クラウドセキュリティで Oracle が大切にしていること

Transcript

1. クラウドセキュリティでOracleが大切にしていること 2022年7月19日 日本オラクル株式会社 事業戦略統括 事業開発本部 大澤 清吾, CISSP OCIjp #32

2. 境界突破、内部不正を想定した対策が必要です 従来の単層式境界防御 ネットワーク中心型セキュリティモデル リソース防護重点型ゼロトラスト防御 データ中心型セキュリティモデル 守るべき経営資源（リソース）に焦点をあてセキュリティ対策を実施することが肝要です Copyright © 2022, Oracle

   and/or its affiliates 2 セキュリティ ポリシー ID管理 Detection & Response データ アプリ N/W 分析・可視化 自動化 Security Enforcement Endpoint(端末) データ アプリケーション ユーザ ネットワーク

3. Oracle Corporationの生い立ち SECURITY PART OF OUR DNA Security is not

   Optional, it is FOUNDATION. 設立前 AMPEX社に勤務していたLarry Ellisonが、CIAのプロ ジェクトOracleに参画 1977年 Software Development Labs設立 1978年 CIA が世界初の顧客となる。 採用されたデータベースは商用化前のもの。 1979年 世界で初めてリレーショナル・データベースを 商用化(Oracle Version 2) Wright-Patterson空軍基地が採用 1982年 企業名を “Oracle Corporation” に改名。 1994年 データベースベンダーとして初めて、ITSECとTCSECの 検証完了 1998年 データベースベンダーとして初めて、 Common Criteria EAL4 を取得 Copyright © 2022, Oracle and/or its affiliates 3

4. オラクルのセキュリティへの取り組み ～ Corporate Security Practices Copyright © 2022, Oracle and/or

   its affiliates 4 人的資源の セキュリティ ソフトウェア セキュリティ 運用管理 物理 セキュリティ インシデント レスポンス アクセス 制御 顧客情報 保護 Oracle 組織の セキュリティ 「組織・人」としてセキュリティ CTOを含めたオラクル全体のセキュリティ・プログラムの実施・推進 1700人以上のエンジニアがセキュリティ実装の責任を持つ クラウドもふくむ製品開発ライフサイクルでのセキュリティの担保 ・製品の設計、構築、テスト、保守にセキュリティを組み込み ・顧客のセキュリティ要件を満たし、最もコスト効率の高い製品・サービスを提供 ソフトウェアとクラウドのセキュリティ担保 オラクルのソースコードやその他の機密データの盗難や悪意のある 改ざんからの保護 顧客データの機密性、完全性、可用性を保護

5. セキュリティ統制を実現 オラクル クラウドの共同セキュリティ・モデル Copyright © 2022, Oracle and/or its affiliates

   5

6. セキュリティ統制を実現 オラクル クラウドの共同セキュリティ・モデル Copyright © 2022, Oracle and/or its affiliates

   6 お客様側でツールの活用や セキュリティ構成の管理を実施 SECURITY OF THE CLOUD Oracle が力を入れて 取り組んでいるところ SECURITY ON THE CLOUD オラクルはセキュアなクラウド・インフラ とサービスを提供

7. オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY ON

   THE CLOUD SECURITY OF THE CLOUD ＋ 強力、完全なテナント分離 強制的な暗号化 (Database/Storage/Network) 階層型権限管理 リスクのある設定・行動を自動検知 Copyright © 2022, Oracle and/or its affiliates 7 * WAF: Web Application Firewall 脆弱性スキャン 脅威インテリジェンス情報の集約 セキュリティポリシーの自動有効 特権ユーザーのアクセス制御 ボット対策とWAF /次世代ファイアウォール 多要素認証とリスクベース認証 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化 脆弱性自動修復 自動化されたログ分析

8. クラウドプラットフォームレベルでの環境隔離と暗号化 階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセ スが可能、部署を跨いだシステム 構築も容易 ✓ コンパートメント毎のクオータ設定に

   より 使い過ぎを抑止 強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化 強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより 情報漏洩のリスクを最小化 AD2 リージョン1 AD2 リージョン2 すべてのデータ を暗号化 MACSec 高速・スケーラブルな Layer2 暗号化 部署ごとにCompartment（サブアカウント）を作成 「コンパートメント」モデル テナント コンパートメント A コンパートメントB ユーザー グループ ポリシー ポリシー ポリシー 部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネル ネットワーク仮想化 物理サーバー Copyright © 2022, Oracle and/or its affiliates 8 セキュリティ ・バイ・デザイン

