Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【Oracle Cloud ウェビナー】サイバーセキュリティの2023年の予測~クラウド・セキ...

【Oracle Cloud ウェビナー】サイバーセキュリティの2023年の予測~クラウド・セキュリティのトレンドのトップ5~ (2023年1月26日)

2022年におきたランサムウェア、内部不正、不正アクセスなどのセキュリティ事件を振り返りながら、2023年のサイバーセキュリティの傾向予想と共に、DX成功の鍵となるデータを企業がどのように保護すべきかを解説します。
また、クラウドセキュリティで必要となる対策を振り返ったうえで、クラウドならではのセキュリティ対策を進めるための最適なアプローチを紹介します。

Oracle Cloud ウェビナーシリーズ情報: https://oracle.com/goto/ocws-jp
セッション動画: https://go.oracle.com/ocws-jp-ondemand

oracle4engineer

January 26, 2023
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. グローバルでの直近のコンプライアス動向 Copyright © 2023, Oracle and/or its affiliates 4 日本

    個人情報保護法改正 中国 Personal Information Protection Law カナダ Consumer Privacy Protection Act EU Network and Information Security Directive (NIS2) インド Digital Personal Data Protection Act 草稿 (4回目) 米国 • Executive Order 14028 • Telecommunication Security Act (TSA) • GLBA / FTC Safeguards ブラジル • Constitution Amendment 115/2022
  2. 不安定な地政学が2022年のサイバーセキュリティ脅威状況の傾向を揺るがす 地政学がサイバーセキュリティの脅威の状況に与える影響 • ロシアとウクライナの紛争は、報告期間中に脅威の状 況を一変させた。興味深い変化としては、ハクティビス トの活動が著しく増加したこと、サイバーアクターが運 動的軍事行動と協調して作戦を実施したこと 脅威のトップ8 1. ランサムウェア

    2. マルウェア 3. ソーシャルエンジニアリングの脅威 4. データに対する脅威 5. 可用性に対する脅威サービス妨害 (DOS) 6. 可用性を脅かす脅威インターネット上の脅威 7. 偽情報 - 誤情報 8. サプライチェーンへの攻撃 2022年の傾向 • サプライチェーンの侵害に重点を置き、0 Day 攻撃の多用が 見られるようになった。 • ウクライナ紛争後は、可用性に対する攻撃とランサムウェアが 増加した 脅威カテゴリー毎の攻撃者の動機 欧州連合サイバーセキュリティ機関(ENISA) 脅威状況 2022 データ DoS マルウエア 偽情報 - 誤情報 ランサムウェア ソーシャルエンジニアリング ソフトウェアサプライチェーン ウェブ ゼロデイ マネタイズ 不明 イデオロギー 地政学/ スパイ活動 地政学/ 破壊活動 Copyright © 2023, Oracle and/or its affiliates 5 出典: ENISA Threat Landscape 2022
  3. 脅威のトップ8の詳細 欧州連合サイバーセキュリティ機関(ENISA) 脅威状況 2022 毎月10テラバイト以上のデータが盗まれる 被害組織の60%以上が身代金要求額を支払った可能性あり ランサムウェア ソーシャルエンジニアリング、特にフィッシングは、ロシアのウクライナ侵攻を契機として、 攻撃者が悪意のある活動を行うための最も一般的な方法になっている ソーシャルエンジニアリングの脅威

    ロシアによるウクライナ侵攻の影響により頻度が上昇し、2022年7月はヨーロッパで 過去最大の攻撃が開始され、ピークとなった 可用性に対する脅威サービス妨害 (DOS) 選挙、グリーン・トランジション、Covid-19、ロシアのウクライナ侵攻などをターゲット に、AIを活用した偽情報、ディープフェイク、誤情報・アズ・ア・サービスがエスカレー トしている。 偽情報 - 誤情報 クリプトジャッキングやIoTマルウェアにより、マルウェア感染が増加している。 2021年、ゼロデイ脆弱性の公開を66件観測 脆弱性の悪用の被害は、2020年と比較して33%増加 マルウェア 情報漏えいのほか、データを操作しシステム動作の妨害を目的とした脅威が発生 データ量の増加により被害は年々増加 (2021年は2020年の2.5倍以上に) サプライチェーン攻撃の約58%は、個人情報や知的財産を狙った攻撃 データに対する脅威 インターネットインフラの破壊、停電、インターネットトラフィックの迂回が、インターネッ トの利用や情報の自由な流れに影響を与えている。 可用性を脅かす脅威インターネット上の脅威 サイバー犯罪者は、サプライチェーン攻撃に対する能力と関心の高まりを示す。 第三者によるインシデントは、2020年の1%未満に対し、2021年には17%に達 した サプライチェーンへの攻撃 Copyright © 2023, Oracle and/or its affiliates 6 出典: ENISA Threat Landscape 2022
  4. 米国におけるサイバーセキュリティモデルは急速に変化・発展しています Copyright © 2023, Oracle and/or its affiliates 1990 2000

