を検知するまでの平均時間(MTTD)は、一部の分野では30日、その他の分野で は206日。最低でも365日以上のログを保持することで、インシデントへの対応が可能に。 ⚫ 365日は最大値。それ以上のログ保存をする場合は、エクスポートしての保存を検討する。 3.2 デフォルトタグを使用し、タグをサポートするすべてのリソースが作成時にタグ付けさせる ⚫ タグは Compartment に適用され、子 Compartment にも継承される。 ⚫ "CreatedBy "のようなデフォルトタグを Root Compartment レベルで作成することを推奨。 ⚫ 監査ログを検索しなくても、誰がリソースを作成したかという情報を得ることができる。 ⚫ タグのNamespaceが IAM ポリシーによって保護されていること(ユーザーによるタグ変更の防止)。
  44. 47 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    CIS OCI Foundations Benchmark‐Logging and Monitoring あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 3.3 監視アラートを受信するための通知トピックとサブスクリプションを少なくとも1つ作成 Manual Level 1 3.4 アイデンティティ・プロバイダ の変更の通知が構成されていること Manual Level 1 3.5 IdPグループ・マッピング 〃 Manual Level 1 3.6 IAMグループ 〃 Manual Level 1 3.7 IAMポリシー 〃 Manual Level 1 3.8 ユーザー 〃 Manual Level 1 3.9 VCN 〃 Manual Level 1 3.10 ルートテーブル 〃 Manual Level 1 3.11 セキュリティ・リスト 〃 Manual Level 1 3.12 ネットワークセキュリティグループ 〃 Manual Level 1 3.13 ネットワーク・ゲートウェイ 〃 Manual Level 1 3.3 OCIの設定変更を管理者に通知するためのトピックを作成する ⚫ Notificationの通知方法としてEメール、HTTP、PagerDuty、Slack、OCI Functionを検討。 3.4 – 3.13 IAM/ネットワーク関連の設定変更を検知する ⚫ 意図しない変更が行われていないか、管理者が把握し、適切なアクションを行うこと。
  45. 48 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    CIS OCI Foundations Benchmark‐Logging and Monitoring あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 3.14 すべてのサブネットでVCNフローロギングが有効になっていること Manual Level 2 3.15 テナントのルートコンパートメントでCloud Guardが有効になっていること Manual Level 1 3.16 作成したカスタマーマネージドキー(CMK)が少なくとも年1回ローテーションされていること Manual Level 1 3.17 すべてのバケットで書き込みレベルのオブジェクトストレージのロギングが有効になっていること Manual Level 2 3.14 仮想ネットワーク内を流れるトラフィックを監視し、異常なトラフィックを検出 3.15 Cloud Guard はテナントの最上位で有効化し、テナント内の全てを監視する ⚫ 安全でない方法で設定されたリソースや、危険なネットワークアクティビティを自動的に監視する。 3.16 鍵をローテーションし、万が一、鍵が漏洩した場合のリスクを軽減する ⚫ 鍵を毎年ローテーションすることで、1つの鍵バージョンで暗号化されるデータが制限される。 3.17 Object Storage の書き込みログを有効化する ⚫ `requestAction` プロパティに `PUT`, `POST`, `DELETE` のいずれかの値が格納されるようになる。
  46. 49 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    4.1 Object Storageのバケットがパブリックに公開されないようにすること Manual Level 1 4.2 Object Storage BucketsがCustomer Managed Key (CMK)で暗号化されていること Manual Level 2 CIS OCI Foundations Benchmark‐Object Storage あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 4.1 必要がない場合、パブリック・バケットを作成しない ⚫ (想定外の公開による)企業のデータ損失のリスクを低減する。 ⚫ BUCKET_CREATE もしくは BUCKET_UPDATE 権限を不特定多数に与えないこと。 ⚫ バケットをパブリックにできないセキュリティ・ゾーン利用も検討する。 4.2 利用者自身で管理する暗号化キーを利用する ⚫ デフォルトの Oracle Managed Key ではなく、ユーザーが管理するCMKを使う。 ⚫ バケットの暗号化キーのライフサイクル管理を独自に行うことができ、データのセキュリティレベルを向上させる。 出典:https://docs.oracle.com/ja-jp/iaas/Content/Object/Tasks/managingbuckets.htm
