あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策(Oracle Cloudウェビナーシリーズ: 2021年11月24日)/20211124-OCW-CloudSecurity

Oracle Cloud ウェビナーあなたのクラウドは大丈夫？ NRI 実務者が教えるセキュリティの傾向と対策 2021年11月24日株式会社野村総合研究所（NRI）品質監理本部情報セキュリティ部佐古
伸晃様日本オラクル株式会社事業戦略統括事業開発本部大澤清吾

1. クラウドセキュリティ考慮点と考え方 2. NRI社におけるクラウドセキュリティの取り組み 3. セキュリティ視点からみたOracle Cloud Infrastructure の特長 4.
オラクルのセキュリティへの取り組みアジェンダ Copyright © 2021, Oracle and/or its affiliates 2

あなたのクラウドは大丈夫？ NRI実務者が教えるセキュリティの傾向と対策 Oracle Cloud ウェビナー 2021年11月24日株式会社野村総合研究所品質監理本部情報セキュリティ部佐古伸晃

5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
はじめに 01 クラウドセキュリティの考慮点と考え方 02 NRIにおけるクラウドセキュリティの取り組み 03 セキュリティ観点からみたOCIの特長 04 まとめ 05

自己紹介あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼野村総合研究所(NRI) 情報セキュリティ部佐古伸晃(SAKO Nobuaki) ⚫ サイバーセキュリティ担当 ⚫ 外部サービス利用時のセキュリティ対策評価 ⚫ 外部環境からの脅威への備え、ガードレールの設置 ◼実務：クラウドサービス・関連技術をいかに安全に使うか、の社内向けガイドライン策定 ⚫ クラウドサービス • 共通ガイドライン：IaaS / PaaS / SaaS 全般 • 個別ガイドライン：AWS / Azure / Google Cloud (GCP) / Oracle Cloud Infrastructure (OCI) 向けの詳細版 ⚫ バージョン管理(GitHubなど) ⚫ Docker / Kubernetes

クラウドは大丈夫？の背景あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼クラウドサービスの利用は増え続けている ⚫ DX、コロナ禍におけるリモートワークの普及・デジタル化加速 ⚫ 政府情報システムにおける「クラウド・バイ・デフォルト原則」 ◼クラウドの特性と懸念(大丈夫？) ⚫ ネットワーク経由の利用と機密性 ⚫ コンピューター資源の共用と可用性 ⚫ 責任の共有と委託先管理 ◼ガートナー社の予測 ⚫ 2025 年までに、パブリッククラウドの使用を制御できない組織の 90% が、機密データを不適切に共有する。 ⚫ 2025 年までに、クラウドセキュリティの障害の 99% が顧客の責任(≒設定不備)となる。出典：Gartner | Is the Cloud Secure? 調査年利用状況 2020年 68.7％ 2019年 64.7％ 2018年 58.7％出典：総務省 | 令和3年版情報通信白書クラウドサービスの利用状況 (一部でも利用している企業の割合) 出典：日本銀行 | クラウドサービス利用におけるリスク管理上の留意点

そもそもセキュリティとはあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼クラウドを安全に利用するには、セキュリティの傾向と対策を知ることが重要。 ◼セキュリティは、次の三要素が存在する場合に必要になる。 ⚫ 守るべき資産 ⚫ それを脅かす脅威 ⚫ 脅威が突いてくる脆弱性 ◼Information Technology(IT) 企業・システム・エンジニアが扱い、守るべき資産は、情報である。 ➢脅威を想定し、脆弱性があることを前提に、セキュリティを考える。 ⚫ どのように脅威を想定し、どのような脆弱性があることを知るか？

想定される脅威：セキュリティリスクの傾向を知るあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼OWASP (Open Web Application Security Project) Top 10 ⚫ Webアプリケーションのセキュリティ向上を目的とした非営利団体が公開する、最も重大な10のリスク ➢ 定期的に更新され、直近のセキュリティリスクの傾向を知ることができる ⚫ OWASPが公開するその他リソース • Mobile Top 10 、 OWASP API Top 10 • ZAP(脆弱性診断ツール)、Testing Guide(テストフレームワーク)、ASVS(セキュリティコントロールフレームワーク) 出典：OWASP Top Ten アクセス制御の不備不適切な暗号化インジェクション安全でない設計不適切なセキュリティ設定脆弱で古くなったコンポーネント不適切な識別と認証ソフトウェアとデータの整合性不備セキュリティログとモニタリングの不備サーバーサイドリクエストフォージェリ (SSRF)

想定される脅威：敵対者の戦術とテクニックを知るあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼MITRE ATT&CK(マイター・アタック: Adversarial Tactics, Techniques, and Common Knowledge) ⚫ MITRE社の管理する、現実の観測に基づく、敵対戦術とテクニック(脅威)のナレッジベース ⚫ 初期アクセス、攻撃実行、永続化、侵出などの各12プロセスで、どのような事が行われるかパターン化出典：MITRE ATT&CK ➢ 敵対者の戦術とテクニックを知ることで、どのような脅威に対策をとるか想定し、具体的な対策に落とし込む

脆弱性があることを知るあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼CVE(共通脆弱性識別子) ⚫ MITRE社が管理する一般公開されているセキュリティ脆弱性のリスト ⚫ 世界中のITベンダー、セキュリティ企業、リサーチ組織がCVE採番機関(CNA)として登録、報告 ➢ このリストや通知情報から、自組織の利用するプロダクトに該当する脆弱性を特定、対策を検討する出典：MITRE | CVE Details

情報セキュリティの特性あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼ISMS(情報セキュリティマネジメントシステム) の認証基準 ISO/IEC 27002 Information technology では、以下のように定めている。 ⚫ 情報セキュリティ(Information Security)とは、情報の以下を維持すること。(基本の三特性) • 機密性 (Confidentiality) ：情報が、許可されたものだけがアクセスできること • 完全性 (Integrity) ：情報が、正しい状態で保持されること • 可用性 (Availability) ：情報が、いつでも安全にアクセスできること ⚫ 更に、情報に以下のような特性を含めることができること。(追加の四特性) • 真正性 (Authenticity) • 責任追跡性 (Accountability) • 否認防止 (Non-Repudiation) • 信頼性 (Reliability) 出典：https://www.iso.org/standard/54533.html

クラウドセキュリティの考え方あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼オンプレミスとクラウドでも、守るべき資産(情報)は変わらない。 ◼その管理主体・アクセス経路・外部接続点の違いから、脅威と脆弱性は異なってくる。 ⚫ オンプレミス • 利用者が管理し、物理的に閉じたネットワークでアクセスが限定され、外部接続点は専任チームで統制されることが多い。 • 物理ネットワーク内にいる者はなりすましが困難なため、脅威ではない信頼された存在として扱われてきた。 ⚫ クラウド • 提供者が管理し、世界中どこからでもアクセスでき、利用者の権限・設定次第で外部接続点はフルオープンになる。 • オンプレミス環境では、クラウド環境では、インターネット上にいるモノを物理的に信頼できる存在と証明するのは困難。 ➢クラウドにおけるセキュリティの考え方・役割分担も自ずと変わってくる。

