あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策(Oracle Cloudウェビナーシリーズ: 2021年11月24日)/20211124-OCW-CloudSecurity

Oracle Cloud ウェビナー
あなたのクラウドは大丈夫？
NRI 実務者が教えるセキュリティの傾向と対策
2021年11月24日
株式会社野村総合研究所（NRI）品質監理本部情報セキュリティ部佐古伸晃様
日本オラクル株式会社事業戦略統括事業開発本部大澤清吾

View Slide

1. クラウドセキュリティ考慮点と考え方
2. NRI社におけるクラウドセキュリティの取り組み
3. セキュリティ視点からみたOracle Cloud Infrastructure の特長
4. オラクルのセキュリティへの取り組み
アジェンダ
Copyright © 2021, Oracle and/or its affiliates
2

View Slide

アジェンダ
3
株式会社野村総合研究所（NRI）
品質監理本部情報セキュリティ部
佐古伸晃様

View Slide

あなたのクラウドは大丈夫？
NRI実務者が教えるセキュリティの傾向と対策
Oracle Cloud ウェビナー
2021年11月24日
株式会社野村総合研究所
品質監理本部
情報セキュリティ部
佐古伸晃

View Slide

5
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
はじめに
01
クラウドセキュリティの考慮点と考え方
02
NRIにおけるクラウドセキュリティの取り組み
03
セキュリティ観点からみたOCIの特長
04
まとめ
05

View Slide

6
Copyright
自己紹介
あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策
◼野村総合研究所(NRI) 情報セキュリティ部佐古伸晃(SAKO Nobuaki)
⚫ サイバーセキュリティ担当
⚫ 外部サービス利用時のセキュリティ対策評価
⚫ 外部環境からの脅威への備え、ガードレールの設置
◼実務：クラウドサービス・関連技術をいかに安全に使うか、の社内向けガイドライン策定
⚫ クラウドサービス
• 共通ガイドライン：IaaS / PaaS / SaaS 全般
• 個別ガイドライン：AWS / Azure / Google Cloud (GCP) / Oracle Cloud Infrastructure (OCI) 向けの詳細版
⚫ バージョン管理(GitHubなど)
⚫ Docker / Kubernetes

View Slide

7
Copyright
はじめに
01
02
03
04
まとめ
05

View Slide

8
Copyright
クラウドは大丈夫？の背景
◼クラウドサービスの利用は増え続けている
⚫ DX、コロナ禍におけるリモートワークの普及・デジタル化加速
⚫ 政府情報システムにおける「クラウド・バイ・デフォルト原則」
◼クラウドの特性と懸念(大丈夫？)
⚫ ネットワーク経由の利用と機密性
⚫ コンピューター資源の共用と可用性
⚫ 責任の共有と委託先管理
◼ガートナー社の予測
⚫ 2025 年までに、パブリッククラウドの使用を制御できない組織の 90% が、機密データを不適切に共有する。
⚫ 2025 年までに、クラウドセキュリティの障害の 99% が顧客の責任(≒設定不備)となる。
出典：Gartner | Is the Cloud Secure?
調査年利用状況
2020年 68.7％
2019年 64.7％
2018年 58.7％
出典：総務省 | 令和3年版情報通信白書
クラウドサービスの利用状況
(一部でも利用している企業の割合)
出典：日本銀行 | クラウドサービス利用におけるリスク管理上の留意点

View Slide

9
Copyright
そもそもセキュリティとは
◼クラウドを安全に利用するには、セキュリティの傾向と対策を知ることが重要。
◼セキュリティは、次の三要素が存在する場合に必要になる。
⚫ 守るべき資産
⚫ それを脅かす脅威
⚫ 脅威が突いてくる脆弱性
◼Information Technology(IT) 企業・システム・エンジニアが扱い、守るべき資産は、情報である。
➢脅威を想定し、脆弱性があることを前提に、セキュリティを考える。
⚫ どのように脅威を想定し、どのような脆弱性があることを知るか？

View Slide

10
Copyright
想定される脅威：セキュリティリスクの傾向を知る
◼OWASP (Open Web Application Security Project) Top 10
⚫ Webアプリケーションのセキュリティ向上を目的とした非営利団体が公開する、最も重大な10のリスク
➢ 定期的に更新され、直近のセキュリティリスクの傾向を知ることができる
⚫ OWASPが公開するその他リソース
• Mobile Top 10 、 OWASP API Top 10
• ZAP(脆弱性診断ツール)、Testing Guide(テストフレームワーク)、ASVS(セキュリティコントロールフレームワーク)
出典：OWASP Top Ten
アクセス制御の不備
不適切な暗号化
インジェクション
安全でない設計
不適切なセキュリティ設定
脆弱で古くなったコンポーネント
不適切な識別と認証
ソフトウェアとデータの整合性不備
セキュリティログとモニタリングの不備
サーバーサイドリクエストフォージェリ
(SSRF)

View Slide

11
Copyright
想定される脅威：敵対者の戦術とテクニックを知る
◼MITRE ATT&CK(マイター・アタック: Adversarial Tactics, Techniques, and Common Knowledge)
⚫ MITRE社の管理する、現実の観測に基づく、敵対戦術とテクニック(脅威)のナレッジベース
⚫ 初期アクセス、攻撃実行、永続化、侵出などの各12プロセスで、どのような事が行われるかパターン化
出典：MITRE ATT&CK
➢ 敵対者の戦術とテクニックを知ることで、どのような脅威に対策をとるか想定し、具体的な対策に落とし込む

View Slide

12
Copyright
脆弱性があることを知る
◼CVE(共通脆弱性識別子)
⚫ MITRE社が管理する一般公開されているセキュリティ脆弱性のリスト
⚫ 世界中のITベンダー、セキュリティ企業、リサーチ組織がCVE採番機関(CNA)として登録、報告
➢ このリストや通知情報から、自組織の利用するプロダクトに該当する脆弱性を特定、対策を検討する
出典：MITRE | CVE Details

View Slide

13
Copyright
情報セキュリティの特性
◼ISMS(情報セキュリティマネジメントシステム) の認証基準 ISO/IEC 27002 Information
technology では、以下のように定めている。
⚫ 情報セキュリティ(Information Security)とは、情報の以下を維持すること。(基本の三特性)
• 機密性 (Confidentiality) ：情報が、許可されたものだけがアクセスできること
• 完全性 (Integrity) ：情報が、正しい状態で保持されること
• 可用性 (Availability) ：情報が、いつでも安全にアクセスできること
⚫ 更に、情報に以下のような特性を含めることができること。(追加の四特性)
• 真正性 (Authenticity)
• 責任追跡性 (Accountability)
• 否認防止 (Non-Repudiation)
• 信頼性 (Reliability)
出典：https://www.iso.org/standard/54533.html