9. リスクのある設定を自動検知 • 構成とアクティビティを監視 • 問題の特定、脅威を検出 • 問題の是正、顧客通知 セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用

   • 初期段階からリソースの セキュリティを確保 脆弱性自動修復 • Oracle Autonomous Databaseに おける脆弱性自動修復 • Oracle Data Safeによる セキュリティ・リスク軽減 自動化されたEnd-to-Endのセキュリティで人的ミスを排除 パブリックアクセス不可 自動パッチ適用 アップグレード Oracle Cloud Guard Oracle Security Zones Oracle Autonomous Database Oracle Data Safe Copyright © 2022, Oracle and/or its affiliates 9 •セキュリティ構成評価 •ユーザーのリスク評価 •アクティビティの監査 •機密データの発見 •データ・マスキング 自動化された セキュリティ 管理

10. セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用 • ユーザーが適用ポリシーを定義できるCustom Security Zonesを新たに提供 • 既存のリソースに適用するゾーンポリシーの適用 •

    Cloud Guardと組みあわせでリスクを未然に防止 リスクにつながる振る舞いを検出 • 機械学習、データサイエンス、脅威インテリジェンスを用 いて行動を自動的にトリアージ、アラートノイズを排除 • MITRE ATT&CK® 準拠のユーザーの振る舞い分析 • 最新の脅威に対する可視性が向上 自動化されたEnd-to-Endのセキュリティで人的ミスを排除 Oracle Security Zones Oracle Cloud Guard Threat Detector Copyright © 2022, Oracle and/or its affiliates 10 自動化された セキュリティ 管理 NEW UPDATE 5/25に実施したプレスリリースで発表したサービス (一部)

11. 多層防御によるデータ中心のセキュリティ 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS

    内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース Copyright © 2022, Oracle and/or its affiliates 11 データ 強制的な 暗号化 監査証跡 行列レベルの アクセス制御 データ中心の セキュリティ 設定ミスの 検知・是正 多要素認証 Web Application Firewall IAM Identity Domains/ Identity Cloud Service Data Safe 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Observability and Management Autonomous Linux Autonomous Database Cloud Guard/ Security Zones Vulnerability Scanning データ中心の セキュリティ OCI Network Firewall

12. セキュリティ価格概要 ～ クラウド編 カテゴリ 機能 機能名 単価 セキュリティ・ バイ・デザイン 強力、完全なテナント分離

    Isolated Network Virtualization / Bare Meta 標準機能 強制的な暗号化 Encryption by Default 標準機能 階層型権限管理 Compartment 標準機能 自動化された セキュリティ管理 リスクのある設定を自動検知 Cloud Guard 無償 ユーザーの振る舞い検知 Oracle Cloud Guard Threat Detector 無償 SaaSユーザーの利用状況の監視 Oracle Cloud Guard Fusion Applications Detector 無償 脅威インテリジェンスの集約・管理 Oracle Threat Intelligence Service 無償 ポリシーの自動適用 Security Zones 無償 脆弱性スキャン Vulnerability Scanning 無償 オンラインでのパッチ適用 Autonomous Database 無償 (*1) 自動化されたログ分析 Logging Analytics 10GBまで無償 データ中心の 多層防御 DBセキュリティ対策の自動化 Data Safe 無償～ (*2) 特権ユーザー管理 Database Vault DBCS HP ～ (*3) 多要素認証、リスクベース認証 IAM Identity Domains 無償～ (*4) ボット対策とWAF Web Application Firewall 無償～ (*5) 次世代ファイアウォール (NGFW) OCI Network Firewall 有償 *1 Autonomous Database 利用時に無償で利用可能 *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償 *3 DBCS High Performance以上で利用可能 *4 無償で利用できるユーザー数や機能に制限あり *5 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥72 [1,000,000インカミングリクエスト/月]、¥600[インスタンス/月] 12 Copyright © 2022, Oracle and/or its affiliates 太字: 5/25に発表したサービス
13. None