クラウドセキュリティの役割分担あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼代表例：AWSの責任共有モデル ⚫ 利用者の責任：クラウド ’における’ セキュリティ(Security ‘in’ the cloud) ⚫ 提供者の責任：クラウド ’の’ セキュリティ(Security ‘of’ the Cloud) ◼セキュリティだけではなく、予算・調達・契約・精算・ガバナンスなどその他の分野にも及ぶ、クラウド利用の基本的な考え方。 ◼多くのクラウドサービスでも同じモデルを採用。 ⚫ 利用者側の責任は必ずある。出典：Amazon Web Services ブログ責任共有モデルとは何か、を改めて考える

Oracle Cloud Infrastructure(OCI) におけるセキュリティの役割分担あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼OCIでは共有セキュリティ・モデル ⚫ 利用者の役割：ユーザは自分達のワークロード保護と利用サービスの安全な構成設定を行う ⚫ 提供者の役割：Oracleは基礎となるインフラストラクチャのセキュリティ対策を行う ◼基本的な考え方は共通 ⚫ クラウドにおけるセキュリティ ⚫ クラウドのセキュリティ ➢自分達の責任範囲とやる事を把握すること。出典：Oracle Cloud Infrastructureのセキュリティ・チェックリスト

「クラウドのセキュリティ」は信頼できるのか？あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼クラウド事業者の責任は果たされているか？ ⚫ 責任を共有するには、利用するクラウドサービスが信頼できるか、コンプライアンスの観点で判断する必要がある。 ⚫ 企業のセキュリティポリシーに合致するか、独自の質問票を用意するケースもあるが、クラウドサービス事業者と一問一答をやり取りするのは非常に労力・時間がかかる。 ◼コンプライアンスに関しては、以下のような第三者基準の認証取得状況を確認する。 ⚫ ISO27001：情報セキュリティマネジメントシステム(ISMS) ⚫ ISO27017：クラウドベースの情報セキュリティの統制 ⚫ ISO27018：クラウド上での個人データ保護 ⚫ SOC1：財務報告に係る内部統制報告書 ⚫ SOC2：セキュリティや可用性等の内部統制報告書 ⚫ HIPPA、PCI-DSS、FISCなど：特定業界ごとの統制基準 ⚫ ISMAP、FedRAMP / SP800-53、NIST SP800-171、GDPR、マイナンバー法など：国ごとの統制基準 ➢ NRIではISO・SOCの取得状況に応じ、クラウド事業者のセキュリティ対策が実施済みと判断し、セキュリティアセスメントを省略可としている

(ご参考)主要パブリッククラウドの第三者認証取得状況あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼第三者認証は様々な観点でセキュリティ・プライバシーの管理・統制がなされていることの証明。 ⚫ 財務状況、サービス運営、情報セキュリティ対策、各国政府機関の要求水準(ISMAP認定が待たれる) ⚫ 従業員の権限管理・アクセスコントロール、データセンターの物理セキュリティ(監視カメラ、侵入防止など) ⚫ 個人情報、特定個人情報、医療情報、クレジットカード情報などの管理・保護 ➢ クラウドサービス利用する業務の業界基準、データの所在地域、個人情報の有無などによって使い分ける ◼主要パブリッククラウドの対応状況は以下(以下は認証の一部) 出典：Oracle Cloud Compliance 他対象グローバル業界地域第三者認証 ISO/IEC 27001 ISO/IEC 27017 ISO/IEC 27018 SOC1 SOC2 SOC3 CSA CCM / STAR HIPAA PCI-DSS FISC ISMAP FedRAM P / SP 800-53 NIST SP800- 171 Cyber Essential s UK C5 Germany GDPR Privacy Shield プライバシーマークマイナンバー法概要情報セキュリティマネジメントシステム (ISMS) クラウドベースの情報セキュリティの統制クラウド上での個人データ保護財務報告に係る内部統制報告書セキュリティや可用性等の内部統制報告書セキュリティや可用性等の内部統制簡易報告クラウドのセキュリティ・統制・リスク管理米国医療業界の医療情報機密保持グローバルなクレジットカード業界基準日本の金融業界向け安全対策基準日本政府情報システムのためのセキュリティ評価制度米国政府系セキュリティ／プライバシー管理米国政府外の非格付け情報の保護英国政府のサイバーセキュリティ保護手法ドイツ政府の運用セキュリティ証明 EUの一般データ保護規則 EUと米国への個人情報移転に関する要件日本国内法人向けの個人情報保護処置日本に住民票を持つ個人の番号保護 AWS ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦ Azure ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦ Google ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦ ◦ ◦ - ◦ OCI ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦

OCIのセキュリティとコンプライアンスの考え方あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策出典：OCIのセキュリティとコンプライアンス対応、そしてISMAP ◼OCIのクラウドサービス提供者としてのセキュリティとコンプライアンスの考え方は、以下7つの柱を土台に、対応するサービス群・コンプライアンスで実装されている。 ➢利用するサービス群・コンプライアンスが、どのようなセキュリティ特性に対応するか押さえておく Trusted Enterprise Cloud Platformの7柱(7 Pillar) OCIの提供するサービス群・コンプライアンス

◼AWS、Azure、Google Cloud において、利用者が実施すべきベストプラクティスは5つの柱で纏められている。考え方は共通。 ⚫ 運用上の優秀性 ⚫ セキュリティ ⚫ 信頼性 ⚫ パフォーマンス効率 ⚫ コスト最適化「クラウドにおけるセキュリティ」のベストプラクティスあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策出典：AWS Well-Architected 出典：アーキテクチャフレームワークの最新ベストプラクティスで Google Cloud のワークロードを強化出典：Microsoft Azure Well-Architected Framework

◼OCIにおけるベストプラクティスは 4つのビジネス目標とフォーカス領域として纏められている。 ◼ コンプライアンスと耐障害性が追加要素としてあるが、基本的な５つの考え方は共通。 ➢各々のフォーカス領域ごとに、該当するサービスのセキュリティを考え、対策する。 OCIにおけるベストプラクティスあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策ビジネス目標主なフォーカス領域セキュリティーとコンプライアンス •ユーザー認証 •リソースの分離とアクセス制御 •コンピュート・セキュリティ •データベース・セキュリティ •データ保護 •ネットワーク・セキュリティ信頼性と耐障害性 •フォルト・トレラント・ネットワーク・アーキテクチャ •サービスの制限および割当て制限 •データのバックアップ •スケールパフォーマンスとコストの最適化 •コンピューティングのサイズ設定 •ストレージ戦略 •ネットワークの監視およびチューニング •コスト追跡と管理動作効率 •デプロイメント・ストラテジ •ワークロードのモニタリング •OS管理 •サポート出典：Oracle Cloud Infrastructureのベスト・プラクティスのフレームワーク