  47. 50 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    5.1 テナント内にクラウドリソースを保存するためのコンパートメントを少なくとも1つ作成すること Manual Level 1 5.2 ルートコンパートメントにリソースが作成されていないこと Manual Level 1 CIS OCI Foundations Benchmark‐Asset Management あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 5.1 コンパートメントを作成する ⚫ クラウドリソースを経営資源(アセット)ととらえ、組織的に管理する。 ⚫ コンパートメントは論理的なグループで、隔離、組織化、権限付与のレイヤーを追加する。 ⚫ 権限のないユーザーがOCIリソースにアクセスすることを困難にし、統制レベルを上げる。 5.2 リソースは個別のコンパートメントに分けて作成する ⚫ ルート直下に作らず、個別コンパートメントにレベル分けしてリソース配置する。 ⚫ リソースを整理し、より詳細なアクセスコントロールを行う。 出典:https://docs.oracle.com/ja-jp/iaas/Content/Identity/Tasks/managingcompartments.htm
  48. 51 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    (参考)CIS OCI Foundations Benchmark を満たすランディングゾーン あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 出典:Oracle | Deploy a secure landing zone that meets the CIS Foundations Benchmark for Oracle Cloud ◼CISベンチマークのセキュリティガイダンスを満たす構成 ⚫ Terraform ベースのテンプレートが公開 ⚫ ネットワーク、セキュリティ、アプリ開発等の管理者が 各々アクセスできる対象をコンパートメントで規定 ⚫ 推奨構成 • 重複しないCIDRでネットワークを構成 • Cloud Guard によるセキュリティの監視 • セキュリティで保護されたプロビジョニング ⚫ 考慮事項 • コンパートメントによるアクセス許可 • ネットワーク構成(スタンドアロン / ハブ&スポーク) • コード再利用とテンプレートのカスタマイズ
  49. 52 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼セキュリティ対策の可視化と自動化サービス ⚫ Cloud Guard • OCIのセキュリティに関する設定状況を可視化、アクティビティの監視、是正 ⚫ Data Safe • データベースセキュリティ対策の可視化と自動化 ◼セキュリティポリシーの適用サービス ⚫ コンパートメント • 利用リソースを論理的にグルーピングする機能、ポリシーの適用をリソース範囲を指定して柔軟に設定できる ⚫ デフォルト暗号化 • 暗号化しない、という選択肢がそもそもない ➢デフォルトや標準機能として対策がなされている項目が多く、利用者が設定する項目が少ない セキュリティ観点からみたOCIの特長 あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
  50. 53 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    はじめに 01 クラウドセキュリティの考慮点と考え方 02 NRIにおけるクラウドセキュリティの取り組み 03 セキュリティ観点からみたOCIの特長 04 まとめ 05
  51. 54 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    まとめ あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 ◼ 提供者と利用者の責任範囲を把握し、外部リソースを活用する。 ⚫ 提供者の「クラウドのセキュリティ」は、第三者認証の取得状況、ホワイトペーパーを確認 ⚫ 利用者の「クラウドにおけるセキュリティ」は、公開ナレッジ、ベンチマーク、ベストプラクティスを活用 ◼ 「クラウドにおけるセキュリティ」は共通する考え方で対処できることが多い。 ⚫ IAM・認証認可、ネットワーク保護、ロギング・モニタリングの3つが基本 ⚫ 暗号化、多重化・冗長化、バックアップ、分析・レポーティングでより強固にする ⚫ 統制レベルによるアカウント分割、予算設定なども保護対策として必要 ⚫ 固有サービスごとの保護設定 + セキュリティツール・サービスの利用 ◼ 初期設計・設定に加え、継続監視・改善を行うことが重要。 ⚫ 初期段階からセキュリティを取り込む(シフトレフト:早い段階から相談を) ⚫ ツール・サービス活用により継続監視・改善を省力化・自動化
  52. SECURITY PART OF OUR DNA Security is not Optional, it