    2010 2020 データ量 境界防御 (Perimeter Defense) 縦深防御 (Defense in Depth) サイバーレジリエンス (Cyber Resilience ) ゼロトラスト+データ中心型防御 Zero Trust + Data-Centric Defense Build Security Into Your Network’s DNA: The Zero Trust Network Architecture Forrester 2010 Policy Decision Point(PDP) Policy Enforcement Point(PEP) X.500 電子ディレクトリ・サービス 情報機関改革 及びテロ予防法(2004) Federal Identity, Credentialing and Access Management (FICAM) De-Perimeterization (非境界化) Jericho Forum 2007 NIST SP 800-207 Zero Trust Architecture, 2020 NCSC Zero trust principles – Beta Release, 2020 DoD Zero Trust Reference Architecture, 2021 Executive Order on Improving the Nation’s Cybersecurity, 2021 Cybersecurity Performance Goals for Critical Infrastructure, 2022 DoDブラックコア The Road to Zero Trust(Security): DIB Zero Trust White Paper, Defense Innovation Board, 2019 エドワード・スノーデン (2013) アメリカ同時多発テロ事件 (2001) 重要インフラへの攻撃(2021) セキュリティモデルは数年毎に大波を迎え、過去の思想を塗り替えながら(過去のモデルの全否定ではなく)発展しています。 その要因としてサイバー攻撃の高度化、組織化が挙げられます。 7
  5. リアルタイムでデータ保護に集中するために、「ゼロトラストアーキテクチャ」の導入指示 Sec.3. Modernizing Federal Government Cybersecurity. 60日以内に、各政府機関の長はゼロトラストアーキテク チャを実装するための計画を策定し、報告書を提出する 180日以内に、政府機関システムは多要素認証を採用 し、保存中および転送中のデータに対しても暗号化を

    適用する 60日以内に、国家安全保証システムは大統領令の セキュリティ要件と同等またはそれ以上の要件を適用する ゼロトラストアーキテクチャ 不正アクセスの拡大(ラテラル・ムーブメント)を制限し、 異常又は不正な活動を探知し、「脅威が変化を続ける 状況の中で、リアルタイムでデータ保護に集中するため に、インフラのすべての側面を通して、包括的なセキュリ ティ監視、きめ細かなリスクベースのアクセス制御、そして、 システムセキュリティの自動化を組み合わせて導入する」 ものです。 大統領令を発令、国家機関にサイバーセキュリティを向上する措置を指示 Copyright © 2023, Oracle and/or its affiliates 8 データセントリックなセキュリティ・モデルの実装が必要とされています。 出典:Executive Order on Improving the Nation’s Cybersecurity MAY 12, 2021 PRESIDENTIAL ACTIONS
  6. 米国商工会議所 ランサムウェアに対するガイドライン Copyright © 2023, Oracle and/or its affiliates 9

    出典:(U.S. Chamber of Commerce) Ransomware: 10 Important Questions for Businesses Answered 1 2 3 4 5 組織内のネットワーク全体で多要素認証を有効にする。強力なパスワードは依然として必要ですが、 多要素認証はパスワードだけではネットワークへのアクセスを許可しないことを意味します。 電子メールやテキストメッセージのリンクをクリックすることについて、従業員と話し合う。従業員は、 不審な行動に注意する方法を一般的に知っておく必要があります。 データを暗号化し、プライマリ・システムに結びつかないオフラインのバックアップを作成する必要があります。 また、従業員名簿を整備し、元従業員が会社のシステムにアクセスできないようにする必要があります。 企業は、法執行機関、国土安全保障省、その他の連邦政府機関と関係を築く必要があります。 米国商工会議所は、関係を円滑にするための適切な情報で企業を支援することができます。 自社のシステムやネットワークを「ゼロ・トラスト・アーキテクチャー」に移行させる方法を考える必要があります。 ネットワークへのアクセスをセッション毎に許可し、ユーザーの立場と必要性に応じてアクセス権を付与することです。
  7. 重要インフラ企業が、サイバー脅威から守るために取るべき最優先の基本対策 • 経緯 • 2021年7月28日、バイデン大統領は、重要インフラ制 御システムのサイバーセキュリティの改善に関する国家安 全保障覚書5(NSM-5)を発行 • 2022年10月25日、米国CISAは、同覚書を受け、重 要インフラ事業者向けとして、分野横断サイバーセキュリ

    ティパフォーマンス目標(CPG)を公表 • 今後、CPGを踏まえて、分野ごとの目標が策定予定。 • 概要 • あらゆる規模の企業や重要インフラの所有者が、サイ バー脅威から身を守るために取るべき最優先の基本対 策の概要を示す自主的な取り組み • 既存のサイバーセキュリティのフレームワークとガイダンス、 およびCISAとその政府・産業界のパートナーが観察した 現実の脅威と敵の戦術、技術、手順(TTPs)から情 報を得て作成 • 8つの柱 1. アカウントセキュリティ 2. 機器のセキュリティ 3. データセキュリティ 4. ガバナンスとトレーニング 5. 脆弱性管理 6. サプライチェーン/サードパーティー 7. 事案対応と回復 8. その他 米国CISA: サイバーセキュリティパフォーマンス目標(CPG) 出典: https://www.dhs.gov/news/2022/10/27/dhs-announces-new-cybersecurity-performance-goals-critical-infrastructure Copyright © 2023, Oracle and/or its affiliates 10
  8. 10万件以上の情報漏洩、若しくは報道で大きく取り上げられたものを抜粋 近年、日本国内において多くの情報漏洩事件が発生しています(2020-2022年) Copyright © 2023, Oracle and/or its affiliates 11