クラウドセキュリティの考慮点と考え方あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼ クラウドサービスは、インターネット経由で利用する共同サービス。 ◼ クラウドサービスには、提供者の責任と、利用者の責任がある。 ◼ 提供者の「クラウドのセキュリティ」は、第三者認証の取得状況を確認する。 ⚫ 権威ある認証を借りる：ISO27017、SOC2、 PCI DSS、ISMAP、FISC など ◼ 利用者の「クラウドにおけるセキュリティ」は、公開ナレッジ、ベストプラクティスを活用する。 ⚫ 先人の知恵を借りる：OWASP、MITRE ATT&CK、CVE、各社セキュリティベストプラクティスなど

◼利用者としての対応方針は以下。 1. 初期段階からセキュリティの観点を取り込む。(セキュリティのシフトレフト) 2. 利用するクラウドサービスごとに対策を行い、多層防御を行う。(セキュリティに銀の弾丸はない) 3. アカウント作成直後から、脅威・障害に備え、継続的に利用状況を注視する。(全てのフェーズで対応する) 4. 発生したインシデントに対応する体制・シナリオを用意、定期的に訓練する。(発生した場合に備える) ◼ 膨大なアップデートが行われるクラウスサービスで、セキュリティアップデートにどう追従するか？ 1. クラウドサービス横断でセキュリティ対策の大方針を定める 2. デファクトスタンダードのセキュリティフレームワークを活用する 3. 各クラウドサービスのベストプラクティスを利用する 4. セキュリティの傾向調査、発生インシデントの再発防止、定期棚卸での実態把握、ノウハウ化セキュリティを実現するサービスでの対策と対応方針あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策

◼各サービスごとに設定できる対策と想定される脅威は様々だが、大別して７つを設定。対策の大項目想定される脅威 1. ネットワークによるアクセス制御・境界線防御インターネットからのログイン施行、侵入・攻撃 2. アイデンティティによる認証・認可、MFA 不正アクセス、アカウント乗っ取り、過大権限による誤操作 3. 暗号化による保存データ・通信経路の保護情報漏洩、盗聴、改ざん 4. 多重化・冗長化構成による可用性の向上 HW故障、SW障害、広域障害 5. バックアップ取得によるデータロストへの備え運用ミス、データセンター被災、ランサムウェア 6. ロギング・モニタリングによる記録・監視攻撃、不正行動 7. 分析・レポーティングによる可視化・監査攻撃、障害、設定不備の見落とし ◼ セキュリティ以外の関連する観点も追加し、より包括的なガイドラインとしている。 8. 統制レベルに応じたアカウント分割コンプライアンス違反、本番環境とその他環境の混同 9. 予算設定、利用金額超過アラート使い過ぎ、不正利用クラウドサービス横断のセキュリティ対策の大方針あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策

NRIにおけるクラウド利用者向けガイドラインの構成あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼NRIでは、以下の３種類を組み合わせ、共通の考え方で各種ガイドラインを策定している。 ⚫ ノウハウをもとにした独自ルール ⚫ 各クラウドのベストプラクティス ⚫ CISベンチマーク(クラウドセキュリティ設定のデファクト) 統制エンジン／セキュリティ設定診断サービス／CSPM 自社ノウハウをもとにした独自ルール各クラウドのベストプラクティス CISベンチマーク Oracle Cloud ガイドライン Google Cloud ガイドライン Azure ガイドライン AWS ガイドライン利用者が守るべきクラウドセキュリティ対策をまとめたガイドラインガイドラインでの対策が守られているか診断・管理するツール／サービスクラウド利用者向けガイドライン(共通)

代表的なセキュリティフレームワークあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼デファクトスタンダードとなっているセキュリティフレームワークには以下のようなものがあり、それぞれサイバー攻撃対策・内部不正対策、組織面・技術面の四象限で特長がある。 ⚫ NIST CSF：米国立標準研究所(NIST) 発行のCyber Security Framework ⚫ CIS Controls：米インターネットセキュリティセンター(CIS) 発行のセキュリティ管理策 ⚫ ISMS： JISQ27001(ISO/IEC27001) に基づいた情報セキュリティ管理の仕組み ⚫ PCI DSS：クレジットカード業界セキュリティ団体(PCI SSC) 発行の対策基準 ◼クラウドサービス利用時のセキュリティ判断基準 ➢ NRIでは、サイバー攻撃対策に特化し、業界を問わず、具体的な技術面での対策・設定に強みを持つ CISの提供するリソースを活用出典：NRIセキュア | 【解説】NIST サイバーセキュリティフレームワークの実践的な使い方

(参考)セキュリティフレームワークやナレッジの利用例あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼セキュリティフレームワークやナレッジを活用したセキュリティ対策の評価・分析手法 ◼セキュリティベンチマーク／コントロールでの対策／方針と、セキュリティフレームワークとのマッピング出典：NRIセキュア | MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス IM-1: 一元化された ID と認証システムを使用する CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1 3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3 セキュリティの原則: 一元化された ID と認証システムを使用して、クラウドリソースと非クラウドリソースに対する組織の ID と認証を管理します。出典：Microsoft | Azure セキュリティベンチマーク出典：Microsoft | MITRE ATT&CK® と組み込み Azure security control とのマッピングを発表

Center for Internet Security(CIS)の提供リソースあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼米国の政府・学術機関・企業がインターネット・セキュリティ標準化に取り組む団体。 ⚫ CIS Controls：サイバー攻撃に焦点を当てた具体的技術対策を示す18種類のフレームワーク ⚫ CIS Benchmarks：セキュリティ推奨事項・設定値を記載したドキュメント出典：CIS Center for Internet Security 責任共有モデルのどのレイヤーをカバーするか