    is FOUNDATION. • 1977 年からビジネス・スタート。最初の顧客は CIA • 米国政府の要求に応えるセキュリティ技術を提供 • セキュリティは追加できると考えず、組み込むべきもの • オラクルの製品とクラウド・サービスでは、セキュリティは 最初から組み込まれ、常にオン。 57 Copyright © 2021, Oracle and/or its affiliates
  53. オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY ON

    THE CLOUD SECURITY OF THE CLOUD + 強力、完全なテナント分離 強制的な暗号化 (DB/Storage/Network) 階層型権限管理 セキュリティポリシーの自動有効 リスクのある設定を自動検知 Copyright © 2021, Oracle and/or its affiliates 58 * WAF: Web Application Firewall 脆弱性スキャン 自動化されたログ分析 脆弱性自動修復 ボット対策とWAF(*) 多要素認証とリスクベース認証 特権ユーザーのアクセス制御 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化
  54. クラウドプラットフォームレベルでの環境隔離と暗号化 階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセ スが可能、部署を跨いだシステム 構築も容易 ✓ コンパートメント毎のクオータ設定に

    より 使い過ぎを抑止 強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化 強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより 情報漏洩のリスクを最小化 AD2 リージョン1 AD2 リージョン2 すべてのデータ を暗号化 MACSec 高速・スケーラブルな Layer2 暗号化 部署ごとにCompartment(サブアカウント)を作成 「コンパートメント」モデル テナント コンパートメント A コンパートメントB ユーザー グループ ポリシー ポリシー ポリシー 部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネル ネットワーク仮想化 物理サーバー Copyright © 2021, Oracle and/or its affiliates 59 組み込んだ セキュリティ
  55. 推奨セキュリティ機能は基本的に全て有効化した状態で提供 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS

    内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース Web Application Firewall Identity Cloud Service Data Safe 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Copyright © 2021, Oracle and/or its affiliates 60 データ Observability and Management / Management Cloud 強制的な 暗号化 Autonomous Linux Autonomous Database Vulnerability Scanning Cloud Guard/ Security Zones 監査証跡 行・列レベルの アクセス制御 常時オン 設定ミスの 検知・是正 多要素認証
  56. リスクのある設定を自動検知 • 構成とアクティビティを監視 • 問題の特定、脅威を検出 • 問題の是正、顧客通知 セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用

    • 初期段階からリソースの セキュリティを確保 脆弱性自動修復 • Oracle Autonomous Databaseに おける脆弱性自動修復 • Oracle Data Safeによる セキュリティ・リスク軽減 自動化されたEnd-to-Endのセキュリティで人的ミスを排除 パブリックアクセス不可 自動パッチ適用 アップグレード Oracle Cloud Guard Oracle Security Zones Oracle Autonomous Database Oracle Data Safe Copyright © 2021, Oracle and/or its affiliates 61 •セキュリティ構成評価 •ユーザーのリスク評価 •アクティビティの監査 •機密データの発見 •データ・マスキング 自動化された セキュリティ 管理
  57. Oracle Cloud Guard Copyright © 2021, Oracle and/or its affiliates

    62 Oracle Cloud Infrastructureの様々なサービス設定や アクティビティを監視し、通知・是正することで安全なクラウド の 利用をサポート • OCIの様々なサービスの設定やアクティビティを監視し、 通知・アクションを実行することで安全にクラウドを運用 • 脆弱な設定やリスクの高いユーザー操作を検出ルールに 基づいて常時監視 • 検出ルールはオラクル管理で自動化され、ユーザーによる メンテ ナンスの必要はなし • 検出された問題はリスクレベルで評価し、テナント全体の 健全性をスコアリング • 検出されたリスクは、メール等で通知が可能 • 無償で提供 自動化された セキュリティ 管理 Cloud Guard Vault Scanning VCN, Load Balancer Compute, Storages Databases IAM 問題の検知 アクション実行 リスク評価
  58. 「お客様からの評価から見る」Cloud Guardの強み 63 Copyright © 2021, Oracle and/or its affiliates

    標準機能で提供 セキュリティサービスとして標準で提供されている事が評価できる 他社では複数サービスが必要で、開発工数とサブスクリプション価格で高コストになる 優れた使い勝手 ユーザーインターフェースや設定の考え方などが分かりやすい 監視項目が広く、監視項目も詳細まで確認でき有効性が高い。他社サービスは大雑把な サマリー情報の把握にとどまる 異常を発見後のアクションが設定できる「レスポンダー」機能は良く、拡張性もある 容易な導入 導入作業が楽、セットアップがすぐ終わる。他社サービスでは設定チェックの仕組みを手組で 開発していた 事前に検出ルール(レシピ)が設定してあり手間がかからない 導入直後に実際に危険な設定を見つけてくれた (ネットワーク通信が無制限だったのを発見) リスクの高いObject Storage設定の発見&自動対処をすぐ実装できた 自動化された セキュリティ 管理
  59. Oracle Maximum Security Zones Copyright © 2021, Oracle and/or its