    内部不正、外部からのサイバー攻撃による事件が増加しています。境界防御だけでは防ぎきれない状況が伺えます。 年 日付 法人・団体名 件数・人数 原因 境界 防御 漏洩内容 2022 10/31 大阪急性期・総合 医療センター - (システム障害) ランサムウェア × 電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止した。 9/20 ニトリホールディングス 約13万2,000 パスワードリスト型 × スマートフォンアプリ「ニトリアプリ」の認証プログラムに対する不正アクセス 6/24 尼崎市 (46万517人) 内部不正 × 再委託先の従業員が、データ移管作業のためにUSBメモリーを不正に持ち出しと消去をせず、一時紛失 3/22 森永製菓 164万8,922名 不正アクセス × ネットワーク機器に内在していた脆弱性を突いて複数のサーバーへ攻撃 2/28 メタップスペイメント 最大46万395件 不正アクセス × アプリケーションの脆弱性を使って侵入し、バックドアを設置されカード情報が流出 1/29 日能研 最大28万106件 不正アクセス SQLインジェクションを使った外部からの不正アクセス 1/12 北海道ガス 3万1,463件 内部不正 × HDD1台が所在不明となり、内部に記録されていた個人情報関連データが流出した可能性 2021 11/4 ライトオン 24万7600件 不正アクセス 通販サイトへのサイバー攻撃により、同サイトと店舗会員24万7,600人分の個人情報が流出 8/6 警視庁 26万件 内部不正 × 特権IDで捜査情報や人事情報に不正アクセス。上司のPCから26万件の運転免許データを削除 8/5 村田製作所 72,460件 内部不正 × 会計システムの更新プロジェクトに携わっていた中国の再委託先社員が、取引先情報などを不正取得 3/31 神奈川県警 詳細調査中 内部不正 × 捜査で知り得た情報を漏らす見返りに、現金を受け取っていた可能性あり 3/29 松井証券 210名 内部不正 × システム開発担当企業のSEが、 顧客のID、パスワード、暗証番号を不正入手 2/12 マイナビ 21万2,816名 不正アクセス 不正ログインが発生し、サービス利用者21万2,816名分の履歴書情報が流出 1/15 ソフトバンク 170の機密ファイル 内部不正 × ライバル企業に転職した元社員の社外秘情報持ち出し 2020 11/20 三菱電機 8,635件 不正アクセス クラウドサービスへの攻撃により、取引先企業や個人事業主の金融口座情報について、情報が流出 11/17 peatix lnc. 677万件 不正アクセス イベント管理サービスの677万件の氏名,メースアドレス,パスワード等の利用者情報が流出した可能性 11/16 カプコン 合計約35万件 不正アクセス サイバー攻撃により、保有する顧客・従業員等の情報合計約35万件に流出の可能性があると発表 9/8 NTTドコモ 120件 不正利用 ドコモ口座を悪用し、七十七銀行、東邦銀行、中国銀行など複数の銀行口座で不正出金が発生 7/22 みずほ総合研究所 約250万件 媒体の誤廃棄 × 顧客情報約66万9千件、顧客のサービス利用実績を記録した外部記憶媒体を誤って紛失(廃棄) 4/24 任天堂 約16万件 パスワードリスト型 × 「ニンテンドーネットワークID」約16万件及び、一部の「ニンテンドーID」に対し外部からの不正ログイン 4/19 リジョブ 最大20万6991件 不正アクセス テストサーバーのデータベースに2015/12/5以前に登録していた最大20万6991件の流出の可能性 4/13 Classi 最大122万件 不正アクセス 教育機関向けSaaS「Classi」の最大122万件の利用ID・暗号化されたパスワードが流出の可能性 * 内部不正:企業の内部の者によって機密情報などが不正に扱われることで、故意によるものだけでなく、誤操作などのミスも含まれる
  9. 10万件以上の情報漏洩、若しくは報道で大きく取り上げられたものを抜粋 近年、日本国内において多くの情報漏洩事件が発生しています(2022年) Copyright © 2023, Oracle and/or its affiliates 12

    年 日付 法人・団体名 件数・人数 原因 境界防御 で防げたか 漏洩内容 2022 11/21 ワコム 14万7,545名 不正アクセス × 「ワコムストア」に不正アクセスが発生、最大14万7,545名の個人情報が流出した可能性 10/31 大阪急性期・ 総合医療センター - (システム障害) NWの脆弱性 × 電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止 10/25 JTB 最大11,483件 内部不正 x クラウドサービスにおけるアクセス権限の設定ミスにより個人情報漏洩が発生 10/4 しゅくみねっと 11万807件 アプリ不具合 × 管理者向けの検索システムの不具合で、組織外を含む全会員の情報を閲覧できる状態 9/20 ニトリホールディングス 約13万2,000 パスワードリスト型 × スマートフォンアプリ「ニトリアプリ」の認証プログラムに対する不正アクセス 8/1 ディスコ 最大29万8826件 不正アクセス Webアプリケーションの脆弱性を突いたSQLインジェクションにより情報が流出した可能性 7/17 南房総市立小中学校 約2000人 ランサムウェア x 校務ネットワークがランサムウエアを使用したサイバー攻撃によりデータが使用不可 7/13 ハーモニック 150,236 不正アクセス x システムの脆弱性をついた不正アクセスにより、ペイメントアプリケーションの改ざんされ漏洩 6/29 ディスクユニオン 70万1000件 不正アクセス オンライン上のサーバーのセキュリティ上の脆弱性が生じており、悪意ある第三者が不正アクセス 6/24 尼崎市 (46万517人) 内部不正 × 再委託先の従業員がデータ移管作業のためにUSBメモリーを不正に持ち出し一時紛失 6/20 鳴門山上病院 - (システム障害) ランサムウェア × ランサムウェアにより電子カルテや病院内のLANが使用不可に。バックアップによって早期復旧 5/16 富士通クラウド テクノロジーズ - NWの脆弱性 x FJcloud-Vおよびニフクラの一部のロードバランサー機器の脆弱性を悪用した不正アクセスが発生 3/22 森永製菓 164万8,922名 不正アクセス × ネットワーク機器に内在していた脆弱性を突いて複数のサーバーへ攻撃 3/7 東映アニメーション - (システム障害) 不正アクセス × 外部からダウンロードしたソフトウエアに不正プログラムを混入され、そこを起点に不正アクセスが行わ れ、通常業務や作品制作の一部に遅れが発生 2/28 メタップスペイメント 最大46万395件 不正アクセス × アプリケーションの脆弱性を使って侵入し、バックドアを設置されカード情報が流出 2/28 小島プレス工業 - (システム障害) 不正アクセス × 社内サーバーの1つが停止する異常事象を検知しネットワークを遮断した影響で国内の全ライン停止 1/29 日能研 最大28万106件 不正アクセス SQLインジェクションを使った外部からの不正アクセス 1/14 ラック 最大1000件 内部不正 × 元社員がクラウドファイル共有を使って業務PCから自宅PCにデータ転送し、その後私物HDDを売却 1/12 北海道ガス 3万1,463件 内部不正 × HDD1台が所在不明となり、内部に記録されていた個人情報関連データが流出した可能性 内部不正、外部からのサイバー攻撃による事件が増加しています。境界防御だけでは防ぎきれない状況が伺えます。 * 内部不正:企業の内部の者によって機密情報などが不正に扱われることで、故意によるものだけでなく、誤操作などのミスも含まれる
  10. • RDSのDBスナップショットの設定ミス により数百のデータベースで 個人情報が漏洩 • 資格情報がダークウェブから入手 • 何度もログイン試行を行い、 多要素認証を突破 •