CIS Benchmarks の対象あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼CIS Benchmarks は、非常に広範囲な製品・サービスを対象とするドキュメント群。 ⚫ パブリッククラウドの設定に関してはほぼ唯一の基準であり、デファクトスタンダートとなっている。カテゴリ対象の製品・サービス(例) Cloud Provider Alibaba Cloud, Amazon Web Services, Microsoft Azure, Google Cloud Platform, IBM Cloud, OCI Desktops & Web Browsers Apple Desktop OSX, Apple Safari Browser, Google Chrome, Microsoft Internet Explorer, Microsoft Windows Desktop 10/XP/NT, Mozilla Firefox Browser, Opera Browser, Mobile Devices, Zoom Mobile Devices Apple Mobile Platform iOS, Google Mobile Platform Network Devices Agnostic Print Devices, Check Point Firewall, Cisco Firewall Devices, Cisco Routers/Switches IOS, Cisco Wireless LAN Controller, Juniper Routers/Switches JunOS, Palo Alto Networks Server Software – Operating Systems Amazon Linux, CentOS, Debian Linux Server, IBM AIX Server, Microsoft Windows Server, Novell Netware, Oracle Linux, Oracle Solaris Server, Red Hat Linux Server, Slackware Linux Server, SUSE Linux Enterprise Server, Ubuntu LTS Server Server Software - Other Apache HTTP Server, Apache Tomcat Server, BIND DNS Server, FreeRADIUS, Microsoft IIS Server, IBM DB2 Server, Microsoft Exchange, Microsoft SharePoint Server, Microsoft SQL Server, MIT Kerberos, MySQL Database Server, Novell eDirectory, OpenLDAP Server, Oracle Database Server, PostgreSQL Database Server, Sybase Database Server Security Metrics Quick Start Guide, Security Metrics Virtualization Platforms Agnostic VM Server, Docker, Kubernetes, VMware Server, Xen Server Other Microsoft Access, Microsoft Excel, Microsoft Office, Microsoft Outlook , Microsoft PowerPoint, Microsoft Word 出典：CIS Benchmarks

CIS Benchmarks の定める項目と内容あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼CIS Benchmarks はドキュメント内で以下のように詳細な対策が記載されている。 ⚫ 手順はコンソール操作およびCLIと具体的な出力結果が記載されており、システマティックに判断が可能。項目内容推奨事項対象を堅牢化するための具体的な運営・設定評価ステータス自動化できるもの(Automated)、手動で行うもの(Manual) プロファイル定義レベル1：基本的な対策、レベル2：拡張対策説明推奨事項の説明論理的根拠設定すべき理由影響設定する際に考慮すべき影響監査適切に設定されているかの確認する手順修復適切に設定するための手順デフォルト値関連する設定項目のデフォルト値リファレンス設定・方針の参考リンク CIS Control CIS Control で定義されている対策フレームワークとのマッピング MITRE/ATT&CK MITRE/ATT&CK で定義されている脅威パターンとのマッピング* ➢ 自動化できるもの(技術項目)と手動で行うもの(運用・方針)と位置づけ ➢ 適用レベルを細分化し、適用タイミングと機密性によって調整 1. アカウント作成後すぐ実施 2. サービス利用までに実施 3. 機密データ取扱い時に実施 4. 機密性が高い場合に検討 *AWS/Azureから順次対応中(2021/5～)

(参考)CIS Benchmarks 本文あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策推奨事項プロファイル監査方法コンソール修復方法 CIS Control との対応根拠説明監査方法コマンドライン参考URL *MITRE ATT&CKとのマッピング情報は、CIS Benchmarksの別紙一覧表 (Excel)に記載あり (2021/11/24時点) 出典：CIS Benchmarks

AWS Security Hub - AWS独自、CIS v1.2.0、PCI DSS等に対応 Microsoft Defender for Cloud(旧Security Center) - Azure独自、CIS v1.1.0、NIST SP 800-53等に対応 Google Cloud Security Health Analytics - GCP CIS v1.1.0、NIST SP 800-53等に対応 OCI Cloud Guard - OCI独自、CIS v1.1.0等に対応 (参考)パブリッククラウドのCISベンチマーク準拠チェックサービスあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策

NRIのクラウドガイドラインあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 NRIの共通的なガイドライン NRIのOCI向け個別ガイドライン CISの推奨項目オラクル社のベストプラクティスタイトル本文根拠サービス名 OCI対策名 OCI対策例必要性 recomme ndation# Title 分類対策確認手順の例ユーザアカウントの多要素認証クラウド利用者はユーザアカウントに多要素認証(MFA)を設定しなければならない。多要素認証であれば防げたインシデントが発生し、パスワード保護だけでは不十分であるとの認識が広まっている。ポリシー MFAの強制ポリシーでMFA 利用を強制し、リソースへのアクセスを制限する。アカウント開設後すぐやる 1.7 Ensure MFA is enabled for all users with a console passwor d アイデンティティおよび認可の管理マルチファクタ認証の実装マルチファクタ認証(MFA)の使用を強制します。リソースへのアクセスを、時間制限付きの1回かぎりのパスワードを使用して認証されたユーザーのみに制限できます。リソースへのアクセスを許可するアクセス・ポリシーで、リソースにMFAを適用できます。たとえば、次のポリシーでは、GroupAのユーザーが、任意のコンパートメントのインスタンス・ファミリに属するリソースを管理する場合にMFAを強制します。 allow group GroupA to manage instance- family in tenancy where request.user.mfaTotpVerified='true' ◼共通ガイドライン、個別ガイドライン、CISベンチマーク、ベストプラクティスを横串でマッピング。 ⚫ 各ルール、ベストプラクティス間の関連性を把握することで、根拠と具体的な対策が明確になる ⚫ 外部リソースを活用することで、セキュリティの傾向変化・アップデートへの追従が容易となる ⚫ 共通的な考え方で対策するため、ベンチマークやベストプラクティスにない対応にも先手が打てる ➢ 各種ガイドラインは、社内有識者と連携して現場レベルで調整のうえ、定期的に見直し・アップデートを実施 NRIのクラウドガイドラインでの記載(イメージ)

◼ルール、適用・検知、利用者の対処、教育・啓蒙を通じ、継続的な対策の普及を行っている。 • ガイドライン適用の維持 • 違反通知へのアクション • 調査、アナウンス対応 • e-Learning • 研修、勉強会 • セキュリティ担当連絡会 • クラウド利用申請・審査 • アカウントの棚卸・調査 • ガイドライン準拠状況のチェック・通知サービス • 各種社内規程 • クラウドガイドライン • 脆弱性／セキュリティアップデート対応ルール適用・検知利用者の対処教育・啓蒙 NRIにおけるクラウドセキュリティの取り組みあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策

◼利用するサービス毎に、権限設定や鍵管理などの保護対策を行う。 ➢責任分界点、推奨事項、コンポーネント毎の設計・設定、初期と定期的タスクを押さえること。 OCIの各サービスごとのセキュリティ・ベストプラクティスあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策出典：セキュリティのベスト・プラクティス ⚫ ブロック・ボリュームの保護 ⚫ クラウド・アドバイザの保護 ⚫ コンピュートの保護 ⚫ Container Engine for Kubernetesの保護 ⚫ データ・カタログの保護 ⚫ データ統合の保護 ⚫ データ転送の保護 ⚫ データベースの保護 ⚫ 電子メール配信の保護 ⚫ ファイル・ストレージの保護 ⚫ GoldenGateの保護 ⚫ IAMの保護 ⚫ 監視の保護 ⚫ ネットワーキングの保護: VCN、ロード・バランサおよび DNS ⚫ 通知の保護 ⚫ オブジェクト・ストレージの保護 ⚫ リソース・マネージャの保護 ⚫ サービス・コネクタ・ハブの保護 ⚫ 脆弱性スキャンの保護