    affiliates 64 • 強固なセキュリティ・ポリシーを適用 • パブリックからのアクセスに関する制限、暗号化、 リソースの移動制限など40を超えるポリシーを オラクルで管理・提供 • ポリシーに違反する操作は、定義されてセキュリ ティゾーン内では実行することはできない • より高いセキュリティレベルで保護する必要がある リソースに対して、強制的にポリシーを適用し、セ キュアなクラウド運用を実現 事前定義のルール パブリックアクセス不可、 安全でないストレージなし Oracle Cloud Infrastructureが業界初で提供した機能 自動化された セキュリティ 管理 VM Database Security Zones 管理者
  60. ハイブリットクラウドで利用するデータベース をよりセキュアに ✓ 統合されたデータベースセキュリティ管理サービス 1. 機密データの発見(Sensitive Data Discovery ) 2.

    データ・マスキング(Data Masking) 3. アクティビティの監査(Activity Auditing) 4. セキュリティ構成の評価(Security Assessment) 5. ユーザーのリスク評価(User Assessment) ✓ 特別なセキュリティの専門知識 ✓ 多層防御における重要なデータ・セキュリティ対策 ✓ 短時間でセキュリティ・リスクを軽減 ✓ Oracle Cloud Databaseの利用でサービスを無償提供 ※1 ✓ オンプレミス、他社クラウド上のオラクルDBへも対応 - 24,000円 /ターゲット/月 Oracle Data Safe Copyright © 2021, Oracle and/or its affiliates 65 ※ 監査機能は100万レコード/月まで無償、その他の機能は無償 Oracle Cloud上の データベース 監査 ユーザー 発見 アセス マスク オンプレミス のデータベース Data Safe AWS, Azure上の オラクルデータベース 自動化された セキュリティ 管理
  61. Web Application Firewall OCI Certificates OCI Bastion 最新のセキュリティ・イノベーション ボット対策とWAF Webアプリケーションへの様々な攻

    撃を防御し、OWASPトップ10対応 など簡単な設定で手軽に利用可能 Flexible Load Balancers 対応し、 価格を無償から利用可能に(*) ホストの脆弱性診断 クラウドホストを評価、監視すること で、パッチが適用されていない脆弱 性と開放されたポートによるリスクを お客様が特定し、それに対処 証明書サービス CAや証明書の作成やライフサイクル 管理を実現するマネージド・サービス 踏み台サーバー パブリック・エンドポイントを持たないリ ソースへのセキュアな限定アクセス Oracle Cloud Infrastructure Copyright © 2021, Oracle and/or its affiliates 66 Vulnerability Scanning * 1インスタンス、1000万インカミングリクエスト/月まで無償 New New New Update 詳細な情報 ⇒ https://blogs.oracle.com/sec/post/newest-security-innovations-from-oci-jp
  62. Oracle Cloud Infrastructure セキュリティ関連の価格概要 67 Copyright © 2021, Oracle and/or

    its affiliates カテゴリ 機能 機能名 単価 セキュリティ・ バイ・デザイン 強力、完全なテナント分離 Isolated Network Virtualization / Bare Meta 標準機能 強制的な暗号化 Encryption by Default 標準機能 階層型権限管理 Compartment 標準機能 自動化された セキュリティ管理 リスクのある設定を自動検知 Cloud Guard 無償 ポリシーの自動適用 Security Zones 無償 脆弱性スキャン Vulnerability Scanning 無償 オンラインでのパッチ適用 Autonomous Database 無償 (*1) 証明書サービス Certificates 無償 データ中心の 多層防御 DBセキュリティ対策の自動化 Data Safe 無償~ (*2) 特権ユーザー管理 Database Vault DBCS HP~ (*3) 踏み台サーバー Bastion 無償 多要素認証、リスクベース認証 IAM 無償~ ボット対策とWAF Web Application Firewall 無償~ (*4) *1 Autonomous Database 利用時に無償で利用可能 *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償 *3 DBCS High Performance以上で利用可能 *4 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥72 [1,000,000インカミングリクエスト/月]、¥600[インスタンス/月]