    自社はNW機器にパッチ適用済 • システム連携先がパッチ未適用 • そこから侵入しランサムウェア攻撃 • 禁じられていた再々委託社員が本 番DBへアクセスしUSBメモリに保存 • USBメモリを持出し一時紛失 • 「ニトリアプリ」の認証プログラムに 対して大量の不正アクセス 2022年に発生した情報漏洩事件 Copyright © 2023, Oracle and/or its affiliates 13 • DBが暗号化されていない • 暗号化されていないDBスナップ ショットがパブリックになっていた • 多要素認証を導入済だが 突破された • 自社は境界防御対策をしっか りしていたが、連携先のシステム が対策不十分で攻撃された • 管理体制がずさんだった • 定期的なログ監査の未実施 • データアクセス制御なし • バックアップの暗号化 • セキュリティ設定の検出・修正 • 誤設定ができない環境 • 多要素認証が未導入 • 多要素認証の導入 • 突破を想定した多層防御 の対策 • データ中心の多層防御 • パッチの自動適用化 • セキュアなバックアップ • セキュリティ管理・運用体制 • 不正な操作の検知 • 機密データのアクセス制御・保護 原因 どのような対策を必要か 事件の概要 E社 B社 C社 D社 A社
  11. 守るべき経営資源(リソース)に焦点をあてセキュリティ対策を実施することが寛容です ネットワーク中心型セキュリティモデル データ中心型セキュリティモデル ゼロトラスト時代のデータ中心のセキュリティ対策 Copyright © 2023, Oracle and/or its

    affiliates 14 • 境界を突破された攻撃に無防備 • 対応できる脅威が限定的 • 内部攻撃(標的型攻撃,内部不正)から守れない • 一元的なポリシーによるセキュリティ強化 • 新たな脅威に対しても効果的に保護 • 内部犯行、特権ID奪取にも対応 セキュリティ ポリシー ID管理 データ アプリ N/W 内部不正 パスワードリスト 型攻撃 管理者 なりすまし攻撃 アプリケーション への不正アクセス Security Enforcement ネットワーク機器 脆弱性への攻撃 Detection & Response Endpoint(端末) ユーザ ネットワーク 内部不正 データ 暗号化 特権ユーザー管理 アプリケーションへ の不正アクセス 管理者 なりすまし攻撃 パスワードリスト 型攻撃 ネットワーク機器 脆弱性への攻撃 監査証跡 行列アクセス制御 多要素認証 アプリ サイバーセキュリティ
  12. 2023年のクラウドセキュリティトピック・トップ5 Copyright © 2023, Oracle and/or its affiliates 16 2

    3 4 5 事業継続視点での完全性・可用性対策の強化 ゼロトラストセキュリティの実装 自動化を活用した人的ミスによるデータ損失リスクの軽減 クラウドサービスによる脅威検知 データ・セキュリティ対策とプライバシー保護 1
  13. 平均的なダウンタイム 修復に要した平均的な 累計コスト 身代金を支払って、すべて のデータを取り戻した割合 ① 事業継続視点での完全性・可用性対策の強化 Copyright © 2023,

    Oracle and/or its affiliates 17 19日間 1億1400万円 8% 出典:Coveware) Ransomware Demands continue to rise as Data Exfiltration becomes common, and Maze subdues 出典:Sophos) Ransomware Recovery Cost Reaches Nearly $2 Million, More Than Doubling in a Year, Sophos Survey Shows 出典:Sophos) Ransomware Recovery Cost Reaches Nearly $2 Million, More Than Doubling in a Year, Sophos Survey Shows
  14. 日本におけるランサムウエアの被害状況 ① 事業継続視点での完全性・可用性対策の強化 Copyright © 2023, Oracle and/or its affiliates

    18 データを復元できた割合 ウイルス対策ソフトで 検出できた割合 二重の脅迫の割合 ランサムウエアの被害件数 (対前年同期比) 242% 65% 20% 10% 出典:令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について
  15. セキュリティの考え方 ② 事業継続視点での完全性・可用性対策の強化 Copyright © 2023, Oracle and/or its affiliates

    19 Confidentiality (機密性) Integrity (完全性) Availability (可用性) 資産の正確さ及び完全さを保護する特性 データの改ざん・破壊、システム停止 警視庁、ニップン、半田病院、河村電器など 許可されていない個人、エンティティ又はプロセス に対して、情報を使用不可又は非公開にする特 性 情報漏えい、不正アクセス 松井証券、村田製作所、ソフトバンク、警視庁、 尼崎市、など多数 認可されたエンティティが要求したときに、 アクセス及び使用が可能である特性 システム停止、データ喪失 ニップン、半田病院など これまで機密性に注目が集まっていたが、企業のデータ活用・DXが進むほど事業継続観点での完全性・可用性も大切となる
  16. CERT NZで対応した事例に基づく、人間が操作するランサムウェアインシデントの一般的な攻撃経路 ランサムウェアのインシデント・ライフサイクル https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/ から翻訳 フィッシング パスワード 推測 有効な 認証情報

    脆弱性の 利用 メール 悪意のある 文章 マルウェア コマンドと 制御 インターネット 公開 サービス 横への 動き 特権への 昇格 データの 抽出 バックアップ 破壊 データの 暗号化 初期アクセス 攻撃者はネットワークへの侵入経路を探索 統合と準備 攻撃者はすべてのデバイスへの アクセスを試行 目標への影響 攻撃者はデータを盗み、 暗号化し、身代金を要求 20 Copyright © 2023, Oracle and/or its affiliates Availability (可用性) Integrity (完全性) Confidentiality (機密性)
  17. ゼロ・トラスト・フレームワーク の導入を検討 米国政府がゼロトラスト セキュリティの実装の期限 ゼロ・トラスト・フレームワーク の導入の理由 ② ゼロトラストセキュリティの実装 Copyright ©

    2023, Oracle and/or its affiliates 21 2024年 出典:Moving the U.S. Government Towards Zero Trust Cybersecurity Principles (Draft) 出典:Paloalto What's Next in Cyber 出典:Paloalto What's Next in Cyber 99% 52% 49% 47% 拡大するサプライチェーン ベンダーエコシステム 攻撃の高度化と頻度 ハイブリットワーク
  18. 米国政府機関は2024年末までにゼロトラストアーキテクチャの実装を完了 米国政府機関はゼロトラストセキュリティの具現化と適用計画を推進 Copyright © 2023, Oracle and/or its affiliates 22

    2022.2 2021.8 2021.6 2021.5 2021.2 2020.8 Executive Order on Improving the Nation’s Cybersecurity Cloud Security Technical Reference Architecture (Draft) DoD Zero Trust Reference Architecture (Draft) CISA Zero Trust Maturity Model (Draft) Moving the U.S. Government Towards Zero Trust Cybersecurity Principles NIST SP 800-207 Zero Trust Architecture
  19. セキュリティ侵害の85%は、 CVE公表後に発生 (防御可能だった) ③ 自動化を活用した人的ミスによるデータ損失リスクの軽減 Copyright © 2023, Oracle and/or

    its affiliates 23 85% 75% 組織が複雑すぎるためにサ イバーセキュリティ上の懸念 が発生 出典:CISA: Top 30 Targeted High Risk Vulnerabilities 出典: PwC: Is your organization too complex to secure? 67% クラウドプラットフォームの 設定ミス/誤った設定が、 最大のセキュリティ脅威 出典:ISC 2021 Cloud Security Report
  20. ④ クラウドサービスによる脅威検知 Copyright © 2023, Oracle and/or its affiliates 24

    クラウドの環境に機密情報 を保存 30% 60% 可視性の欠如がクラウドの 主要な脅威 導入検討中のセキュリティ 対策においてAI 採用は必 須 出典:Oracle and KPMG Threat Report 2020 出典:IDC Survey Report: State of Cloud Security 2021 出典:Oracle and KPMG Threat Report 2020 95%
  21. ⑤ データ・セキュリティ対策とプライバシー保護 Copyright © 2023, Oracle and/or its affiliates 25

    CMO、CDO、CPOが、 顧客からのフィードバックを モニタリング 地政学的リスクに対して、 CEOがサイバーセキュリティ やデータ プライバシー への投資 33% 48% サプライチェーン攻撃で、個 人情報や知的財産を狙っ た攻撃の割合 出典:PwC 2023 Global Digital Trust Insights 出典:PwC 26th Annual Global CEO Survey 58% * 売上高10億ドル以上 出典: PwC: Is your organization too complex to secure?
  22. 日本の官民の情報セキュリティに対する考え方は、2ステップ遅れているのが現状 ⑤ データ・セキュリティ対策とプライバシー保護 ステップ 1 専守防衛: 境界防御 ステップ 2 守りのDX:

    データ中心の縦深防御 ステップ 3 攻めのDX: 攻めの情報セキュリティ 主たる目的 主要施策(例) • ネットワーク層でのアクセス管理 • 物理的な入退館管理 • セキュリティ・バイ・デザイン • セキュリティ運用の自動化 • 管理者といえども、全データへのアク セスができないような仕組みの具備 • データを行・列単位でアクセス管理 • プライバシー保護を担保した上で の、情報連携・共有の推進 • データが複製・連携された際の、 セル単位でのアクセス管理 価値を生み出せる資産 となるデータを堅牢に守る データを守りつつ、部署・他社間で 情報連携し企業価値を向上する 不審者、攻撃者が自社内に 入り込まないよう、境界を防御 Copyright © 2023, Oracle and/or its affiliates 26 多くの日本企業が考える情報セキュリティ ▼ 欧米先進企業が考える情報セキュリティ ▼
  23. SECURITY PART OF OUR DNA Security is not Optional, it

    is FOUNDATION. • 1977 年からビジネス・スタート。最初の顧客は CIA • 米国政府の要求に応えるセキュリティ技術を提供 • セキュリティは追加できると考えず、組み込むべきもの • オラクルの製品とクラウド・サービスでは、セキュリティは 最初から組み込まれ、常にオン。 28 Copyright © 2023, Oracle and/or its affiliates
  24. オラクルのセキュリティへの取り組み ~ Corporate Security Practices Copyright © 2023, Oracle and/or

    its affiliates 29 人的資源の セキュリティ ソフトウェア セキュリティ 運用管理 物理 セキュリティ インシデント レスポンス アクセス 制御 顧客情報 保護 Oracle 組織の セキュリティ 「組織・人」としてセキュリティ CTOを含めたオラクル全体のセキュリティ・プログラムの実施・推進 1700人以上のエンジニアがセキュリティ実装の責任を持つ クラウドもふくむ製品開発ライフサイクルでのセキュリティの担保 ・製品の設計、構築、テスト、保守にセキュリティを組み込み ・顧客のセキュリティ要件を満たし、最もコスト効率の高い製品・サービスを提供 ソフトウェアとクラウドのセキュリティ担保 オラクルのソースコードやその他の機密データの盗難や悪意のある 改ざんからの保護 顧客データの機密性、完全性、可用性を保護
  25. セキュリティ統制を実現 オラクル クラウドの共同セキュリティ・モデル Copyright © 2023, Oracle and/or its affiliates

    31 お客様側でツールの活用や セキュリティ構成の管理を実施 SECURITY ON THE CLOUD Oracle が力を入れて 取り組んでいるところ SECURITY OF THE CLOUD オラクルはセキュアなクラウド・インフラ とサービスを提供
  26. オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY OF

    THE CLOUD SECURITY ON THE CLOUD + 強力、完全なテナント分離 強制的な暗号化 (Database/Storage/Network) 階層型権限管理 リスクのある設定・行動を自動検知 Copyright © 2023, Oracle and/or its affiliates 32 * WAF: Web Application Firewall 脆弱性スキャン セキュリティポリシーの自動有効 特権ユーザーのアクセス制御 ボット対策とWAF/ 次世代ファイアウォール 多要素認証とリスクベース認証 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化 脆弱性自動修復 緑字:他社にないもの 自動化されたバックアップとリカバリ
  27. “当社が重要なシステムに対し、Oracle Data Safeの採用を決めた理由は、データが我々にとって最も 重要な資産であると考えているからである。” Emil Podwysocki, Head of the Laboratory

    of Databases and Business Analytics Systems, National Information Processing Institute セキュリティリスクを自動的 に検知・修復します 設定ミス、ポリシー違反、疑 わしい挙動、他を持続的に 検査します セキュリティに関する問題を 自動的に修復、もしくはお客 様の確認後に修復します データベースとデータを自律的 に保護します 停止時間を要さず、自動的にセキュ リティパッチを適用します データベースの設定やデータ種別を 精査し、修正・改善を提案します ランサムウェアに対する 耐性を高めます ファイルを不可視化し、盗難 を防止します。 完全性が担保されたリアルタ イムバックアップにより、感染 直前までのリカバリーを可能 にします。 網羅的なセキュリティ機能を 基本機能として提供します セキュリティに関する初期設定が セットアップ時における人的ミスを 抑制します 全てのデータは保存時、転送時に おいて必ず暗号化されます OCIは強固にお客様データを保護し、事業継続リスクを最小化します 軍用レベルのセキュリティ技術が情報漏洩リスクを最小化します Copyright © 2023, Oracle and/or its affiliates 33
  28. 侵入を未然に防ぐ データの改ざん対策 ① 事業継続視点での完全性・可用性対策の強化 Copyright © 2023, Oracle and/or its

    affiliates 34 自動パッチ適用 Autonomous Database/Linux 多要素認証など厳格な認証: IAM identity domains 不正な振る舞いの検知: Cloud Guard Threat Detector セキュアな構成: Cloud Guard/Data Safe セキュアなバックアップ、 リカバリー対策 Zero Data Loss Recovery Appliance / Zero Data Loss Autonomous Recovery Service (*) 障害直前までデータ欠損なく復旧 Object Storageの保持ルール機能: 指定した期間の上書き・削除不可 Object Storageの保持ルール機能: 指定した期間の上書き・削除不可 Database Vault: データのアクセス制御 (改ざん・削除) Data Guard: データベース層での障害対策 Blockchain Table: データの改竄防止 * 今後提供予定
  29. 機密データの完全性・可用性対策の強化 データのアクセス制御と職務分掌 • データベースの特権ユーザやロールからのアクセスを強 制的に制御し、特権ユーザといえども自由なアクセス やコマンドの実行を制限 障害直前までデータ欠損なく復旧 • 機械学習、リアルタイムなトランザクションの保護を行 い、障害直前まで、任意のタイミングへ,

    データ欠損 のない高速なデータリストアを実現 • バックアップ側に入られても、厳格なアクセス制御で データを保護 ① 事業継続視点での完全性・可用性対策の強化 35 Zero Data Loss Recovery Appliance Zero Data Loss Autonomous Recovery Service (*) アプリケーション ユーザ用 ルール IP Address: 192.168.1.XX Time: 9:00 – 17:00 Role:「顧客」領域 参照権限 ユーザ 運用管理者 アクセス許可 管理者用 ルール IP Address: 192.168.1.201 DB User: ADMIN01 Role:DBA権限(特権) 「顧客」領域に対する 参照権限がない為 アクセス不可 DBサーバ 表 - Customer - Order 索引 プロシージャ 「顧客」領域 Oracle Database Vault P R Oracle Database 群 (*) 改竄・破壊防止 * 12c以降の、すべてのサポートされているプラットフォーム ** 今後提供予定 Copyright © 2023, Oracle and/or its affiliates
  30. 究極に耐性を高めることで、未然の防止と確実かつ完全なリストアをマネージドサービスで提供 一般的なバックアップ ① 事業継続視点での完全性・可用性対策の強化 Copyright © 2023, Oracle and/or its