◼セキュリティ・サービス群を利用して、顧客・内部データやコンポーネントを保護する対策を行う。 ⚫ リージョンと可用性ドメイン (環境の分離) ⚫ Identity and Access Management (IAM) ⚫ Identity Cloud Service (IDプロバイダ) ⚫ Cloud Guard (監視・可視化・改善支援) ⚫ Vulnerability Scanning (脆弱性定期チェック) ⚫ Security Zones (ポリシー強制区画) ⚫ Vault (暗号鍵とシークレット資格情報) ⚫ Security Advisor (セキュア構成の作成支援) ⚫ Bastion (堅牢な踏み台サーバ) ⚫ Web Application Firewall (WAF、LB連携) ⚫ Audit (APIコールとコンソール操作の記録) ⚫ Certificates (プライベート認証局とTLS証明書) OCIのセキュリティ対策サービスあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策出典：Oracle | セキュリティ・サービス(Security Services)

CIS Benchmarks の定めるセキュリティ対策あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼各パブリッククラウドの CIS Benchmarks は共通的な対策方針となっている。 ⚫ 観点さえ押さえれば、他のパブリッククラウドでも応用可能 ⚫ OCI特有の考え方・サービス仕様として押さえるべき点は以下 • ネットワーク：VPC/VCN・セグメントの持ち方、GW・ピアリングの接続形態、FW・ACLの制御仕様が異なる。 • コンパートメント：OCI独特の概念。論理的な組織構成で、リソースアクセス、権限継承の設計ポイント。 • Cloud Guard：OCI独自のセキュリティ統合サービス。 ➢ そのまま利用する訳ではなく、組織の対応レベルに応じた調整、合意のうえでの代替策も必要 ◼概ね以下の章構成だが、サービスの設定単位での対応となるため対策の数・粒度は異なる。 1. Identity and Access Management(IAM) 2. Logging / Monitoring 3. Networking 4. VM / Storage / Database / Serverless ※ 5. Security / Compliance ※Kubernetes関連(AWS EKS/Google GKE/Oracle OKEなど)は別のベンチマークとして分離

◼ 主要なパブリッククラウドの CIS Benchmarks の項目数は以下。 ⚫ AWS は Monitoring(ログメトリック、アラーム)の設定項目が多い。 ⚫ Azure は Security(Azure AD、Microsoft Defender)関連の設定項目が多い。 ⚫ Google Cloud は Database(Cloud SQL、PostgreSQL、MySQL) の設定項目が多い。 ⚫ OCI はデフォルト有効化済みや設定機能がない(暗号化解除できないなど)ため設定項目が少ない。 CIS Benchmarks の推奨事項あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 AWS Azure Google Cloud OCI Version 1.4.0 1.3.1 1.2.0 1.1.0 最終更新 2021/5/28 2021/7/21 2021/5/1 2020/11/9 IAM 21 23 15 12 Networking 4 6 10 5 Logging / Monitoring 11+15 15 12 17 VM - 7 11 - Storage 7 11 2 2 Database - 18 30 - Serverless - 11 3 - Security / Compliance - 15+5 - 2 合計 58 111 83 38

パブリッククラウドサービスの三大構成要素あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼パブリッククラウドのサービス群を大別すると、以下３つの構成要素に分類できる。 ① コンピューティング：仮想サーバ、ストレージ、ネットワーク等、システム構築に利用する機能 ② 運用／監視：１．が正常に稼働するためシステムの運用状態を監視する機能 ③ 認証／認可：サービス提供されるクラウドの機能に対し、適切なユーザに適切な権限を与える機能コンピューティング認証／認可運用／監視 Subnet C 10.0.30.0/24 Subnet D 10.0.30.0/24 ORACLE CLOUD INFRASTRUCTURE (REGION) Availability Domain 1 Availability Domain 2 AD3 Subnet A 10.0.30.0/24 Bastian Server Primary Database Loaded Balanced Web Servers Standby Database Database System Object Storage Identity & Access Management VPN Bare Metal Compute Database System Dynamic Routing Gateway VCN Load Balancer Virtual Machine Virtual Machine Cloud Guard Notifications Alarming Monitoring Healthcheck Compartments Tagging Auditing Logging Secu rity Lists Policies Groups Subnet B 10.0.30.0/24

◼CIS OCI Foundations Benchmark が定める５対策領域の適用範囲は以下。 1. IAM 2. ロギング／モニタリング 3. ネットワーキング 4. ストレージ ※ 5. 資源管理 ※VM、データベース暗号化はデフォルト実施のため項目なし CIS OCI Foundations Benchmark の適用範囲あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 4. ストレージ 3. ネットワーキング 5. 資源管理 1. IAM 2. ロギング／モニタリング Subnet C 10.0.30.0/24 Subnet D 10.0.30.0/24 Subnet B 10.0.30.0/24 ORACLE CLOUD INFRASTRUCTURE (REGION) Availability Domain 1 Availability Domain 2 AD3 Subnet A 10.0.30.0/24 Bastian Server Primary Database Loaded Balanced Web Servers Standby Database Database System Object Storage Identity & Access Management VPN Bare Metal Compute Database System Dynamic Routing Gateway VCN Load Balancer Virtual Machine Virtual Machine Cloud Guard Notifications Alarming Monitoring Healthcheck Compartments Tagging Auditing Logging Secu rity Lists Policies Groups

CIS OCI Foundations Benchmark‐Identity and Access Management あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 1.1 特定サービスでリソース管理するためのサービスレベル管理者を作成すること Manual Level 1 1.2 全てのリソースに対する権限がテナント管理者グループにのみ与えられていること Manual Level 1 1.3 IAM管理者がテナント管理者グループを更新できないこと Manual Level 1 1.4 IAMパスワード・ポリシーで14文字以上のパスワード長を必要とすること Manual Level 1 1.5 IAMパスワード・ポリシーでパスワードが365日以内に期限切れになること Manual Level 1 1.6 IAMパスワード・ポリシーでパスワードの再使用を防止すること(24世代) Manual Level 1 1.1 サービスレベル管理者を作成する ⚫ サービスへのアクセスを厳密に制御し、最小権限の原則を実現する 1.2-1.3 テナント管理者グループに権限を設定し、変更できないこと ⚫ グループで管理者権限を制御 1.4-1.6 パスワードポリシーを適切に ⚫ パスワード長(12→14文字)、期限切れ(120日→365日)、再使用防止(5世代→24世代)に変更