View Slide

14
Copyright
クラウドセキュリティの考え方
◼オンプレミスとクラウドでも、守るべき資産(情報)は変わらない。
◼その管理主体・アクセス経路・外部接続点の違いから、脅威と脆弱性は異なってくる。
⚫ オンプレミス
• 利用者が管理し、物理的に閉じたネットワークでアクセスが限定され、外部接続点は専任チームで統制されることが多い。
• 物理ネットワーク内にいる者はなりすましが困難なため、脅威ではない信頼された存在として扱われてきた。
⚫ クラウド
• 提供者が管理し、世界中どこからでもアクセスでき、利用者の権限・設定次第で外部接続点はフルオープンになる。
• オンプレミス環境では、クラウド環境では、インターネット上にいるモノを物理的に信頼できる存在と証明するのは困難。
➢クラウドにおけるセキュリティの考え方・役割分担も自ずと変わってくる。

View Slide

15
Copyright
クラウドセキュリティの役割分担
◼代表例：AWSの責任共有モデル
⚫ 利用者の責任：クラウド ’における’ セキュリティ(Security ‘in’ the cloud)
⚫ 提供者の責任：クラウド ’の’ セキュリティ(Security ‘of’ the Cloud)
◼セキュリティだけではなく、予算・調達・契約
・精算・ガバナンスなどその他の分野にも
及ぶ、クラウド利用の基本的な考え方。
◼多くのクラウドサービスでも同じモデルを採用。
⚫ 利用者側の責任は必ずある。
出典：Amazon Web Services ブログ責任共有モデルとは何か、を改めて考える

View Slide

16
Copyright
Oracle Cloud Infrastructure(OCI) におけるセキュリティの役割分担
◼OCIでは共有セキュリティ・モデル
⚫ 利用者の役割：ユーザは自分達のワークロード保護と利用サービスの安全な構成設定を行う
⚫ 提供者の役割：Oracleは基礎となるインフラストラクチャのセキュリティ対策を行う
◼基本的な考え方は共通
⚫ クラウドにおけるセキュリティ
⚫ クラウドのセキュリティ
➢自分達の責任範囲と
やる事を把握すること。
出典：Oracle Cloud Infrastructureのセキュリティ・チェックリスト

View Slide

17
Copyright
「クラウドのセキュリティ」は信頼できるのか？
◼クラウド事業者の責任は果たされているか？
⚫ 責任を共有するには、利用するクラウドサービスが信頼できるか、コンプライアンスの観点で判断する必要がある。
⚫ 企業のセキュリティポリシーに合致するか、独自の質問票を用意するケースもあるが、クラウドサービス事業者と
一問一答をやり取りするのは非常に労力・時間がかかる。
◼コンプライアンスに関しては、以下のような第三者基準の認証取得状況を確認する。
⚫ ISO27001：情報セキュリティマネジメントシステム(ISMS)
⚫ ISO27017：クラウドベースの情報セキュリティの統制
⚫ ISO27018：クラウド上での個人データ保護
⚫ SOC1：財務報告に係る内部統制報告書
⚫ SOC2：セキュリティや可用性等の内部統制報告書
⚫ HIPPA、PCI-DSS、FISCなど：特定業界ごとの統制基準
⚫ ISMAP、FedRAMP / SP800-53、NIST SP800-171、GDPR、マイナンバー法など：国ごとの統制基準
➢ NRIではISO・SOCの取得状況に応じ、
クラウド事業者のセキュリティ対策が
実施済みと判断し、セキュリティアセス
メントを省略可としている

View Slide

18
Copyright
(ご参考)主要パブリッククラウドの第三者認証取得状況
◼第三者認証は様々な観点でセキュリティ・プライバシーの管理・統制がなされていることの証明。
⚫ 財務状況、サービス運営、情報セキュリティ対策、各国政府機関の要求水準(ISMAP認定が待たれる)
⚫ 従業員の権限管理・アクセスコントロール、データセンターの物理セキュリティ(監視カメラ、侵入防止など)
⚫ 個人情報、特定個人情報、医療情報、クレジットカード情報などの管理・保護
➢ クラウドサービス利用する業務の業界基準、データの所在地域、個人情報の有無などによって使い分ける
◼主要パブリッククラウドの対応状況は以下(以下は認証の一部)
出典：Oracle Cloud Compliance 他
対象グローバル業界地域
第三者認
証
ISO/IEC
27001
ISO/IEC
27017
ISO/IEC
27018
SOC1 SOC2 SOC3 CSA
CCM /
STAR
HIPAA PCI-DSS FISC ISMAP FedRAM
P / SP
800-53
NIST
SP800-
171
Cyber
Essential
s UK
C5
Germany
GDPR Privacy
Shield
プライバ
シーマーク
マイナン
バー法
概要情報セ
キュリティ
マネジメン
トシステム
(ISMS)
クラウド
ベースの情
報セキュリ
ティの統
制
クラウド上
での個人
データ保
護
財務報告
に係る内
部統制報
告書
セキュリ
ティや可
用性等の
内部統制
報告書
セキュリ
ティや可
用性等の
内部統制
簡易報告
クラウドの
セキュリ
ティ・統
制・リスク
管理
米国医療
業界の医
療情報機
密保持
グローバル
なクレジッ
トカード業
界基準
日本の金
融業界向
け安全対
策基準
日本政府
情報シス
テムのため
のセキュリ
ティ評価
制度
米国政府
系セキュリ
ティ／プラ
イバシー管
理
米国政府
外の非格
付け情報
の保護
英国政府
のサイバー
セキュリ
ティ保護
手法
ドイツ政
府の運用
セキュリ
ティ証明
EUの一般
データ保
護規則
EUと米国
への個人
情報移転
に関する
要件
日本国内
法人向け
の個人情
報保護処
置
日本に住
民票を持
つ個人の
番号保護
AWS ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ - ○
Azure ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ - ○
Google ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ - ○ ○ ○ - ○
OCI ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ - ○

View Slide

19
Copyright
OCIのセキュリティとコンプライアンスの考え方
出典：OCIのセキュリティとコンプライアンス対応、そしてISMAP
◼OCIのクラウドサービス提供者としてのセキュリティとコンプライアンスの考え方は、
以下7つの柱を土台に、対応するサービス群・コンプライアンスで実装されている。
➢利用するサービス群・コンプライアンスが、どのようなセキュリティ特性に対応するか押さえておく
Trusted Enterprise Cloud Platformの7柱(7 Pillar)
OCIの提供するサービス群・コンプライアンス

View Slide

20
Copyright
◼AWS、Azure、Google Cloud において、利用者が実施すべきベストプラクティスは5つの柱で
纏められている。考え方は共通。
⚫ 運用上の優秀性
⚫ セキュリティ
⚫ 信頼性
⚫ パフォーマンス効率
⚫ コスト最適化
「クラウドにおけるセキュリティ」のベストプラクティス
出典：AWS Well-Architected
出典：アーキテクチャフレームワークの最新ベストプラクティスで Google Cloud のワークロードを強化
出典：Microsoft Azure Well-Architected Framework