    affiliates 36 • ファイルバックアップのためランサムウェア対応が不完全 • リストア作業も多大な工数が必要 • 機器の購入に加え運用費が発生 • バックアップデータをクラウド上で確実に防御 • 確実かつ完全なリストアを実現 • 柔軟なコスト耐性(低コストな課金と運用コスト不要) OS OS ①侵入 ③侵入 ⑤破壊 (暗号化) 本番環境 バックアップ環境 ④侵入 バックアップ ファイル OS 本番環境 バックアップ環境 本番へ 侵入 バックアップ へ侵入 リストア ①侵入 本番へ 侵入 リストア ⑥最後のバックアップタイミングまでの復旧 ⑦復旧への多大な工数 ⑥ 本番環境の破壊直前まで復旧が可能 ⑦ 完全性が担保されているため確実に復旧可能 ④多層防御に より侵入困難 ⑤厳格な アクセス制御 バックアップ へ侵入 今後提供予定 DBファイル ②破壊 (暗号化) DBファイル ②破壊 (暗号化) Zero Data Loss Autonomous Recovery Service ③専用区画の ため侵入困難
  31. 多層防御によるデータ中心のセキュリティ ② ゼロトラストセキュリティの実装 Copyright © 2023, Oracle and/or its affiliates

    37 データ中心の セキュリティ 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS 内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース データ 強制的な 暗号化 監査証跡 行列レベルの アクセス制御 設定ミスの 検知・是正 多要素認証 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Web Application Firewall IAM Identity Domains/ Identity Cloud Service Security Zones Data Safe Observability and Management Threat Intelligence Autonomous Database Vulnerability Scanning OCI Network Firewall Cloud Guard Cloud Guard Threat Detector Database Vault
  32. ③ 自動化を活用した人的ミスによるデータ損失リスクの軽減 Copyright © 2023, Oracle and/or its affiliates 38

    セキュリティ対策の自動化 セキュリティポリシーの自動有効 リスクのある設定を自動検知 強力、完全なテナント分離 IAM identity domains: 認証強化 Autonomous Database: 自動パッチ適用 格納時・転送時の 強制的な暗号化 Oracle Cloud Guard: クラウドセキュリティポスチャ管理 Oracle Data Safe: データベースのリスク評価 Oracle Security Zones: セキュリティポリシーの自動有効 VM Database Security Zones 管理者
  33. ④クラウドサービスによる脅威検知 Copyright © 2023, Oracle and/or its affiliates 39 Oracle

    Cloud Guard Threat Detector 機械学習を活用し リスクのある振る舞い を自動検知 Oracle Cloud Infrastructure Logging Analytics 機械学習を活用した 高度なログ分析・ サービス基盤
  34. オラクルは様々なデータ配置を提供 ~ クラウドインフラ基盤 ⑤ データ・セキュリティ対策とプライバシー保護 Copyright © 2023, Oracle and/or

    its affiliates 40 OCI Public Cloud • すべての OCI 機能 • オラクルがインフラを維持 • OCIネイティブのセキュリ ティ機能、さらにサード パーティのソリューションで データを保護 OCI Sovereign Cloud • すべての OCI 機能 • EU居住者および特定の EU法人に限定された操 作とサポート Dedicated Region • すべての OCI 機能 • お客様データセンター • データが存在する地域や 操作者に関する要件を 充足 Oracle Alloy • すべての OCI 機能 • 厳格な保証およびデータ 保持主体の要件を満た すよう設計 コントロール Coming Soon Coming Soon
  35. オラクルは様々なデータ配置を提供 ~ データベース ⑤ データ・セキュリティ対策とプライバシー保護 Copyright © 2023, Oracle and/or

    its affiliates 41 フル マネージド インフラはオラクル管理、データベースはお客さま管理 Automation Oracle Cloud Infrastructure Oracle Cloud Infrastructure お客さまの データセンター お客さまの データセンター Base Database Service Exadata Database Service Autonomous Database ExaDB on Dedicated Infrastructure ExaDB on Cloud@Customer Enterprise Database Service Standard Database Service ADB on Exadata Cloud@Customer ADB on Shared Exadata Infrastructure ADB on Dedicated Exadata Infrastructure 出典:Cloud Database Services for Every Workload から改修 https://blogs.oracle.com/database/post/cloud-database-services-for-every-workload お客さまの データセンター オンプレミス Oracle Database Oracle Exadata お客さま管理 同一のセキュリティ機能を提供
  36. Oracle Cloud のセキュリティの強み Copyright © 2023, Oracle and/or its affiliates

    42 設計から組み込まれ セキュリティ不備を最小化 標準機能で提供 データ中心のセキュリティ • 全リージョン、全インスタンスがセキュリ ティ・バイ・デザインされた環境 • デフォルトがセキュアな設定で安全側に 倒されている (Default Deny) • データの暗号化はデフォルトで実施、 ユーザーが解除できない • 自動化されたセキュリティ管理を標 準・無償で提供されている • 他社では複数サービスが必要で、開 発工数とサブスクリプション価格で高コ ストになる • データベースのセキュリティ対策まできちん と取り組んでいるのは、Oracleぐらい • 重要データの所在・リスク評価・監査する データ・セキュリティ監視を無償で利用できる • データを中心に多層で保護するための構築 済みセキュリティサービスを提供している お客様からの評価から “最新のセキュリティ機能を積極的に無償で機能追加しているOCIも高く評価しています。私たちは これら新機能をいち早く利用し、セキュリティ強化に役立てています。” 株式会社マイネット 技術統括部 セキュリティグループ長, 前田 高宏 氏
  37. これからの開発者に意識してほしい、マルチクラウドセキュリティの要点 (NRI 佐古様) NRIのクラウドセキュリティガイドラインについて 「基本ガイドライン」と「個別ガイドライン」の2種類で構成。 • 基本ガイドラインは考え方(7項目) • 個別ガイドラインはOCIやAWSなどの各クラウドにおけ る具体的な対策手順

    セキュリティ視点から見た OCIの特徴、優位点は? • データの暗号化をオプション扱いとせず必ず実施し、 ユーザーが解除できない点 • OCIは「デフォルトでセキュリティ対策がなされている ので、ユーザーにとってはシンプルで悩むポイントが少な いのでは」 • 「Oracle Cloud Guard」を、OCIユーザーに無償で 提供している点も優れていると評価。「開発環境など 小さな環境では、クラウド利用料がそれほどでもない のに、セキュリティにまでコストをかけるのは……とい う心理的障壁が生まれがちです。Oracle Cloud Guardのように無償ならば、そうした環境でも導入しや すいですし、可視化すればセキュリティ課題が見え、対 策をしなければならないという意識付けにつながるで しょう」 第三者の声 Copyright © 2023, Oracle and/or its affiliates 43 出典:https://ascii.jp/elem/000/004/054/4054310/
  38. • OCIへ移植したゲームタイトルに潜在する設定上の脆弱性を 検出し、セキュリティレベルの底上げとガバナンス強化を迅速 に実現 • 事業買収やゲームタイトル買収を通じて得た、様々なチーム メンバー・運用者が参画しているため、AIを用いてクラウド上 の行動を解析して、リスクにつながる振る舞いを検出し対策 を実施 •

    Oracle Cloud Infrastructureが、最新のセキュリティ機能を 積極的に無償で機能追加する姿勢を高く評価。新機能(*) をいち早く利用し、セキュリティの強化を推進 利用サービス • Oracle Cloud Guard • Oracle Cloud Guard Threat Detector マイネット 様 Copyright © 2023, Oracle and/or its affiliates 44 Oracle Cloud Infrastructure と Oracle Cloud Guard を活用し、オンラインゲーム運用におけるセキュリティと ガバナンスを強化 * Limited Availabilityを含む
  39. Oracle Cloud Infrastructure のコンプライアンス対応 代表的なもの 45 Copyright © 2023, Oracle

    and/or its affiliates 27001 : 27017 : 27018 Level 1 BSI C5 グローバル 日本 3省3ガイドライン (金融機関) (政府機関) (ヘルスケア) ISMAP (政府機関)
  40. Oracle Cloud Infrastructure セキュリティのプロもSaaS基盤としてOCIを選択 Copyright © 2023, Oracle and/or its

    affiliates 46 世界最大のコンピュータ ネットワーク機器ベンダー ハードウェアやソフトウェアセンサーから テレメトリー情報を収集し、データを高度な 機械学習技術によって分析するSaaS (Cisco Tetration) でOCIを採用 数千コア以上の大規模アプリケーションを 2ヶ月で稼働 インテリジェンス主導型の セキュリティ企業 なりすまし攻撃、フィッシング、スパムによる Eメール脅威の対策を提供するSaaSで OCIを採用 高度なリアルタイム分析をベアメタル・ インスタンスを活用することでクラウドで実現 業界をリードする サイバーセキュリティ企業 脅威の識別、調査、解決を行うクラウドベースの SIEMソリューション(McAfee ESM Cloud)で OCIを採用 他社クラウドに比べ1/4のコストで実現 60万データソースにおける1秒当たり 50万イベントをサポート
  41. まとめ 47 Copyright © 2023, Oracle and/or its affiliates 2

    3 4 5 事業継続視点での 完全性・可用性対策の強化 ゼロトラストセキュリティの 実装 人的ミスによる データ損失リスクの軽減 クラウドサービスによる 脅威検知 データ・セキュリティ対策と プライバシー保護 1 アカウント乗っ取り 多要素認証 (IAM Identity Domains/IDCS) 脆弱性を突いた攻撃 脆弱性スキャン・自動修復、WAF、次世代FW (Autonomous Database、Vulnerability Scanning/ Web Application Firewall / Network Firewall) 不正アクセスの早期発見、 操作内容が不明 不正な操作の早期検知 (Data Safe/AVDF/Logging Analytics) データプライバシー対応 要件に応じデータ配置の柔軟性 (Dedicated Region, Alloy, ExaDB on Cloud@Customer) 設定ミスを突いた攻撃 リスクのある設定・行動を自動検知 (Cloud Guard) 機密データの持出、破壊 保存データの不可視化、データ改ざん対策 (暗号化、Data Safe, Database Vault) データが復旧できない セキュアなバックアップ (ZDLAR/Data Guard/Object Storage) 対策 課題
  42. セキュリティ価格概要 ~ クラウド編 カテゴリ 機能 機能名 単価 セキュリティ・ バイ・デザイン 強力、完全なテナント分離

    Isolated Network Virtualization / Bare Meta 標準機能 強制的な暗号化 Encryption by Default 標準機能 階層型権限管理 Compartment 標準機能 自動化された セキュリティ管理 リスクのある設定・行動を自動検知 Cloud Guard 無償 ポリシーの自動適用 Security Zones 無償 脆弱性スキャン Vulnerability Scanning 無償 オンラインでのパッチ適用 Autonomous Database 無償 (*1) 自動化されたログ分析 Logging Analytics 10GBまで無償 データ中心の 多層防御 DBセキュリティ対策の自動化 Data Safe 無償~ (*2) 特権ユーザー管理 Database Vault DBCS HP ~ (*3) 多要素認証、リスクベース認証 IAM Identity Domains 無償~ (*4) ボット対策とWAF Web Application Firewall 無償~ (*5) 次世代ファイアウォール (NGFW) OCI Network Firewall 有償 *1 Autonomous Database 利用時に無償で利用可能 *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償 *3 DBCS High Performance以上で利用可能 *4 無償で利用できるユーザー数や機能に制限あり *5 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥84 [1,000,000インカミングリクエスト/月]、¥700[インスタンス/月] 48 Copyright © 2023, Oracle and/or its affiliates