CIS OCI Foundations Benchmark‐Identity and Access Management あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 1.7 コンソール・パスワードを持つすべてのユーザーに対してMFAが有効になっていること Automated Level 1 1.8 ユーザーのAPIキーが90日以内にローテーションされること Automated Level 1 1.9 ユーザーの顧客秘密鍵が90日以内にローテーションされること Automated Level 1 1.10 ユーザー認証トークンが90日以内にローテーションされること Automated Level 1 1.11 テナント管理者ユーザ用にAPIキーが作成されていないこと Automated Level 1 1.12 すべてのOCI IAMユーザーアカウントに有効かつ最新の電子メールアドレスがあること Manual Level 1 1.7 MFAは必須 1.8-1.10 クレデンシャルのローテーションを行う ⚫ 90日以内にローテーションし、関連付けられたユーザーと同じレベルのアクセスを行う(異動などを考慮) 1.11 管理者権限でAPIキーを実行しない 1.12 メールアドレスは組織管理されたものを使い、個人のものを使わないこと ⚫ 異動・組織改正や退職時に問題になることが多い。

CIS OCI Foundations Benchmark‐Networking あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 2.1-2.4 SSH(22)とRDP(3389)のインターネットに対する全開放を、セキュリティリストとNSGで防止 ⚫ セキュリティリスト：セグメント単位で設定(ネットワークチーム) ⚫ ネットワークセキュリティグループ(NSG)：VNIC単位で設定(サーバチーム) ⚫ 公式はNSG推奨だが、CISは併用運用を想定。 ※ホワイトリスト形式であり、どちらかが許可すると有効化 ⚫ SSHとRDPを使いたい場合は、デフォルトポートから変更する 2.5 デフォルトセキュリティリストではICMPのみ許可 ⚫ デフォルトでポート22が全開放されているので削除 2.1 0.0.0.0/0からポート22への入力を許可するセキュリティリストがないこと Automated Level 1 2.2 0.0.0.0/0からポート3389への入力を許可するセキュリティリストがないこと Automated Level 1 2.3 0.0.0.0/0からポート22への入力を許可するネットワークセキュリティグループがないこと Manual Level 1 2.4 0.0.0.0/0からポート3389への入力を許可するネットワークセキュリティグループがないこと Manual Level 1 2.5 すべてのVCNのデフォルトセキュリティリストがICMPを除くすべてのトラフィックを制限すること Automated Level 1

CIS OCI Foundations Benchmark‐Logging and Monitoring あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 3.1 Auditログの保存期間が365日に設定されていること Automated Level 1 3.2 リソースでデフォルトタグが使用されていること Manual Level 1 3.1 Auditログの保存期間を90日→365日に変更する ⚫ ログ・リテンションは、アクティビティ・ログをどのくらいの期間保持するかを制御。 ⚫ 調査によると、サイバー侵害を検知するまでの平均時間(MTTD)は、一部の分野では30日、その他の分野では206日。最低でも365日以上のログを保持することで、インシデントへの対応が可能に。 ⚫ 365日は最大値。それ以上のログ保存をする場合は、エクスポートしての保存を検討する。 3.2 デフォルトタグを使用し、タグをサポートするすべてのリソースが作成時にタグ付けさせる ⚫ タグは Compartment に適用され、子 Compartment にも継承される。 ⚫ "CreatedBy "のようなデフォルトタグを Root Compartment レベルで作成することを推奨。 ⚫ 監査ログを検索しなくても、誰がリソースを作成したかという情報を得ることができる。 ⚫ タグのNamespaceが IAM ポリシーによって保護されていること(ユーザーによるタグ変更の防止)。

CIS OCI Foundations Benchmark‐Logging and Monitoring あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 3.3 監視アラートを受信するための通知トピックとサブスクリプションを少なくとも1つ作成 Manual Level 1 3.4 アイデンティティ・プロバイダの変更の通知が構成されていること Manual Level 1 3.5 IdPグループ・マッピング〃 Manual Level 1 3.6 IAMグループ〃 Manual Level 1 3.7 IAMポリシー〃 Manual Level 1 3.8 ユーザー〃 Manual Level 1 3.9 VCN 〃 Manual Level 1 3.10 ルートテーブル〃 Manual Level 1 3.11 セキュリティ・リスト〃 Manual Level 1 3.12 ネットワークセキュリティグループ〃 Manual Level 1 3.13 ネットワーク・ゲートウェイ〃 Manual Level 1 3.3 OCIの設定変更を管理者に通知するためのトピックを作成する ⚫ Notificationの通知方法としてEメール、HTTP、PagerDuty、Slack、OCI Functionを検討。 3.4 – 3.13 IAM/ネットワーク関連の設定変更を検知する ⚫ 意図しない変更が行われていないか、管理者が把握し、適切なアクションを行うこと。

CIS OCI Foundations Benchmark‐Logging and Monitoring あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 3.14 すべてのサブネットでVCNフローロギングが有効になっていること Manual Level 2 3.15 テナントのルートコンパートメントでCloud Guardが有効になっていること Manual Level 1 3.16 作成したカスタマーマネージドキー(CMK)が少なくとも年1回ローテーションされていること Manual Level 1 3.17 すべてのバケットで書き込みレベルのオブジェクトストレージのロギングが有効になっていること Manual Level 2 3.14 仮想ネットワーク内を流れるトラフィックを監視し、異常なトラフィックを検出 3.15 Cloud Guard はテナントの最上位で有効化し、テナント内の全てを監視する ⚫ 安全でない方法で設定されたリソースや、危険なネットワークアクティビティを自動的に監視する。 3.16 鍵をローテーションし、万が一、鍵が漏洩した場合のリスクを軽減する ⚫ 鍵を毎年ローテーションすることで、1つの鍵バージョンで暗号化されるデータが制限される。 3.17 Object Storage の書き込みログを有効化する ⚫ `requestAction` プロパティに `PUT`, `POST`, `DELETE` のいずれかの値が格納されるようになる。

4.1 Object Storageのバケットがパブリックに公開されないようにすること Manual Level 1 4.2 Object Storage BucketsがCustomer Managed Key (CMK)で暗号化されていること Manual Level 2 CIS OCI Foundations Benchmark‐Object Storage あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 4.1 必要がない場合、パブリック・バケットを作成しない ⚫ (想定外の公開による)企業のデータ損失のリスクを低減する。 ⚫ BUCKET_CREATE もしくは BUCKET_UPDATE 権限を不特定多数に与えないこと。 ⚫ バケットをパブリックにできないセキュリティ・ゾーン利用も検討する。 4.2 利用者自身で管理する暗号化キーを利用する ⚫ デフォルトの Oracle Managed Key ではなく、ユーザーが管理するCMKを使う。 ⚫ バケットの暗号化キーのライフサイクル管理を独自に行うことができ、データのセキュリティレベルを向上させる。出典：https://docs.oracle.com/ja-jp/iaas/Content/Object/Tasks/managingbuckets.htm