View Slide

21
Copyright
◼OCIにおけるベストプラクティスは
4つのビジネス目標とフォーカス領域
として纏められている。
◼ コンプライアンスと耐障害性が追加
要素としてあるが、基本的な５つの
考え方は共通。
➢各々のフォーカス領域ごとに、該当する
サービスのセキュリティを考え、対策する。
OCIにおけるベストプラクティス
ビジネス目標主なフォーカス領域
セキュリティーとコンプライアンス •ユーザー認証
•リソースの分離とアクセス制御
•コンピュート・セキュリティ
•データベース・セキュリティ
•データ保護
•ネットワーク・セキュリティ
信頼性と耐障害性 •フォルト・トレラント・ネットワーク・アーキテクチャ
•サービスの制限および割当て制限
•データのバックアップ
•スケール
パフォーマンスとコストの最適化 •コンピューティングのサイズ設定
•ストレージ戦略
•ネットワークの監視およびチューニング
•コスト追跡と管理
動作効率 •デプロイメント・ストラテジ
•ワークロードのモニタリング
•OS管理
•サポート
出典：Oracle Cloud Infrastructureのベスト・プラクティスのフレームワーク

View Slide

22
Copyright
◼ クラウドサービスは、インターネット経由で利用する共同サービス。
◼ クラウドサービスには、提供者の責任と、利用者の責任がある。
◼ 提供者の「クラウドのセキュリティ」は、第三者認証の取得状況を確認する。
⚫ 権威ある認証を借りる：ISO27017、SOC2、 PCI DSS、ISMAP、FISC など
◼ 利用者の「クラウドにおけるセキュリティ」は、公開ナレッジ、ベストプラクティスを活用する。
⚫ 先人の知恵を借りる：OWASP、MITRE ATT&CK、CVE、各社セキュリティベストプラクティスなど

View Slide

23
Copyright
はじめに
01
02
03
04
まとめ
05

View Slide

24
Copyright
◼利用者としての対応方針は以下。
1. 初期段階からセキュリティの観点を取り込む。(セキュリティのシフトレフト)
2. 利用するクラウドサービスごとに対策を行い、多層防御を行う。(セキュリティに銀の弾丸はない)
3. アカウント作成直後から、脅威・障害に備え、継続的に利用状況を注視する。(全てのフェーズで対応する)
4. 発生したインシデントに対応する体制・シナリオを用意、定期的に訓練する。(発生した場合に備える)
◼ 膨大なアップデートが行われるクラウスサービスで、セキュリティアップデートにどう追従するか？
1. クラウドサービス横断でセキュリティ対策の大方針を定める
2. デファクトスタンダードのセキュリティフレームワークを活用する
3. 各クラウドサービスのベストプラクティスを利用する
4. セキュリティの傾向調査、発生インシデントの再発防止、定期棚卸での実態把握、ノウハウ化
セキュリティを実現するサービスでの対策と対応方針

View Slide

25
Copyright
◼各サービスごとに設定できる対策と想定される脅威は様々だが、大別して７つを設定。
対策の大項目想定される脅威
1. ネットワークによるアクセス制御・境界線防御インターネットからのログイン施行、侵入・攻撃
2. アイデンティティによる認証・認可、MFA 不正アクセス、アカウント乗っ取り、過大権限による誤操作
3. 暗号化による保存データ・通信経路の保護情報漏洩、盗聴、改ざん
4. 多重化・冗長化構成による可用性の向上 HW故障、SW障害、広域障害
5. バックアップ取得によるデータロストへの備え運用ミス、データセンター被災、ランサムウェア
6. ロギング・モニタリングによる記録・監視攻撃、不正行動
7. 分析・レポーティングによる可視化・監査攻撃、障害、設定不備の見落とし
◼ セキュリティ以外の関連する観点も追加し、より包括的なガイドラインとしている。
8. 統制レベルに応じたアカウント分割コンプライアンス違反、本番環境とその他環境の混同
9. 予算設定、利用金額超過アラート使い過ぎ、不正利用
クラウドサービス横断のセキュリティ対策の大方針

View Slide

26
Copyright
NRIにおけるクラウド利用者向けガイドラインの構成
◼NRIでは、以下の３種類を組み合わせ、共通の考え方で各種ガイドラインを策定している。
⚫ ノウハウをもとにした独自ルール
⚫ 各クラウドのベストプラクティス
⚫ CISベンチマーク(クラウド
セキュリティ設定のデファクト)
統制エンジン／セキュリティ設定診断サービス／CSPM
自社ノウハウをもとにした独自ルール
各クラウドのベストプラクティス
CISベンチマーク
Oracle Cloud
ガイドライン
Google Cloud
ガイドライン
Azure
ガイドライン
AWS
ガイドライン
利用者が守るべきクラウド
セキュリティ対策をまとめた
ガイドライン
ガイドラインでの対策が守ら
れているか診断・管理する
ツール／サービス
クラウド利用者向けガイドライン(共通)

View Slide

27
Copyright
代表的なセキュリティフレームワーク
◼デファクトスタンダードとなっているセキュリティフレームワークには以下のようなものがあり、それぞれ
サイバー攻撃対策・内部不正対策、組織面・技術面の四象限で特長がある。
⚫ NIST CSF：米国立標準研究所(NIST) 発行のCyber Security Framework
⚫ CIS Controls：米インターネットセキュリティセンター(CIS) 発行のセキュリティ管理策
⚫ ISMS： JISQ27001(ISO/IEC27001) に基づいた情報セキュリティ管理の仕組み
⚫ PCI DSS：クレジットカード業界セキュリティ団体(PCI SSC) 発行の対策基準
◼クラウドサービス利用時のセキュリティ判断基準
➢ NRIでは、サイバー攻撃対策に特化し、業界を問わず、
具体的な技術面での対策・設定に強みを持つ
CISの提供するリソースを活用
出典：NRIセキュア | 【解説】NIST サイバーセキュリティフレームワークの実践的な使い方

View Slide

28
Copyright
(参考)セキュリティフレームワークやナレッジの利用例
◼セキュリティフレームワークやナレッジを活用したセキュリティ対策の評価・分析手法
◼セキュリティベンチマーク／コントロールでの対策／方針と、セキュリティフレームワークとのマッピング
出典：NRIセキュア | MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス
IM-1: 一元化された ID と認証システムを使用する
CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3
セキュリティの原則: 一元化された ID と認証システムを使用して、クラウドリソースと非クラウドリソースに対する組織の ID と認証を管理します。
出典：Microsoft | Azure セキュリティベンチマーク
出典：Microsoft | MITRE ATT&CK® と組み込
み Azure security control とのマッピングを発表

View Slide

29
Copyright
Center for Internet Security(CIS)の提供リソース
◼米国の政府・学術機関・企業がインターネット・セキュリティ標準化に取り組む団体。
⚫ CIS Controls：サイバー攻撃に焦点を当てた具体的技術対策を示す18種類のフレームワーク
⚫ CIS Benchmarks：セキュリティ推奨事項・設定値を記載したドキュメント
出典：CIS Center for Internet Security
責任共有モデルのどのレイヤーをカバーするか

View Slide

30
Copyright
CIS Benchmarks の対象
◼CIS Benchmarks は、非常に広範囲な製品・サービスを対象とするドキュメント群。
⚫ パブリッククラウドの設定に関してはほぼ唯一の基準であり、デファクトスタンダートとなっている。
カテゴリ対象の製品・サービス(例)
Cloud Provider Alibaba Cloud, Amazon Web Services, Microsoft Azure, Google Cloud Platform, IBM Cloud, OCI
Desktops & Web Browsers
Apple Desktop OSX, Apple Safari Browser, Google Chrome, Microsoft Internet Explorer, Microsoft Windows
Desktop 10/XP/NT, Mozilla Firefox Browser, Opera Browser, Mobile Devices, Zoom
Mobile Devices Apple Mobile Platform iOS, Google Mobile Platform
Network Devices
Agnostic Print Devices, Check Point Firewall, Cisco Firewall Devices, Cisco Routers/Switches IOS, Cisco Wireless
LAN Controller, Juniper Routers/Switches JunOS, Palo Alto Networks
Server Software – Operating Systems
Amazon Linux, CentOS, Debian Linux Server, IBM AIX Server, Microsoft Windows Server, Novell Netware, Oracle
Linux, Oracle Solaris Server, Red Hat Linux Server, Slackware Linux Server, SUSE Linux Enterprise Server, Ubuntu
LTS Server
Server Software - Other
Apache HTTP Server, Apache Tomcat Server, BIND DNS Server, FreeRADIUS, Microsoft IIS Server, IBM DB2 Server,
Microsoft Exchange, Microsoft SharePoint Server, Microsoft SQL Server, MIT Kerberos, MySQL Database Server,
Novell eDirectory, OpenLDAP Server, Oracle Database Server, PostgreSQL Database Server, Sybase Database
Server
Security Metrics Quick Start Guide, Security Metrics
Virtualization Platforms Agnostic VM Server, Docker, Kubernetes, VMware Server, Xen Server
Other Microsoft Access, Microsoft Excel, Microsoft Office, Microsoft Outlook , Microsoft PowerPoint, Microsoft Word
出典：CIS Benchmarks

View Slide

31
Copyright
CIS Benchmarks の定める項目と内容
◼CIS Benchmarks はドキュメント内で以下のように詳細な対策が記載されている。
⚫ 手順はコンソール操作およびCLIと具体的な出力結果が記載されており、システマティックに判断が可能。
項目内容
推奨事項対象を堅牢化するための具体的な運営・設定
評価ステータス自動化できるもの(Automated)、手動で行うもの(Manual)
プロファイル定義レベル1：基本的な対策、レベル2：拡張対策
説明推奨事項の説明
論理的根拠設定すべき理由
影響設定する際に考慮すべき影響
監査適切に設定されているかの確認する手順
修復適切に設定するための手順
デフォルト値関連する設定項目のデフォルト値
リファレンス設定・方針の参考リンク
CIS Control CIS Control で定義されている対策フレームワークとのマッピング
MITRE/ATT&CK MITRE/ATT&CK で定義されている脅威パターンとのマッピング*
➢ 自動化できるもの(技術項目)と手
動で行うもの(運用・方針)と位置
づけ
➢ 適用レベルを細分化し、適用タイ
ミングと機密性によって調整
1. アカウント作成後すぐ実施
2. サービス利用までに実施
3. 機密データ取扱い時に実施
4. 機密性が高い場合に検討
*AWS/Azureから順次対応中(2021/5～)

View Slide

32
Copyright
(参考)CIS Benchmarks 本文
推奨事項
プロファイル
監査方法
コンソール
修復方法
CIS Control
との対応
根拠
説明
監査方法
コマンドライン
参考URL
*MITRE ATT&CKとのマッピング情報は、CIS Benchmarksの別紙一覧表
(Excel)に記載あり (2021/11/24時点)
出典：CIS Benchmarks

View Slide

33
Copyright
AWS Security Hub
- AWS独自、CIS v1.2.0、PCI DSS等に対応
Microsoft Defender for Cloud(旧Security Center)
- Azure独自、CIS v1.1.0、NIST SP 800-53等に対応
Google Cloud Security Health Analytics
- GCP CIS v1.1.0、NIST SP 800-53等に対応
OCI Cloud Guard
- OCI独自、CIS v1.1.0等に対応
(参考)パブリッククラウドのCISベンチマーク準拠チェックサービス

View Slide

34
Copyright
NRIのクラウドガイドライン
NRIの共通的なガイドライン NRIのOCI向け個別ガイドライン CISの推奨項目オラクル社のベストプラクティス
タイトル本文根拠サービ
ス名
OCI対策
名
OCI対策
例
必要性 recomme
ndation#
Title 分類対策確認手順の例
ユーザア
カウントの
多要素
認証
クラウド利
用者はユー
ザアカウント
に多要素認
証(MFA)を
設定しなけ
ればならな
い。
多要素認
証であれ
ば防げたイ
ンシデント
が発生し、
パスワード
保護だけ
では不十
分であると
の認識が
広まってい
る。
ポリ
シー
MFAの
強制
ポリシー
でMFA
利用を
強制し、
リソースへ
のアクセ
スを制限
する。
アカウン
ト開設
後すぐ
やる
1.7 Ensure
MFA is
enabled
for all
users
with a
console
passwor
d
アイデン
ティティお
よび認可
の管理
マルチファ
クタ認証
の実装
マルチファクタ認証(MFA)の使用を強制します。リソー
スへのアクセスを、時間制限付きの1回かぎりのパス
ワードを使用して認証されたユーザーのみに制限できま
す。
リソースへのアクセスを許可するアクセス・ポリシーで、
リソースにMFAを適用できます。
たとえば、次のポリシーでは、GroupAのユーザーが、
任意のコンパートメントのインスタンス・ファミリに属する
リソースを管理する場合にMFAを強制します。
allow group GroupA to manage instance-
family in tenancy where
request.user.mfaTotpVerified='true'
◼共通ガイドライン、個別ガイドライン、CISベンチマーク、ベストプラクティスを横串でマッピング。
⚫ 各ルール、ベストプラクティス間の関連性を把握することで、根拠と具体的な対策が明確になる
⚫ 外部リソースを活用することで、セキュリティの傾向変化・アップデートへの追従が容易となる
⚫ 共通的な考え方で対策するため、ベンチマークやベストプラクティスにない対応にも先手が打てる
➢ 各種ガイドラインは、社内有識者と連携して現場レベルで調整のうえ、定期的に見直し・アップデートを実施
NRIのクラウドガイドラインでの記載(イメージ)

View Slide

35
Copyright
◼ルール、適用・検知、利用者の対処、教育・啓蒙を通じ、継続的な対策の普及を行っている。
• ガイドライン適用の維持
• 違反通知へのアクション
• 調査、アナウンス対応
• e-Learning
• 研修、勉強会
• セキュリティ担当連絡会
• クラウド利用申請・審査
• アカウントの棚卸・調査
• ガイドライン準拠状況の
チェック・通知サービス
• 各種社内規程
• クラウドガイドライン
• 脆弱性／セキュリティ
アップデート対応
ルール
適用・
検知
利用者
の対処
教育・
啓蒙

View Slide

36
Copyright
はじめに
01
02
03
04
まとめ
05

View Slide

37
Copyright
◼利用するサービス毎に、権限設定や鍵管理などの保護対策を行う。
➢責任分界点、推奨事項、コンポーネント毎の設計・設定、初期と定期的タスクを押さえること。
OCIの各サービスごとのセキュリティ・ベストプラクティス
出典：セキュリティのベスト・プラクティス
⚫ ブロック・ボリュームの保護
⚫ クラウド・アドバイザの保護
⚫ コンピュートの保護
⚫ Container Engine for Kubernetesの保護
⚫ データ・カタログの保護
⚫ データ統合の保護
⚫ データ転送の保護
⚫ データベースの保護
⚫ 電子メール配信の保護
⚫ ファイル・ストレージの保護
⚫ GoldenGateの保護
⚫ IAMの保護
⚫ 監視の保護
⚫ ネットワーキングの保護: VCN、ロード・バランサおよび
DNS
⚫ 通知の保護
⚫ オブジェクト・ストレージの保護
⚫ リソース・マネージャの保護
⚫ サービス・コネクタ・ハブの保護
⚫ 脆弱性スキャンの保護

View Slide

38
Copyright
◼セキュリティ・サービス群を利用して、顧客・内部データやコンポーネントを保護する対策を行う。
⚫ リージョンと可用性ドメイン (環境の分離)
⚫ Identity and Access Management (IAM)
⚫ Identity Cloud Service (IDプロバイダ)
⚫ Cloud Guard (監視・可視化・改善支援)
⚫ Vulnerability Scanning (脆弱性定期チェック)
⚫ Security Zones (ポリシー強制区画)
⚫ Vault (暗号鍵とシークレット資格情報)
⚫ Security Advisor (セキュア構成の作成支援)
⚫ Bastion (堅牢な踏み台サーバ)
⚫ Web Application Firewall (WAF、LB連携)
⚫ Audit (APIコールとコンソール操作の記録)
⚫ Certificates (プライベート認証局とTLS証明書)
OCIのセキュリティ対策サービス
出典：Oracle | セキュリティ・サービス(Security Services)

View Slide

39
Copyright
CIS Benchmarks の定めるセキュリティ対策
◼各パブリッククラウドの CIS Benchmarks は共通的な対策方針となっている。
⚫ 観点さえ押さえれば、他のパブリッククラウドでも応用可能
⚫ OCI特有の考え方・サービス仕様として押さえるべき点は以下
• ネットワーク：VPC/VCN・セグメントの持ち方、GW・ピアリングの接続形態、FW・ACLの制御仕様が異なる。
• コンパートメント：OCI独特の概念。論理的な組織構成で、リソースアクセス、権限継承の設計ポイント。
• Cloud Guard：OCI独自のセキュリティ統合サービス。
➢ そのまま利用する訳ではなく、組織の対応レベルに応じた調整、合意のうえでの代替策も必要
◼概ね以下の章構成だが、サービスの設定単位での対応となるため対策の数・粒度は異なる。
1. Identity and Access Management(IAM)
2. Logging / Monitoring
3. Networking
4. VM / Storage / Database / Serverless ※
5. Security / Compliance
※Kubernetes関連(AWS EKS/Google GKE/Oracle OKEなど)は別のベンチマークとして分離

View Slide

40
Copyright
◼ 主要なパブリッククラウドの CIS Benchmarks の項目数は以下。
⚫ AWS は Monitoring(ログメトリック、アラーム)の設定項目が多い。
⚫ Azure は Security(Azure AD、Microsoft Defender)関連の設定項目が多い。
⚫ Google Cloud は Database(Cloud SQL、PostgreSQL、MySQL) の設定項目が多い。
⚫ OCI はデフォルト有効化済みや設定機能がない(暗号化解除できないなど)ため設定項目が少ない。
CIS Benchmarks の推奨事項
AWS Azure Google Cloud OCI
Version 1.4.0 1.3.1 1.2.0 1.1.0
最終更新 2021/5/28 2021/7/21 2021/5/1 2020/11/9
IAM 21 23 15 12
Networking 4 6 10 5
Logging / Monitoring 11+15 15 12 17
VM - 7 11 -
Storage 7 11 2 2
Database - 18 30 -
Serverless - 11 3 -
Security / Compliance - 15+5 - 2
合計 58 111 83 38

View Slide

41
Copyright
パブリッククラウドサービスの三大構成要素
◼パブリッククラウドのサービス群を大別すると、以下３つの構成要素に分類できる。
① コンピューティング：仮想サーバ、ストレージ、ネットワーク等、システム構築に利用する機能
② 運用／監視：１．が正常に稼働するためシステムの運用状態を監視する機能
③ 認証／認可：サービス提供されるクラウドの機能に対し、適切なユーザに適切な権限を与える機能
コンピューティング認証／認可
運用／監視
Subnet C
10.0.30.0/24
Subnet D
10.0.30.0/24
ORACLE CLOUD INFRASTRUCTURE (REGION)
Availability Domain 1 Availability Domain 2 AD3
Subnet A
10.0.30.0/24
Bastian Server
Primary
Database
Loaded Balanced
Web Servers
Standby Database
Database
System
Object
Storage
Identity &
Access
Management
VPN Bare Metal
Compute
Database
System
Dynamic
Routing
Gateway
VCN
Load
Balancer
Virtual Machine
Virtual Machine
Cloud Guard Notifications
Alarming Monitoring
Healthcheck
Compartments
Tagging
Auditing
Logging
Secu
rity
Lists
Policies
Groups
Subnet B
10.0.30.0/24

View Slide

42
Copyright
◼CIS OCI Foundations Benchmark が定める５対策領域の適用範囲は以下。
1. IAM
2. ロギング／モニタリング
3. ネットワーキング
4. ストレージ ※
5. 資源管理
※VM、データベース暗号化は
デフォルト実施のため項目なし
CIS OCI Foundations Benchmark の適用範囲
4. スト
レージ
3. ネットワーキング
5. 資源管理
1. IAM
2. ロギング／
モニタリング
Subnet C
10.0.30.0/24
Subnet D
10.0.30.0/24
Subnet B
10.0.30.0/24
ORACLE CLOUD INFRASTRUCTURE (REGION)
Availability Domain 1 Availability Domain 2 AD3
Subnet A
10.0.30.0/24
Bastian Server
Primary
Database
Loaded Balanced
Web Servers
Standby Database
Database
System
Object
Storage
Identity &
Access
Management
VPN Bare Metal
Compute
Database
System
Dynamic
Routing
Gateway
VCN
Load
Balancer
Virtual Machine
Virtual Machine
Cloud Guard Notifications
Alarming Monitoring
Healthcheck
Compartments
Tagging
Auditing
Logging
Secu
rity
Lists
Policies
Groups

View Slide

43
Copyright
CIS OCI Foundations Benchmark‐Identity and Access Management
1.1 特定サービスでリソース管理するためのサービスレベル管理者を作成すること Manual Level 1
1.2 全てのリソースに対する権限がテナント管理者グループにのみ与えられていること Manual Level 1
1.3 IAM管理者がテナント管理者グループを更新できないこと Manual Level 1
1.4 IAMパスワード・ポリシーで14文字以上のパスワード長を必要とすること Manual Level 1
1.5 IAMパスワード・ポリシーでパスワードが365日以内に期限切れになること Manual Level 1
1.6 IAMパスワード・ポリシーでパスワードの再使用を防止すること(24世代) Manual Level 1
1.1 サービスレベル管理者を作成する
⚫ サービスへのアクセスを厳密に制御し、最小権限の原則を実現する
1.2-1.3 テナント管理者グループに権限を設定し、変更できないこと
⚫ グループで管理者権限を制御
1.4-1.6 パスワードポリシーを適切に
⚫ パスワード長(12→14文字)、期限切れ(120日→365日)、再使用防止(5世代→24世代)に変更

View Slide

44
Copyright
CIS OCI Foundations Benchmark‐Identity and Access Management
1.7 コンソール・パスワードを持つすべてのユーザーに対してMFAが有効になっていること Automated Level 1
1.8 ユーザーのAPIキーが90日以内にローテーションされること Automated Level 1
1.9 ユーザーの顧客秘密鍵が90日以内にローテーションされること Automated Level 1
1.10 ユーザー認証トークンが90日以内にローテーションされること Automated Level 1
1.11 テナント管理者ユーザ用にAPIキーが作成されていないこと Automated Level 1
1.12 すべてのOCI IAMユーザーアカウントに有効かつ最新の電子メールアドレスがあること Manual Level 1
1.7 MFAは必須
1.8-1.10 クレデンシャルのローテーションを行う
⚫ 90日以内にローテーションし、関連付けられたユーザーと同じレベルのアクセスを行う(異動などを考慮)
1.11 管理者権限でAPIキーを実行しない
1.12 メールアドレスは組織管理されたものを使い、個人のものを使わないこと
⚫ 異動・組織改正や退職時に問題になることが多い。

View Slide

45
Copyright
CIS OCI Foundations Benchmark‐Networking
2.1-2.4 SSH(22)とRDP(3389)のインターネットに対する全開放を、セキュリティリストとNSGで防止
⚫ セキュリティリスト：セグメント単位で設定(ネットワークチーム)
⚫ ネットワークセキュリティグループ(NSG)：VNIC単位で設定(サーバチーム)
⚫ 公式はNSG推奨だが、CISは併用運用を想定。 ※ホワイトリスト形式であり、どちらかが許可すると有効化
⚫ SSHとRDPを使いたい場合は、デフォルトポートから変更する
2.5 デフォルトセキュリティリストではICMPのみ許可
⚫ デフォルトでポート22が全開放されているので削除
2.1 0.0.0.0/0からポート22への入力を許可するセキュリティリストがないこと Automated Level 1
2.2 0.0.0.0/0からポート3389への入力を許可するセキュリティリストがないこと Automated Level 1
2.3 0.0.0.0/0からポート22への入力を許可するネットワークセキュリティグループがないこと Manual Level 1
2.4 0.0.0.0/0からポート3389への入力を許可するネットワークセキュリティグループがないこと Manual Level 1
2.5 すべてのVCNのデフォルトセキュリティリストがICMPを除くすべてのトラフィックを制限すること Automated Level 1

View Slide

46
Copyright
CIS OCI Foundations Benchmark‐Logging and Monitoring
3.1 Auditログの保存期間が365日に設定されていること Automated Level 1
3.2 リソースでデフォルトタグが使用されていること Manual Level 1
3.1 Auditログの保存期間を90日→365日に変更する
⚫ ログ・リテンションは、アクティビティ・ログをどのくらいの期間保持するかを制御。
⚫ 調査によると、サイバー侵害を検知するまでの平均時間(MTTD)は、一部の分野では30日、その他の分野で
は206日。最低でも365日以上のログを保持することで、インシデントへの対応が可能に。
⚫ 365日は最大値。それ以上のログ保存をする場合は、エクスポートしての保存を検討する。
3.2 デフォルトタグを使用し、タグをサポートするすべてのリソースが作成時にタグ付けさせる
⚫ タグは Compartment に適用され、子 Compartment にも継承される。
⚫ "CreatedBy "のようなデフォルトタグを Root Compartment レベルで作成することを推奨。
⚫ 監査ログを検索しなくても、誰がリソースを作成したかという情報を得ることができる。
⚫ タグのNamespaceが IAM ポリシーによって保護されていること(ユーザーによるタグ変更の防止)。

View Slide

47
Copyright
3.3 監視アラートを受信するための通知トピックとサブスクリプションを少なくとも1つ作成 Manual Level 1
3.4 アイデンティティ・プロバイダの変更の通知が構成されていること Manual Level 1
3.5 IdPグループ・マッピング〃 Manual Level 1
3.6 IAMグループ〃 Manual Level 1
3.7 IAMポリシー〃 Manual Level 1
3.8 ユーザー〃 Manual Level 1
3.9 VCN 〃 Manual Level 1
3.10 ルートテーブル〃 Manual Level 1
3.11 セキュリティ・リスト〃 Manual Level 1
3.12 ネットワークセキュリティグループ〃 Manual Level 1
3.13 ネットワーク・ゲートウェイ〃 Manual Level 1
3.3 OCIの設定変更を管理者に通知するためのトピックを作成する
⚫ Notificationの通知方法としてEメール、HTTP、PagerDuty、Slack、OCI Functionを検討。
3.4 – 3.13 IAM/ネットワーク関連の設定変更を検知する
⚫ 意図しない変更が行われていないか、管理者が把握し、適切なアクションを行うこと。

View Slide

48
Copyright
3.14 すべてのサブネットでVCNフローロギングが有効になっていること Manual Level 2
3.15 テナントのルートコンパートメントでCloud Guardが有効になっていること Manual Level 1
3.16 作成したカスタマーマネージドキー(CMK)が少なくとも年1回ローテーションされていること Manual Level 1
3.17 すべてのバケットで書き込みレベルのオブジェクトストレージのロギングが有効になっていること Manual Level 2
3.14 仮想ネットワーク内を流れるトラフィックを監視し、異常なトラフィックを検出
3.15 Cloud Guard はテナントの最上位で有効化し、テナント内の全てを監視する
⚫ 安全でない方法で設定されたリソースや、危険なネットワークアクティビティを自動的に監視する。
3.16 鍵をローテーションし、万が一、鍵が漏洩した場合のリスクを軽減する
⚫ 鍵を毎年ローテーションすることで、1つの鍵バージョンで暗号化されるデータが制限される。
3.17 Object Storage の書き込みログを有効化する
⚫ `requestAction` プロパティに `PUT`, `POST`, `DELETE` のいずれかの値が格納されるようになる。

View Slide

49
Copyright
4.1 Object Storageのバケットがパブリックに公開されないようにすること Manual Level 1
4.2 Object Storage BucketsがCustomer Managed Key (CMK)で暗号化されていること Manual Level 2
CIS OCI Foundations Benchmark‐Object Storage
4.1 必要がない場合、パブリック・バケットを作成しない
⚫ (想定外の公開による)企業のデータ損失のリスクを低減する。
⚫ BUCKET_CREATE もしくは BUCKET_UPDATE 権限を不特定多数に与えないこと。
⚫ バケットをパブリックにできないセキュリティ・ゾーン利用も検討する。
4.2 利用者自身で管理する暗号化キーを利用する
⚫ デフォルトの Oracle Managed Key ではなく、ユーザーが管理するCMKを使う。
⚫ バケットの暗号化キーのライフサイクル管理を独自に行うことができ、データのセキュリティレベルを向上させる。
出典：https://docs.oracle.com/ja-jp/iaas/Content/Object/Tasks/managingbuckets.htm

View Slide

50
Copyright
5.1 テナント内にクラウドリソースを保存するためのコンパートメントを少なくとも1つ作成すること Manual Level 1
5.2 ルートコンパートメントにリソースが作成されていないこと Manual Level 1
CIS OCI Foundations Benchmark‐Asset Management
5.1 コンパートメントを作成する
⚫ クラウドリソースを経営資源(アセット)ととらえ、組織的に管理する。
⚫ コンパートメントは論理的なグループで、隔離、組織化、権限付与のレイヤーを追加する。
⚫ 権限のないユーザーがOCIリソースにアクセスすることを困難にし、統制レベルを上げる。
5.2 リソースは個別のコンパートメントに分けて作成する
⚫ ルート直下に作らず、個別コンパートメントにレベル分けしてリソース配置する。
⚫ リソースを整理し、より詳細なアクセスコントロールを行う。
出典：https://docs.oracle.com/ja-jp/iaas/Content/Identity/Tasks/managingcompartments.htm

View Slide

51
Copyright
(参考)CIS OCI Foundations Benchmark を満たすランディングゾーン
出典：Oracle | Deploy a secure landing zone that meets the CIS Foundations Benchmark for Oracle Cloud
◼CISベンチマークのセキュリティガイダンスを満たす構成
⚫ Terraform ベースのテンプレートが公開
⚫ ネットワーク、セキュリティ、アプリ開発等の管理者が
各々アクセスできる対象をコンパートメントで規定
⚫ 推奨構成
• 重複しないCIDRでネットワークを構成
• Cloud Guard によるセキュリティの監視
• セキュリティで保護されたプロビジョニング
⚫ 考慮事項
• コンパートメントによるアクセス許可
• ネットワーク構成(スタンドアロン / ハブ&スポーク)
• コード再利用とテンプレートのカスタマイズ

View Slide

52
Copyright
◼セキュリティ対策の可視化と自動化サービス
⚫ Cloud Guard
• OCIのセキュリティに関する設定状況を可視化、アクティビティの監視、是正
⚫ Data Safe
• データベースセキュリティ対策の可視化と自動化
◼セキュリティポリシーの適用サービス
⚫ コンパートメント
• 利用リソースを論理的にグルーピングする機能、ポリシーの適用をリソース範囲を指定して柔軟に設定できる
⚫ デフォルト暗号化
• 暗号化しない、という選択肢がそもそもない
➢デフォルトや標準機能として対策がなされている項目が多く、利用者が設定する項目が少ない

View Slide

53
Copyright
はじめに
01
02
03
04
まとめ
05

View Slide

54
Copyright
まとめ
◼ 提供者と利用者の責任範囲を把握し、外部リソースを活用する。
⚫ 提供者の「クラウドのセキュリティ」は、第三者認証の取得状況、ホワイトペーパーを確認
⚫ 利用者の「クラウドにおけるセキュリティ」は、公開ナレッジ、ベンチマーク、ベストプラクティスを活用
◼ 「クラウドにおけるセキュリティ」は共通する考え方で対処できることが多い。
⚫ IAM・認証認可、ネットワーク保護、ロギング・モニタリングの３つが基本
⚫ 暗号化、多重化・冗長化、バックアップ、分析・レポーティングでより強固にする
⚫ 統制レベルによるアカウント分割、予算設定なども保護対策として必要
⚫ 固有サービスごとの保護設定＋セキュリティツール・サービスの利用
◼ 初期設計・設定に加え、継続監視・改善を行うことが重要。
⚫ 初期段階からセキュリティを取り込む（シフトレフト：早い段階から相談を）
⚫ ツール・サービス活用により継続監視・改善を省力化・自動化

View Slide

View Slide

アジェンダ
56

View Slide

SECURITY
PART OF OUR DNA
Security is not Optional, it is FOUNDATION.
• 1977 年からビジネス・スタート。最初の顧客は CIA
• 米国政府の要求に応えるセキュリティ技術を提供
• セキュリティは追加できると考えず、組み込むべきもの
• オラクルの製品とクラウド・サービスでは、セキュリティは
最初から組み込まれ、常にオン。
57 Copyright © 2021, Oracle and/or its affiliates

View Slide

オラクルが実現する堅牢なセキュリティ
データ中心の
セキュリティ
自動化された
セキュリティ
管理
セキュリティ
・バイ・デザイン
SECURITY ON THE CLOUD
SECURITY OF THE CLOUD
＋
強力、完全なテナント分離
強制的な暗号化
(DB/Storage/Network)
階層型権限管理
セキュリティポリシーの自動有効
リスクのある設定を自動検知
58 * WAF: Web Application Firewall
脆弱性スキャン
自動化されたログ分析
脆弱性自動修復
ボット対策とWAF(*)
多要素認証とリスクベース認証
特権ユーザーのアクセス制御
重要情報の隠蔽セキュリティ構成
機密データ発見アクティビティ監査
DBセキュリティ対策の自動化

View Slide

クラウドプラットフォームレベルでの環境隔離と暗号化
階層型権限管理
✓ 部署ごとの権限設定を実現
✓ コンパートメント間のリソースアクセ
スが可能、部署を跨いだシステム
構築も容易
✓ コンパートメント毎のクオータ設定に
より使い過ぎを抑止
強制的な暗号化
✓ すべてのデータ・サービスはOracle
がフルマネージドで暗号化
✓ データベースファイル,ストレージ
Block Volume, Boot Volume
✓ すべてのネットワーク通信も暗号化
強力、完全なテナント分離
✓ 分離された仮想ネットワークにより
情報漏洩のリスクを最小化
AD2
リージョン1
AD2
リージョン2
すべてのデータ
を暗号化
MACSec
高速・スケーラブルな
Layer2 暗号化
部署ごとにCompartment（サブアカウント）を作成
「コンパートメント」モデル
テナント
コンパートメント A コンパートメントB
ユーザーグループポリシー
ポリシーポリシー
部署-A 部署-B
Hypervisor
VM VM VM
VM VM VM
ホストOS / カーネル
ネットワーク仮想化
物理サーバー
59
組み込んだ
セキュリティ

View Slide

推奨セキュリティ機能は基本的に全て有効化した状態で提供
外部からの攻撃
» ボットによる攻撃
» 標的型攻撃
» ランサムウェア
» DDoS
内部からの攻撃
» バックドア
» 内部不正
» 不正アクセス
特権ユーザー
管理
ネットワーク
IDアクセス
管理
インフラ
ストラクチャ
データベース
Web
Application
Firewall
Identity
Cloud Service
Data Safe
強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理
60
データ
Observability and Management / Management Cloud
強制的な
暗号化
Autonomous Linux Autonomous Database
Vulnerability Scanning
Cloud Guard/
Security Zones
監査証跡
行・列レベルの
アクセス制御
常時オン
設定ミスの
検知・是正
多要素認証

View Slide

リスクのある設定を自動検知
• 構成とアクティビティを監視
• 問題の特定、脅威を検出
• 問題の是正、顧客通知
セキュリティポリシーの自動有効
• ベスト・プラクティスを強制的に適用
• 初期段階からリソースの
セキュリティを確保
脆弱性自動修復
• Oracle Autonomous Databaseに
おける脆弱性自動修復
• Oracle Data Safeによる
セキュリティ・リスク軽減
自動化されたEnd-to-Endのセキュリティで人的ミスを排除
パブリックアクセス不可
自動パッチ適用
アップグレード
Oracle Cloud Guard Oracle Security Zones
Oracle
Autonomous
Database
Oracle Data Safe
61
•セキュリティ構成評価
•ユーザーのリスク評価
•アクティビティの監査
•機密データの発見
•データ・マスキング
自動化された
セキュリティ
管理

View Slide

Oracle Cloud Guard
62
Oracle Cloud Infrastructureの様々なサービス設定や
アクティビティを監視し、通知・是正することで安全なクラウド
の利用をサポート
• OCIの様々なサービスの設定やアクティビティを監視し、
通知・アクションを実行することで安全にクラウドを運用
• 脆弱な設定やリスクの高いユーザー操作を検出ルールに
基づいて常時監視
• 検出ルールはオラクル管理で自動化され、ユーザーによる
メンテナンスの必要はなし
• 検出された問題はリスクレベルで評価し、テナント全体の
健全性をスコアリング
• 検出されたリスクは、メール等で通知が可能
• 無償で提供
自動化された
セキュリティ
管理
Cloud Guard Vault
Scanning
VCN, Load
Balancer
Compute, Storages Databases
IAM
問題の検知アクション実行
リスク評価

View Slide

「お客様からの評価から見る」Cloud Guardの強み
標準機能で提供セキュリティサービスとして標準で提供されている事が評価できる
他社では複数サービスが必要で、開発工数とサブスクリプション価格で高コストになる
優れた使い勝手
ユーザーインターフェースや設定の考え方などが分かりやすい
監視項目が広く、監視項目も詳細まで確認でき有効性が高い。他社サービスは大雑把な
サマリー情報の把握にとどまる
異常を発見後のアクションが設定できる「レスポンダー」機能は良く、拡張性もある
容易な導入
導入作業が楽、セットアップがすぐ終わる。他社サービスでは設定チェックの仕組みを手組で
開発していた
事前に検出ルール(レシピ)が設定してあり手間がかからない
導入直後に実際に危険な設定を見つけてくれた (ネットワーク通信が無制限だったのを発見)
リスクの高いObject Storage設定の発見&自動対処をすぐ実装できた
自動化された
セキュリティ
管理

View Slide

Oracle Maximum Security Zones
64
• 強固なセキュリティ・ポリシーを適用
• パブリックからのアクセスに関する制限、暗号化、
リソースの移動制限など40を超えるポリシーを
オラクルで管理・提供
• ポリシーに違反する操作は、定義されてセキュリ
ティゾーン内では実行することはできない
• より高いセキュリティレベルで保護する必要がある
リソースに対して、強制的にポリシーを適用し、セ
キュアなクラウド運用を実現
事前定義のルール
パブリックアクセス不可、
安全でないストレージなし
Oracle Cloud Infrastructureが業界初で提供した機能
自動化された
セキュリティ
管理
VM Database
Security Zones
管理者

View Slide

ハイブリットクラウドで利用するデータベースをよりセキュアに
✓ 統合されたデータベースセキュリティ管理サービス
1. 機密データの発見（Sensitive Data Discovery ）
2. データ・マスキング（Data Masking）
3. アクティビティの監査（Activity Auditing）
4. セキュリティ構成の評価（Security Assessment）
5. ユーザーのリスク評価（User Assessment）
✓ 特別なセキュリティの専門知識
✓ 多層防御における重要なデータ・セキュリティ対策
✓ 短時間でセキュリティ・リスクを軽減
✓ Oracle Cloud Databaseの利用でサービスを無償提供 ※1
✓ オンプレミス、他社クラウド上のオラクルDBへも対応
- 24,000円 /ターゲット/月
Oracle Data Safe
65
※ 監査機能は100万レコード/月まで無償、その他の機能は無償 Oracle Cloud上の
データベース
監査
ユーザー発見
アセスマスク
オンプレミス
のデータベース
Data Safe
AWS, Azure上の
オラクルデータベース
自動化された
セキュリティ
管理

View Slide

Web
Application
Firewall
OCI
Certificates
OCI
Bastion
最新のセキュリティ・イノベーション
ボット対策とWAF
Webアプリケーションへの様々な攻
撃を防御し、OWASPトップ10対応
など簡単な設定で手軽に利用可能
Flexible Load Balancers 対応し、
価格を無償から利用可能に(*)
ホストの脆弱性診断
クラウドホストを評価、監視すること
で、パッチが適用されていない脆弱
性と開放されたポートによるリスクを
お客様が特定し、それに対処
証明書サービス
CAや証明書の作成やライフサイクル
管理を実現するマネージド・サービス
踏み台サーバー
パブリック・エンドポイントを持たないリ
ソースへのセキュアな限定アクセス
Oracle Cloud Infrastructure
66
Vulnerability
Scanning
* 1インスタンス、1000万インカミングリクエスト/月まで無償
New
New
New
Update
詳細な情報 ⇒ https://blogs.oracle.com/sec/post/newest-security-innovations-from-oci-jp

View Slide

Oracle Cloud Infrastructure セキュリティ関連の価格概要
カテゴリ機能機能名単価
セキュリティ・
バイ・デザイン
強力、完全なテナント分離 Isolated Network Virtualization / Bare Meta 標準機能
強制的な暗号化 Encryption by Default 標準機能
階層型権限管理 Compartment 標準機能
自動化された
セキュリティ管理
リスクのある設定を自動検知 Cloud Guard 無償
ポリシーの自動適用 Security Zones 無償
脆弱性スキャン Vulnerability Scanning 無償
オンラインでのパッチ適用 Autonomous Database 無償 (*1)
証明書サービス Certificates 無償
データ中心の
多層防御
DBセキュリティ対策の自動化 Data Safe 無償～ (*2)
特権ユーザー管理 Database Vault DBCS HP～ (*3)
踏み台サーバー Bastion 無償
多要素認証、リスクベース認証 IAM 無償～
ボット対策とWAF Web Application Firewall 無償～ (*4)
*1 Autonomous Database 利用時に無償で利用可能
*2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償
*3 DBCS High Performance以上で利用可能
*4 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥72 [1,000,000インカミングリクエスト/月]、¥600[インスタンス/月]

View Slide

ご視聴
ありがとうございました
68

View Slide

あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策(Oracle Cloudウェビナーシリーズ: 2021年11月24日)/20211124-OCW-CloudSecurity

あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策(Oracle Cloudウェビナーシリーズ: 2021年11月24日)/20211124-OCW-CloudSecurity

oracle4engineer
PRO

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript

あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策(Oracle Cloudウェビナーシリーズ: 2021年11月24日)/20211124-OCW-CloudSecurity

あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策(Oracle Cloudウェビナーシリーズ: 2021年11月24日)/20211124-OCW-CloudSecurity

oracle4engineer PRO

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript

oracle4engineer
PRO