5.1 テナント内にクラウドリソースを保存するためのコンパートメントを少なくとも1つ作成すること Manual Level 1 5.2 ルートコンパートメントにリソースが作成されていないこと Manual Level 1 CIS OCI Foundations Benchmark‐Asset Management あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 5.1 コンパートメントを作成する ⚫ クラウドリソースを経営資源(アセット)ととらえ、組織的に管理する。 ⚫ コンパートメントは論理的なグループで、隔離、組織化、権限付与のレイヤーを追加する。 ⚫ 権限のないユーザーがOCIリソースにアクセスすることを困難にし、統制レベルを上げる。 5.2 リソースは個別のコンパートメントに分けて作成する ⚫ ルート直下に作らず、個別コンパートメントにレベル分けしてリソース配置する。 ⚫ リソースを整理し、より詳細なアクセスコントロールを行う。出典：https://docs.oracle.com/ja-jp/iaas/Content/Identity/Tasks/managingcompartments.htm

(参考)CIS OCI Foundations Benchmark を満たすランディングゾーンあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策出典：Oracle | Deploy a secure landing zone that meets the CIS Foundations Benchmark for Oracle Cloud ◼CISベンチマークのセキュリティガイダンスを満たす構成 ⚫ Terraform ベースのテンプレートが公開 ⚫ ネットワーク、セキュリティ、アプリ開発等の管理者が各々アクセスできる対象をコンパートメントで規定 ⚫ 推奨構成 • 重複しないCIDRでネットワークを構成 • Cloud Guard によるセキュリティの監視 • セキュリティで保護されたプロビジョニング ⚫ 考慮事項 • コンパートメントによるアクセス許可 • ネットワーク構成(スタンドアロン / ハブ&スポーク) • コード再利用とテンプレートのカスタマイズ

◼セキュリティ対策の可視化と自動化サービス ⚫ Cloud Guard • OCIのセキュリティに関する設定状況を可視化、アクティビティの監視、是正 ⚫ Data Safe • データベースセキュリティ対策の可視化と自動化 ◼セキュリティポリシーの適用サービス ⚫ コンパートメント • 利用リソースを論理的にグルーピングする機能、ポリシーの適用をリソース範囲を指定して柔軟に設定できる ⚫ デフォルト暗号化 • 暗号化しない、という選択肢がそもそもない ➢デフォルトや標準機能として対策がなされている項目が多く、利用者が設定する項目が少ないセキュリティ観点からみたOCIの特長あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策

まとめあなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策 ◼ 提供者と利用者の責任範囲を把握し、外部リソースを活用する。 ⚫ 提供者の「クラウドのセキュリティ」は、第三者認証の取得状況、ホワイトペーパーを確認 ⚫ 利用者の「クラウドにおけるセキュリティ」は、公開ナレッジ、ベンチマーク、ベストプラクティスを活用 ◼ 「クラウドにおけるセキュリティ」は共通する考え方で対処できることが多い。 ⚫ IAM・認証認可、ネットワーク保護、ロギング・モニタリングの３つが基本 ⚫ 暗号化、多重化・冗長化、バックアップ、分析・レポーティングでより強固にする ⚫ 統制レベルによるアカウント分割、予算設定なども保護対策として必要 ⚫ 固有サービスごとの保護設定＋セキュリティツール・サービスの利用 ◼ 初期設計・設定に加え、継続監視・改善を行うことが重要。 ⚫ 初期段階からセキュリティを取り込む（シフトレフト：早い段階から相談を） ⚫ ツール・サービス活用により継続監視・改善を省力化・自動化

SECURITY PART OF OUR DNA Security is not Optional, it
is FOUNDATION. • 1977 年からビジネス・スタート。最初の顧客は CIA • 米国政府の要求に応えるセキュリティ技術を提供 • セキュリティは追加できると考えず、組み込むべきもの • オラクルの製品とクラウド・サービスでは、セキュリティは最初から組み込まれ、常にオン。 57 Copyright © 2021, Oracle and/or its affiliates

オラクルが実現する堅牢なセキュリティデータ中心のセキュリティ自動化されたセキュリティ管理セキュリティ・バイ・デザイン SECURITY ON
THE CLOUD SECURITY OF THE CLOUD ＋強力、完全なテナント分離強制的な暗号化 (DB/Storage/Network) 階層型権限管理セキュリティポリシーの自動有効リスクのある設定を自動検知 Copyright © 2021, Oracle and/or its affiliates 58 * WAF: Web Application Firewall 脆弱性スキャン自動化されたログ分析脆弱性自動修復ボット対策とWAF(*) 多要素認証とリスクベース認証特権ユーザーのアクセス制御重要情報の隠蔽セキュリティ構成機密データ発見アクティビティ監査 DBセキュリティ対策の自動化

クラウドプラットフォームレベルでの環境隔離と暗号化階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセスが可能、部署を跨いだシステム構築も容易 ✓ コンパートメント毎のクオータ設定に
より使い過ぎを抑止強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより情報漏洩のリスクを最小化 AD2 リージョン1 AD2 リージョン2 すべてのデータを暗号化 MACSec 高速・スケーラブルな Layer2 暗号化部署ごとにCompartment（サブアカウント）を作成「コンパートメント」モデルテナントコンパートメント A コンパートメントB ユーザーグループポリシーポリシーポリシー部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネルネットワーク仮想化物理サーバー Copyright © 2021, Oracle and/or its affiliates 59 組み込んだセキュリティ

推奨セキュリティ機能は基本的に全て有効化した状態で提供外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS
内部からの攻撃 » バックドア » 内部不正 » 不正アクセス特権ユーザー管理ネットワーク IDアクセス管理インフラストラクチャデータベース Web Application Firewall Identity Cloud Service Data Safe 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Copyright © 2021, Oracle and/or its affiliates 60 データ Observability and Management / Management Cloud 強制的な暗号化 Autonomous Linux Autonomous Database Vulnerability Scanning Cloud Guard/ Security Zones 監査証跡行・列レベルのアクセス制御常時オン設定ミスの検知・是正多要素認証

リスクのある設定を自動検知 • 構成とアクティビティを監視 • 問題の特定、脅威を検出 • 問題の是正、顧客通知セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用
• 初期段階からリソースのセキュリティを確保脆弱性自動修復 • Oracle Autonomous Databaseにおける脆弱性自動修復 • Oracle Data Safeによるセキュリティ・リスク軽減自動化されたEnd-to-Endのセキュリティで人的ミスを排除パブリックアクセス不可自動パッチ適用アップグレード Oracle Cloud Guard Oracle Security Zones Oracle Autonomous Database Oracle Data Safe Copyright © 2021, Oracle and/or its affiliates 61 •セキュリティ構成評価 •ユーザーのリスク評価 •アクティビティの監査 •機密データの発見 •データ・マスキング自動化されたセキュリティ管理

Oracle Cloud Guard Copyright © 2021, Oracle and/or its affiliates
62 Oracle Cloud Infrastructureの様々なサービス設定やアクティビティを監視し、通知・是正することで安全なクラウドの利用をサポート • OCIの様々なサービスの設定やアクティビティを監視し、通知・アクションを実行することで安全にクラウドを運用 • 脆弱な設定やリスクの高いユーザー操作を検出ルールに基づいて常時監視 • 検出ルールはオラクル管理で自動化され、ユーザーによるメンテナンスの必要はなし • 検出された問題はリスクレベルで評価し、テナント全体の健全性をスコアリング • 検出されたリスクは、メール等で通知が可能 • 無償で提供自動化されたセキュリティ管理 Cloud Guard Vault Scanning VCN, Load Balancer Compute, Storages Databases IAM 問題の検知アクション実行リスク評価

「お客様からの評価から見る」Cloud Guardの強み 63 Copyright © 2021, Oracle and/or its affiliates
標準機能で提供セキュリティサービスとして標準で提供されている事が評価できる他社では複数サービスが必要で、開発工数とサブスクリプション価格で高コストになる優れた使い勝手ユーザーインターフェースや設定の考え方などが分かりやすい監視項目が広く、監視項目も詳細まで確認でき有効性が高い。他社サービスは大雑把なサマリー情報の把握にとどまる異常を発見後のアクションが設定できる「レスポンダー」機能は良く、拡張性もある容易な導入導入作業が楽、セットアップがすぐ終わる。他社サービスでは設定チェックの仕組みを手組で開発していた事前に検出ルール(レシピ)が設定してあり手間がかからない導入直後に実際に危険な設定を見つけてくれた (ネットワーク通信が無制限だったのを発見) リスクの高いObject Storage設定の発見&自動対処をすぐ実装できた自動化されたセキュリティ管理

Oracle Maximum Security Zones Copyright © 2021, Oracle and/or its
affiliates 64 • 強固なセキュリティ・ポリシーを適用 • パブリックからのアクセスに関する制限、暗号化、リソースの移動制限など40を超えるポリシーをオラクルで管理・提供 • ポリシーに違反する操作は、定義されてセキュリティゾーン内では実行することはできない • より高いセキュリティレベルで保護する必要があるリソースに対して、強制的にポリシーを適用し、セキュアなクラウド運用を実現事前定義のルールパブリックアクセス不可、安全でないストレージなし Oracle Cloud Infrastructureが業界初で提供した機能自動化されたセキュリティ管理 VM Database Security Zones 管理者

ハイブリットクラウドで利用するデータベースをよりセキュアに ✓ 統合されたデータベースセキュリティ管理サービス 1. 機密データの発見（Sensitive Data Discovery ） 2.
データ・マスキング（Data Masking） 3. アクティビティの監査（Activity Auditing） 4. セキュリティ構成の評価（Security Assessment） 5. ユーザーのリスク評価（User Assessment） ✓ 特別なセキュリティの専門知識 ✓ 多層防御における重要なデータ・セキュリティ対策 ✓ 短時間でセキュリティ・リスクを軽減 ✓ Oracle Cloud Databaseの利用でサービスを無償提供 ※1 ✓ オンプレミス、他社クラウド上のオラクルDBへも対応 - 24,000円 /ターゲット/月 Oracle Data Safe Copyright © 2021, Oracle and/or its affiliates 65 ※ 監査機能は100万レコード/月まで無償、その他の機能は無償 Oracle Cloud上のデータベース監査ユーザー発見アセスマスクオンプレミスのデータベース Data Safe AWS, Azure上のオラクルデータベース自動化されたセキュリティ管理

Web Application Firewall OCI Certificates OCI Bastion 最新のセキュリティ・イノベーションボット対策とWAF Webアプリケーションへの様々な攻
撃を防御し、OWASPトップ10対応など簡単な設定で手軽に利用可能 Flexible Load Balancers 対応し、価格を無償から利用可能に(*) ホストの脆弱性診断クラウドホストを評価、監視することで、パッチが適用されていない脆弱性と開放されたポートによるリスクをお客様が特定し、それに対処証明書サービス CAや証明書の作成やライフサイクル管理を実現するマネージド・サービス踏み台サーバーパブリック・エンドポイントを持たないリソースへのセキュアな限定アクセス Oracle Cloud Infrastructure Copyright © 2021, Oracle and/or its affiliates 66 Vulnerability Scanning * 1インスタンス、1000万インカミングリクエスト/月まで無償 New New New Update 詳細な情報 ⇒ https://blogs.oracle.com/sec/post/newest-security-innovations-from-oci-jp

Oracle Cloud Infrastructure セキュリティ関連の価格概要 67 Copyright © 2021, Oracle and/or
its affiliates カテゴリ機能機能名単価セキュリティ・バイ・デザイン強力、完全なテナント分離 Isolated Network Virtualization / Bare Meta 標準機能強制的な暗号化 Encryption by Default 標準機能階層型権限管理 Compartment 標準機能自動化されたセキュリティ管理リスクのある設定を自動検知 Cloud Guard 無償ポリシーの自動適用 Security Zones 無償脆弱性スキャン Vulnerability Scanning 無償オンラインでのパッチ適用 Autonomous Database 無償 (*1) 証明書サービス Certificates 無償データ中心の多層防御 DBセキュリティ対策の自動化 Data Safe 無償～ (*2) 特権ユーザー管理 Database Vault DBCS HP～ (*3) 踏み台サーバー Bastion 無償多要素認証、リスクベース認証 IAM 無償～ボット対策とWAF Web Application Firewall 無償～ (*4) *1 Autonomous Database 利用時に無償で利用可能 *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償 *3 DBCS High Performance以上で利用可能 *4 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥72 [1,000,000インカミングリクエスト/月]、¥600[インスタンス/月]

あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策(Oracle Cloudウェビナーシリーズ: 2021年11月24日)/20211124-OCW-CloudSecurity

あなたのクラウドは大丈夫？NRI実務者が教えるセキュリティの傾向と対策(Oracle Cloudウェビナーシリーズ: 2021年11月24日)/20211124-OCW-CloudSecurity

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript