Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【Oracle Cloud ウェビナー】サイバーセキュリティの2023年の予測~クラウド・セキュリティのトレンドのトップ5~ (2023年1月26日)

【Oracle Cloud ウェビナー】サイバーセキュリティの2023年の予測~クラウド・セキュリティのトレンドのトップ5~ (2023年1月26日)

2022年におきたランサムウェア、内部不正、不正アクセスなどのセキュリティ事件を振り返りながら、2023年のサイバーセキュリティの傾向予想と共に、DX成功の鍵となるデータを企業がどのように保護すべきかを解説します。
また、クラウドセキュリティで必要となる対策を振り返ったうえで、クラウドならではのセキュリティ対策を進めるための最適なアプローチを紹介します。

Oracle Cloud ウェビナーシリーズ情報: https://oracle.com/goto/ocws-jp
セッション動画: https://go.oracle.com/ocws-jp-ondemand

oracle4engineer
PRO

January 26, 2023
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. Oracle Cloud ウェビナー
    サイバーセキュリティの2023年の予測
    ~クラウド・セキュリティのトレンドのトップ5~
    日本オラクル株式会社
    事業戦略統括 事業開発本部
    大澤 清吾, CISSP
    2023年1月25日

    View Slide

  2. 1. サイバーセキュリティの2022年の振り返り
    2. 2023年のクラウドセキュリティトピック・トップ5
    3. オラクルのセキュリティへの取り組み
    4. まとめ
    本日お伝えする内容
    Copyright © 2023, Oracle and/or its affiliates
    2

    View Slide

  3. Copyright © 2023, Oracle and/or its affiliates
    3
    サイバーセキュリティの2022年の振り返り

    View Slide

  4. グローバルでの直近のコンプライアス動向
    Copyright © 2023, Oracle and/or its affiliates
    4
    日本
    個人情報保護法改正
    中国
    Personal Information
    Protection Law
    カナダ
    Consumer Privacy
    Protection Act
    EU
    Network and Information
    Security Directive (NIS2)
    インド
    Digital Personal
    Data Protection Act
    草稿 (4回目)
    米国
    • Executive Order 14028
    • Telecommunication
    Security Act (TSA)
    • GLBA / FTC Safeguards
    ブラジル
    • Constitution Amendment
    115/2022

    View Slide

  5. 不安定な地政学が2022年のサイバーセキュリティ脅威状況の傾向を揺るがす
    地政学がサイバーセキュリティの脅威の状況に与える影響
    • ロシアとウクライナの紛争は、報告期間中に脅威の状
    況を一変させた。興味深い変化としては、ハクティビス
    トの活動が著しく増加したこと、サイバーアクターが運
    動的軍事行動と協調して作戦を実施したこと
    脅威のトップ8
    1. ランサムウェア
    2. マルウェア
    3. ソーシャルエンジニアリングの脅威
    4. データに対する脅威
    5. 可用性に対する脅威サービス妨害 (DOS)
    6. 可用性を脅かす脅威インターネット上の脅威
    7. 偽情報 - 誤情報
    8. サプライチェーンへの攻撃
    2022年の傾向
    • サプライチェーンの侵害に重点を置き、0 Day 攻撃の多用が
    見られるようになった。
    • ウクライナ紛争後は、可用性に対する攻撃とランサムウェアが
    増加した
    脅威カテゴリー毎の攻撃者の動機
    欧州連合サイバーセキュリティ機関(ENISA) 脅威状況 2022
    データ
    DoS
    マルウエア
    偽情報 - 誤情報
    ランサムウェア
    ソーシャルエンジニアリング
    ソフトウェアサプライチェーン
    ウェブ
    ゼロデイ
    マネタイズ 不明
    イデオロギー
    地政学/
    スパイ活動
    地政学/
    破壊活動
    Copyright © 2023, Oracle and/or its affiliates
    5
    出典: ENISA Threat Landscape 2022

    View Slide

  6. 脅威のトップ8の詳細
    欧州連合サイバーセキュリティ機関(ENISA) 脅威状況 2022
    毎月10テラバイト以上のデータが盗まれる
    被害組織の60%以上が身代金要求額を支払った可能性あり
    ランサムウェア
    ソーシャルエンジニアリング、特にフィッシングは、ロシアのウクライナ侵攻を契機として、
    攻撃者が悪意のある活動を行うための最も一般的な方法になっている
    ソーシャルエンジニアリングの脅威
    ロシアによるウクライナ侵攻の影響により頻度が上昇し、2022年7月はヨーロッパで
    過去最大の攻撃が開始され、ピークとなった
    可用性に対する脅威サービス妨害 (DOS)
    選挙、グリーン・トランジション、Covid-19、ロシアのウクライナ侵攻などをターゲット
    に、AIを活用した偽情報、ディープフェイク、誤情報・アズ・ア・サービスがエスカレー
    トしている。
    偽情報 - 誤情報
    クリプトジャッキングやIoTマルウェアにより、マルウェア感染が増加している。
    2021年、ゼロデイ脆弱性の公開を66件観測
    脆弱性の悪用の被害は、2020年と比較して33%増加
    マルウェア
    情報漏えいのほか、データを操作しシステム動作の妨害を目的とした脅威が発生
    データ量の増加により被害は年々増加 (2021年は2020年の2.5倍以上に)
    サプライチェーン攻撃の約58%は、個人情報や知的財産を狙った攻撃
    データに対する脅威
    インターネットインフラの破壊、停電、インターネットトラフィックの迂回が、インターネッ
    トの利用や情報の自由な流れに影響を与えている。
    可用性を脅かす脅威インターネット上の脅威
    サイバー犯罪者は、サプライチェーン攻撃に対する能力と関心の高まりを示す。
    第三者によるインシデントは、2020年の1%未満に対し、2021年には17%に達
    した
    サプライチェーンへの攻撃
    Copyright © 2023, Oracle and/or its affiliates
    6
    出典: ENISA Threat Landscape 2022

    View Slide

  7. 米国におけるサイバーセキュリティモデルは急速に変化・発展しています
    Copyright © 2023, Oracle and/or its affiliates
    1990 2000 2010 2020
    データ量
    境界防御
    (Perimeter Defense)
    縦深防御
    (Defense in Depth)
    サイバーレジリエンス
    (Cyber Resilience )
    ゼロトラスト+データ中心型防御
    Zero Trust + Data-Centric Defense
    Build Security Into Your
    Network’s DNA: The Zero
    Trust Network Architecture
    Forrester 2010
    Policy Decision Point(PDP)
    Policy Enforcement Point(PEP)
    X.500
    電子ディレクトリ・サービス
    情報機関改革
    及びテロ予防法(2004)
    Federal Identity, Credentialing
    and Access Management (FICAM)
    De-Perimeterization (非境界化)
    Jericho Forum 2007
    NIST SP 800-207 Zero Trust Architecture, 2020
    NCSC Zero trust principles – Beta Release, 2020
    DoD Zero Trust Reference Architecture, 2021
    Executive Order on Improving
    the Nation’s Cybersecurity, 2021
    Cybersecurity Performance Goals for
    Critical Infrastructure, 2022
    DoDブラックコア
    The Road to Zero Trust(Security):
    DIB Zero Trust White Paper,
    Defense Innovation Board, 2019
    エドワード・スノーデン (2013)
    アメリカ同時多発テロ事件 (2001) 重要インフラへの攻撃(2021)
    セキュリティモデルは数年毎に大波を迎え、過去の思想を塗り替えながら(過去のモデルの全否定ではなく)発展しています。
    その要因としてサイバー攻撃の高度化、組織化が挙げられます。
    7

    View Slide

  8. リアルタイムでデータ保護に集中するために、「ゼロトラストアーキテクチャ」の導入指示
    Sec.3. Modernizing Federal Government Cybersecurity.
    60日以内に、各政府機関の長はゼロトラストアーキテク
    チャを実装するための計画を策定し、報告書を提出する
    180日以内に、政府機関システムは多要素認証を採用
    し、保存中および転送中のデータに対しても暗号化を
    適用する
    60日以内に、国家安全保証システムは大統領令の
    セキュリティ要件と同等またはそれ以上の要件を適用する
    ゼロトラストアーキテクチャ
    不正アクセスの拡大(ラテラル・ムーブメント)を制限し、
    異常又は不正な活動を探知し、「脅威が変化を続ける
    状況の中で、リアルタイムでデータ保護に集中するため
    に、インフラのすべての側面を通して、包括的なセキュリ
    ティ監視、きめ細かなリスクベースのアクセス制御、そして、
    システムセキュリティの自動化を組み合わせて導入する」
    ものです。
    大統領令を発令、国家機関にサイバーセキュリティを向上する措置を指示
    Copyright © 2023, Oracle and/or its affiliates
    8
    データセントリックなセキュリティ・モデルの実装が必要とされています。
    出典:Executive Order on Improving the Nation’s Cybersecurity MAY 12, 2021 PRESIDENTIAL ACTIONS

    View Slide

  9. 米国商工会議所
    ランサムウェアに対するガイドライン
    Copyright © 2023, Oracle and/or its affiliates
    9
    出典:(U.S. Chamber of Commerce) Ransomware: 10 Important Questions for Businesses Answered
    1
    2
    3
    4
    5
    組織内のネットワーク全体で多要素認証を有効にする。強力なパスワードは依然として必要ですが、
    多要素認証はパスワードだけではネットワークへのアクセスを許可しないことを意味します。
    電子メールやテキストメッセージのリンクをクリックすることについて、従業員と話し合う。従業員は、
    不審な行動に注意する方法を一般的に知っておく必要があります。
    データを暗号化し、プライマリ・システムに結びつかないオフラインのバックアップを作成する必要があります。
    また、従業員名簿を整備し、元従業員が会社のシステムにアクセスできないようにする必要があります。
    企業は、法執行機関、国土安全保障省、その他の連邦政府機関と関係を築く必要があります。
    米国商工会議所は、関係を円滑にするための適切な情報で企業を支援することができます。
    自社のシステムやネットワークを「ゼロ・トラスト・アーキテクチャー」に移行させる方法を考える必要があります。
    ネットワークへのアクセスをセッション毎に許可し、ユーザーの立場と必要性に応じてアクセス権を付与することです。

    View Slide

  10. 重要インフラ企業が、サイバー脅威から守るために取るべき最優先の基本対策
    • 経緯
    • 2021年7月28日、バイデン大統領は、重要インフラ制
    御システムのサイバーセキュリティの改善に関する国家安
    全保障覚書5(NSM-5)を発行
    • 2022年10月25日、米国CISAは、同覚書を受け、重
    要インフラ事業者向けとして、分野横断サイバーセキュリ
    ティパフォーマンス目標(CPG)を公表
    • 今後、CPGを踏まえて、分野ごとの目標が策定予定。
    • 概要
    • あらゆる規模の企業や重要インフラの所有者が、サイ
    バー脅威から身を守るために取るべき最優先の基本対
    策の概要を示す自主的な取り組み
    • 既存のサイバーセキュリティのフレームワークとガイダンス、
    およびCISAとその政府・産業界のパートナーが観察した
    現実の脅威と敵の戦術、技術、手順(TTPs)から情
    報を得て作成
    • 8つの柱
    1. アカウントセキュリティ
    2. 機器のセキュリティ
    3. データセキュリティ
    4. ガバナンスとトレーニング
    5. 脆弱性管理
    6. サプライチェーン/サードパーティー
    7. 事案対応と回復
    8. その他
    米国CISA: サイバーセキュリティパフォーマンス目標(CPG)
    出典: https://www.dhs.gov/news/2022/10/27/dhs-announces-new-cybersecurity-performance-goals-critical-infrastructure
    Copyright © 2023, Oracle and/or its affiliates
    10

    View Slide

  11. 10万件以上の情報漏洩、若しくは報道で大きく取り上げられたものを抜粋
    近年、日本国内において多くの情報漏洩事件が発生しています(2020-2022年)
    Copyright © 2023, Oracle and/or its affiliates
    11
    内部不正、外部からのサイバー攻撃による事件が増加しています。境界防御だけでは防ぎきれない状況が伺えます。
    年 日付 法人・団体名 件数・人数 原因
    境界
    防御
    漏洩内容
    2022
    10/31
    大阪急性期・総合
    医療センター - (システム障害) ランサムウェア × 電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止した。
    9/20 ニトリホールディングス 約13万2,000 パスワードリスト型 × スマートフォンアプリ「ニトリアプリ」の認証プログラムに対する不正アクセス
    6/24 尼崎市 (46万517人) 内部不正 × 再委託先の従業員が、データ移管作業のためにUSBメモリーを不正に持ち出しと消去をせず、一時紛失
    3/22 森永製菓 164万8,922名 不正アクセス × ネットワーク機器に内在していた脆弱性を突いて複数のサーバーへ攻撃
    2/28 メタップスペイメント 最大46万395件 不正アクセス × アプリケーションの脆弱性を使って侵入し、バックドアを設置されカード情報が流出
    1/29 日能研 最大28万106件 不正アクセス SQLインジェクションを使った外部からの不正アクセス
    1/12 北海道ガス 3万1,463件 内部不正 × HDD1台が所在不明となり、内部に記録されていた個人情報関連データが流出した可能性
    2021
    11/4 ライトオン 24万7600件 不正アクセス 通販サイトへのサイバー攻撃により、同サイトと店舗会員24万7,600人分の個人情報が流出
    8/6 警視庁 26万件 内部不正 × 特権IDで捜査情報や人事情報に不正アクセス。上司のPCから26万件の運転免許データを削除
    8/5 村田製作所 72,460件 内部不正 × 会計システムの更新プロジェクトに携わっていた中国の再委託先社員が、取引先情報などを不正取得
    3/31 神奈川県警 詳細調査中 内部不正 × 捜査で知り得た情報を漏らす見返りに、現金を受け取っていた可能性あり
    3/29 松井証券 210名 内部不正 × システム開発担当企業のSEが、 顧客のID、パスワード、暗証番号を不正入手
    2/12 マイナビ 21万2,816名 不正アクセス 不正ログインが発生し、サービス利用者21万2,816名分の履歴書情報が流出
    1/15 ソフトバンク 170の機密ファイル 内部不正 × ライバル企業に転職した元社員の社外秘情報持ち出し
    2020
    11/20 三菱電機 8,635件 不正アクセス クラウドサービスへの攻撃により、取引先企業や個人事業主の金融口座情報について、情報が流出
    11/17 peatix lnc. 677万件 不正アクセス イベント管理サービスの677万件の氏名,メースアドレス,パスワード等の利用者情報が流出した可能性
    11/16 カプコン 合計約35万件 不正アクセス サイバー攻撃により、保有する顧客・従業員等の情報合計約35万件に流出の可能性があると発表
    9/8 NTTドコモ 120件 不正利用 ドコモ口座を悪用し、七十七銀行、東邦銀行、中国銀行など複数の銀行口座で不正出金が発生
    7/22 みずほ総合研究所 約250万件 媒体の誤廃棄 × 顧客情報約66万9千件、顧客のサービス利用実績を記録した外部記憶媒体を誤って紛失(廃棄)
    4/24 任天堂 約16万件 パスワードリスト型 × 「ニンテンドーネットワークID」約16万件及び、一部の「ニンテンドーID」に対し外部からの不正ログイン
    4/19 リジョブ 最大20万6991件 不正アクセス テストサーバーのデータベースに2015/12/5以前に登録していた最大20万6991件の流出の可能性
    4/13 Classi 最大122万件 不正アクセス 教育機関向けSaaS「Classi」の最大122万件の利用ID・暗号化されたパスワードが流出の可能性
    * 内部不正:企業の内部の者によって機密情報などが不正に扱われることで、故意によるものだけでなく、誤操作などのミスも含まれる

    View Slide

  12. 10万件以上の情報漏洩、若しくは報道で大きく取り上げられたものを抜粋
    近年、日本国内において多くの情報漏洩事件が発生しています(2022年)
    Copyright © 2023, Oracle and/or its affiliates
    12
    年 日付 法人・団体名 件数・人数 原因
    境界防御
    で防げたか
    漏洩内容
    2022
    11/21 ワコム 14万7,545名 不正アクセス × 「ワコムストア」に不正アクセスが発生、最大14万7,545名の個人情報が流出した可能性
    10/31
    大阪急性期・
    総合医療センター - (システム障害) NWの脆弱性 × 電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止
    10/25 JTB 最大11,483件 内部不正 x クラウドサービスにおけるアクセス権限の設定ミスにより個人情報漏洩が発生
    10/4 しゅくみねっと 11万807件 アプリ不具合 × 管理者向けの検索システムの不具合で、組織外を含む全会員の情報を閲覧できる状態
    9/20 ニトリホールディングス 約13万2,000 パスワードリスト型 × スマートフォンアプリ「ニトリアプリ」の認証プログラムに対する不正アクセス
    8/1 ディスコ 最大29万8826件 不正アクセス Webアプリケーションの脆弱性を突いたSQLインジェクションにより情報が流出した可能性
    7/17 南房総市立小中学校 約2000人 ランサムウェア x 校務ネットワークがランサムウエアを使用したサイバー攻撃によりデータが使用不可
    7/13 ハーモニック 150,236 不正アクセス x システムの脆弱性をついた不正アクセスにより、ペイメントアプリケーションの改ざんされ漏洩
    6/29 ディスクユニオン 70万1000件 不正アクセス オンライン上のサーバーのセキュリティ上の脆弱性が生じており、悪意ある第三者が不正アクセス
    6/24 尼崎市 (46万517人) 内部不正 × 再委託先の従業員がデータ移管作業のためにUSBメモリーを不正に持ち出し一時紛失
    6/20 鳴門山上病院 - (システム障害) ランサムウェア × ランサムウェアにより電子カルテや病院内のLANが使用不可に。バックアップによって早期復旧
    5/16
    富士通クラウド
    テクノロジーズ - NWの脆弱性 x FJcloud-Vおよびニフクラの一部のロードバランサー機器の脆弱性を悪用した不正アクセスが発生
    3/22 森永製菓 164万8,922名 不正アクセス × ネットワーク機器に内在していた脆弱性を突いて複数のサーバーへ攻撃
    3/7 東映アニメーション - (システム障害) 不正アクセス ×
    外部からダウンロードしたソフトウエアに不正プログラムを混入され、そこを起点に不正アクセスが行わ
    れ、通常業務や作品制作の一部に遅れが発生
    2/28 メタップスペイメント 最大46万395件 不正アクセス × アプリケーションの脆弱性を使って侵入し、バックドアを設置されカード情報が流出
    2/28 小島プレス工業 - (システム障害) 不正アクセス × 社内サーバーの1つが停止する異常事象を検知しネットワークを遮断した影響で国内の全ライン停止
    1/29 日能研 最大28万106件 不正アクセス SQLインジェクションを使った外部からの不正アクセス
    1/14 ラック 最大1000件 内部不正 × 元社員がクラウドファイル共有を使って業務PCから自宅PCにデータ転送し、その後私物HDDを売却
    1/12 北海道ガス 3万1,463件 内部不正 × HDD1台が所在不明となり、内部に記録されていた個人情報関連データが流出した可能性
    内部不正、外部からのサイバー攻撃による事件が増加しています。境界防御だけでは防ぎきれない状況が伺えます。
    * 内部不正:企業の内部の者によって機密情報などが不正に扱われることで、故意によるものだけでなく、誤操作などのミスも含まれる

    View Slide

  13. • RDSのDBスナップショットの設定ミス
    により数百のデータベースで
    個人情報が漏洩

    資格情報がダークウェブから入手

    何度もログイン試行を行い、
    多要素認証を突破

    自社はNW機器にパッチ適用済

    システム連携先がパッチ未適用

    そこから侵入しランサムウェア攻撃

    禁じられていた再々委託社員が本
    番DBへアクセスしUSBメモリに保存
    • USBメモリを持出し一時紛失

    「ニトリアプリ」の認証プログラムに
    対して大量の不正アクセス
    2022年に発生した情報漏洩事件
    Copyright © 2023, Oracle and/or its affiliates
    13
    • DBが暗号化されていない

    暗号化されていないDBスナップ
    ショットがパブリックになっていた

    多要素認証を導入済だが
    突破された

    自社は境界防御対策をしっか
    りしていたが、連携先のシステム
    が対策不十分で攻撃された

    管理体制がずさんだった

    定期的なログ監査の未実施

    データアクセス制御なし

    バックアップの暗号化

    セキュリティ設定の検出・修正

    誤設定ができない環境

    多要素認証が未導入 •
    多要素認証の導入

    突破を想定した多層防御
    の対策

    データ中心の多層防御

    パッチの自動適用化

    セキュアなバックアップ

    セキュリティ管理・運用体制

    不正な操作の検知

    機密データのアクセス制御・保護
    原因 どのような対策を必要か
    事件の概要
    E社
    B社
    C社
    D社
    A社

    View Slide

  14. 守るべき経営資源(リソース)に焦点をあてセキュリティ対策を実施することが寛容です
    ネットワーク中心型セキュリティモデル データ中心型セキュリティモデル
    ゼロトラスト時代のデータ中心のセキュリティ対策
    Copyright © 2023, Oracle and/or its affiliates
    14
    • 境界を突破された攻撃に無防備
    • 対応できる脅威が限定的
    • 内部攻撃(標的型攻撃,内部不正)から守れない
    • 一元的なポリシーによるセキュリティ強化
    • 新たな脅威に対しても効果的に保護
    • 内部犯行、特権ID奪取にも対応
    セキュリティ
    ポリシー
    ID管理
    データ
    アプリ N/W
    内部不正
    パスワードリスト
    型攻撃
    管理者
    なりすまし攻撃
    アプリケーション
    への不正アクセス
    Security
    Enforcement
    ネットワーク機器
    脆弱性への攻撃
    Detection & Response
    Endpoint(端末)
    ユーザ
    ネットワーク
    内部不正
    データ
    暗号化
    特権ユーザー管理
    アプリケーションへ
    の不正アクセス
    管理者
    なりすまし攻撃
    パスワードリスト
    型攻撃
    ネットワーク機器
    脆弱性への攻撃
    監査証跡
    行列アクセス制御
    多要素認証
    アプリ
    サイバーセキュリティ

    View Slide

  15. Copyright © 2023, Oracle and/or its affiliates
    15
    2023年のクラウドセキュリティトピック・トップ5

    View Slide

  16. 2023年のクラウドセキュリティトピック・トップ5
    Copyright © 2023, Oracle and/or its affiliates
    16
    2
    3
    4
    5
    事業継続視点での完全性・可用性対策の強化
    ゼロトラストセキュリティの実装
    自動化を活用した人的ミスによるデータ損失リスクの軽減
    クラウドサービスによる脅威検知
    データ・セキュリティ対策とプライバシー保護
    1

    View Slide

  17. 平均的なダウンタイム 修復に要した平均的な
    累計コスト
    身代金を支払って、すべて
    のデータを取り戻した割合
    ① 事業継続視点での完全性・可用性対策の強化
    Copyright © 2023, Oracle and/or its affiliates
    17
    19日間 1億1400万円 8%
    出典:Coveware) Ransomware Demands continue to rise as
    Data Exfiltration becomes common, and Maze subdues
    出典:Sophos) Ransomware Recovery Cost Reaches
    Nearly $2 Million, More Than Doubling in a Year,
    Sophos Survey Shows
    出典:Sophos) Ransomware Recovery Cost Reaches
    Nearly $2 Million, More Than Doubling in a Year,
    Sophos Survey Shows

    View Slide

  18. 日本におけるランサムウエアの被害状況
    ① 事業継続視点での完全性・可用性対策の強化
    Copyright © 2023, Oracle and/or its affiliates
    18
    データを復元できた割合
    ウイルス対策ソフトで
    検出できた割合
    二重の脅迫の割合
    ランサムウエアの被害件数
    (対前年同期比)
    242%
    65% 20%
    10%
    出典:令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について

    View Slide

  19. セキュリティの考え方
    ② 事業継続視点での完全性・可用性対策の強化
    Copyright © 2023, Oracle and/or its affiliates
    19
    Confidentiality
    (機密性)
    Integrity
    (完全性)
    Availability
    (可用性)
    資産の正確さ及び完全さを保護する特性
    データの改ざん・破壊、システム停止
    警視庁、ニップン、半田病院、河村電器など
    許可されていない個人、エンティティ又はプロセス
    に対して、情報を使用不可又は非公開にする特

    情報漏えい、不正アクセス
    松井証券、村田製作所、ソフトバンク、警視庁、
    尼崎市、など多数
    認可されたエンティティが要求したときに、
    アクセス及び使用が可能である特性
    システム停止、データ喪失
    ニップン、半田病院など
    これまで機密性に注目が集まっていたが、企業のデータ活用・DXが進むほど事業継続観点での完全性・可用性も大切となる

    View Slide

  20. CERT NZで対応した事例に基づく、人間が操作するランサムウェアインシデントの一般的な攻撃経路
    ランサムウェアのインシデント・ライフサイクル
    https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/ から翻訳
    フィッシング
    パスワード
    推測
    有効な
    認証情報
    脆弱性の
    利用
    メール
    悪意のある
    文章
    マルウェア
    コマンドと
    制御
    インターネット
    公開
    サービス 横への
    動き
    特権への
    昇格
    データの
    抽出
    バックアップ
    破壊
    データの
    暗号化
    初期アクセス
    攻撃者はネットワークへの侵入経路を探索
    統合と準備
    攻撃者はすべてのデバイスへの
    アクセスを試行
    目標への影響
    攻撃者はデータを盗み、
    暗号化し、身代金を要求
    20 Copyright © 2023, Oracle and/or its affiliates
    Availability
    (可用性)
    Integrity
    (完全性)
    Confidentiality
    (機密性)

    View Slide

  21. ゼロ・トラスト・フレームワーク
    の導入を検討
    米国政府がゼロトラスト
    セキュリティの実装の期限
    ゼロ・トラスト・フレームワーク
    の導入の理由
    ② ゼロトラストセキュリティの実装
    Copyright © 2023, Oracle and/or its affiliates
    21
    2024年
    出典:Moving the U.S. Government Towards Zero Trust
    Cybersecurity Principles (Draft)
    出典:Paloalto What's Next in Cyber 出典:Paloalto What's Next in Cyber
    99%
    52%
    49%
    47%
    拡大するサプライチェーン
    ベンダーエコシステム
    攻撃の高度化と頻度
    ハイブリットワーク

    View Slide

  22. 米国政府機関は2024年末までにゼロトラストアーキテクチャの実装を完了
    米国政府機関はゼロトラストセキュリティの具現化と適用計画を推進
    Copyright © 2023, Oracle and/or its affiliates
    22
    2022.2
    2021.8
    2021.6
    2021.5
    2021.2
    2020.8
    Executive Order on Improving
    the Nation’s Cybersecurity
    Cloud Security Technical
    Reference Architecture (Draft)
    DoD Zero Trust
    Reference Architecture (Draft)
    CISA Zero Trust
    Maturity Model (Draft)
    Moving the U.S. Government
    Towards Zero Trust Cybersecurity
    Principles
    NIST SP 800-207
    Zero Trust Architecture

    View Slide

  23. セキュリティ侵害の85%は、
    CVE公表後に発生
    (防御可能だった)
    ③ 自動化を活用した人的ミスによるデータ損失リスクの軽減
    Copyright © 2023, Oracle and/or its affiliates
    23
    85%
    75%
    組織が複雑すぎるためにサ
    イバーセキュリティ上の懸念
    が発生
    出典:CISA: Top 30 Targeted High Risk Vulnerabilities
    出典: PwC: Is your organization too complex to secure?
    67%
    クラウドプラットフォームの
    設定ミス/誤った設定が、
    最大のセキュリティ脅威
    出典:ISC 2021 Cloud Security Report

    View Slide

  24. ④ クラウドサービスによる脅威検知
    Copyright © 2023, Oracle and/or its affiliates
    24
    クラウドの環境に機密情報
    を保存
    30% 60%
    可視性の欠如がクラウドの
    主要な脅威
    導入検討中のセキュリティ
    対策においてAI 採用は必

    出典:Oracle and KPMG Threat Report 2020 出典:IDC Survey Report: State of Cloud Security 2021 出典:Oracle and KPMG Threat Report 2020
    95%

    View Slide

  25. ⑤ データ・セキュリティ対策とプライバシー保護
    Copyright © 2023, Oracle and/or its affiliates
    25
    CMO、CDO、CPOが、
    顧客からのフィードバックを
    モニタリング
    地政学的リスクに対して、
    CEOがサイバーセキュリティ
    やデータ プライバシー
    への投資
    33% 48%
    サプライチェーン攻撃で、個
    人情報や知的財産を狙っ
    た攻撃の割合
    出典:PwC 2023 Global Digital Trust Insights 出典:PwC 26th Annual Global CEO Survey
    58%
    * 売上高10億ドル以上
    出典: PwC: Is your organization too complex to secure?

    View Slide

  26. 日本の官民の情報セキュリティに対する考え方は、2ステップ遅れているのが現状
    ⑤ データ・セキュリティ対策とプライバシー保護
    ステップ 1
    専守防衛: 境界防御
    ステップ 2
    守りのDX: データ中心の縦深防御
    ステップ 3
    攻めのDX: 攻めの情報セキュリティ
    主たる目的
    主要施策(例)
    • ネットワーク層でのアクセス管理
    • 物理的な入退館管理
    • セキュリティ・バイ・デザイン
    • セキュリティ運用の自動化
    • 管理者といえども、全データへのアク
    セスができないような仕組みの具備
    • データを行・列単位でアクセス管理
    • プライバシー保護を担保した上で
    の、情報連携・共有の推進
    • データが複製・連携された際の、
    セル単位でのアクセス管理
    価値を生み出せる資産
    となるデータを堅牢に守る
    データを守りつつ、部署・他社間で
    情報連携し企業価値を向上する
    不審者、攻撃者が自社内に
    入り込まないよう、境界を防御
    Copyright © 2023, Oracle and/or its affiliates
    26
    多くの日本企業が考える情報セキュリティ

    欧米先進企業が考える情報セキュリティ

    View Slide

  27. Copyright © 2023, Oracle and/or its affiliates
    27
    オラクルのセキュリティへの取り組み
    Oracle Cloud Infrastructure

    View Slide

  28. SECURITY
    PART OF OUR DNA
    Security is not Optional, it is FOUNDATION.
    • 1977 年からビジネス・スタート。最初の顧客は CIA
    • 米国政府の要求に応えるセキュリティ技術を提供
    • セキュリティは追加できると考えず、組み込むべきもの
    • オラクルの製品とクラウド・サービスでは、セキュリティは
    最初から組み込まれ、常にオン。
    28 Copyright © 2023, Oracle and/or its affiliates

    View Slide

  29. オラクルのセキュリティへの取り組み
    ~ Corporate Security Practices
    Copyright © 2023, Oracle and/or its affiliates
    29
    人的資源の
    セキュリティ
    ソフトウェア
    セキュリティ 運用管理
    物理
    セキュリティ
    インシデント
    レスポンス
    アクセス
    制御
    顧客情報
    保護
    Oracle
    組織の
    セキュリティ
    「組織・人」としてセキュリティ
    CTOを含めたオラクル全体のセキュリティ・プログラムの実施・推進
    1700人以上のエンジニアがセキュリティ実装の責任を持つ
    クラウドもふくむ製品開発ライフサイクルでのセキュリティの担保
    ・製品の設計、構築、テスト、保守にセキュリティを組み込み
    ・顧客のセキュリティ要件を満たし、最もコスト効率の高い製品・サービスを提供
    ソフトウェアとクラウドのセキュリティ担保
    オラクルのソースコードやその他の機密データの盗難や悪意のある
    改ざんからの保護
    顧客データの機密性、完全性、可用性を保護

    View Slide

  30. セキュリティ統制を実現
    オラクル クラウドの共同セキュリティ・モデル
    Copyright © 2023, Oracle and/or its affiliates
    30

    View Slide

  31. セキュリティ統制を実現
    オラクル クラウドの共同セキュリティ・モデル
    Copyright © 2023, Oracle and/or its affiliates
    31
    お客様側でツールの活用や
    セキュリティ構成の管理を実施
    SECURITY ON
    THE CLOUD
    Oracle が力を入れて
    取り組んでいるところ
    SECURITY OF
    THE CLOUD
    オラクルはセキュアなクラウド・インフラ
    とサービスを提供

    View Slide

  32. オラクルが実現する堅牢なセキュリティ
    データ中心の
    セキュリティ
    自動化された
    セキュリティ
    管理
    セキュリティ
    ・バイ・デザイン
    SECURITY OF THE CLOUD
    SECURITY ON THE CLOUD

    強力、完全なテナント分離
    強制的な暗号化
    (Database/Storage/Network)
    階層型権限管理
    リスクのある設定・行動を自動検知
    Copyright © 2023, Oracle and/or its affiliates
    32 * WAF: Web Application Firewall
    脆弱性スキャン
    セキュリティポリシーの自動有効
    特権ユーザーのアクセス制御
    ボット対策とWAF/
    次世代ファイアウォール
    多要素認証とリスクベース認証
    重要情報の隠蔽 セキュリティ構成
    機密データ発見 アクティビティ監査
    DBセキュリティ対策の自動化
    脆弱性自動修復
    緑字:他社にないもの
    自動化されたバックアップとリカバリ

    View Slide

  33. “当社が重要なシステムに対し、Oracle Data Safeの採用を決めた理由は、データが我々にとって最も
    重要な資産であると考えているからである。”
    Emil Podwysocki, Head of the Laboratory of Databases and Business Analytics Systems, National Information Processing Institute
    セキュリティリスクを自動的
    に検知・修復します
    設定ミス、ポリシー違反、疑
    わしい挙動、他を持続的に
    検査します
    セキュリティに関する問題を
    自動的に修復、もしくはお客
    様の確認後に修復します
    データベースとデータを自律的
    に保護します
    停止時間を要さず、自動的にセキュ
    リティパッチを適用します
    データベースの設定やデータ種別を
    精査し、修正・改善を提案します
    ランサムウェアに対する
    耐性を高めます
    ファイルを不可視化し、盗難
    を防止します。
    完全性が担保されたリアルタ
    イムバックアップにより、感染
    直前までのリカバリーを可能
    にします。
    網羅的なセキュリティ機能を
    基本機能として提供します
    セキュリティに関する初期設定が
    セットアップ時における人的ミスを
    抑制します
    全てのデータは保存時、転送時に
    おいて必ず暗号化されます
    OCIは強固にお客様データを保護し、事業継続リスクを最小化します
    軍用レベルのセキュリティ技術が情報漏洩リスクを最小化します
    Copyright © 2023, Oracle and/or its affiliates
    33

    View Slide

  34. 侵入を未然に防ぐ データの改ざん対策
    ① 事業継続視点での完全性・可用性対策の強化
    Copyright © 2023, Oracle and/or its affiliates
    34
    自動パッチ適用
    Autonomous Database/Linux
    多要素認証など厳格な認証:
    IAM identity domains
    不正な振る舞いの検知:
    Cloud Guard Threat Detector
    セキュアな構成:
    Cloud Guard/Data Safe
    セキュアなバックアップ、
    リカバリー対策
    Zero Data Loss Recovery Appliance
    / Zero Data Loss Autonomous
    Recovery Service (*)
    障害直前までデータ欠損なく復旧
    Object Storageの保持ルール機能:
    指定した期間の上書き・削除不可
    Object Storageの保持ルール機能:
    指定した期間の上書き・削除不可
    Database Vault:
    データのアクセス制御 (改ざん・削除)
    Data Guard:
    データベース層での障害対策
    Blockchain Table:
    データの改竄防止
    * 今後提供予定

    View Slide

  35. 機密データの完全性・可用性対策の強化
    データのアクセス制御と職務分掌
    • データベースの特権ユーザやロールからのアクセスを強
    制的に制御し、特権ユーザといえども自由なアクセス
    やコマンドの実行を制限
    障害直前までデータ欠損なく復旧
    • 機械学習、リアルタイムなトランザクションの保護を行
    い、障害直前まで、任意のタイミングへ, データ欠損
    のない高速なデータリストアを実現
    • バックアップ側に入られても、厳格なアクセス制御で
    データを保護
    ① 事業継続視点での完全性・可用性対策の強化
    35
    Zero Data Loss Recovery Appliance
    Zero Data Loss Autonomous Recovery Service (*)
    アプリケーション
    ユーザ用 ルール
    IP Address: 192.168.1.XX
    Time: 9:00 – 17:00
    Role:「顧客」領域 参照権限
    ユーザ 運用管理者
    アクセス許可
    管理者用 ルール
    IP Address: 192.168.1.201
    DB User: ADMIN01
    Role:DBA権限(特権)
    「顧客」領域に対する
    参照権限がない為
    アクセス不可
    DBサーバ

    - Customer
    - Order
    索引
    プロシージャ
    「顧客」領域
    Oracle Database Vault
    P
    R
    Oracle Database 群 (*)
    改竄・破壊防止
    * 12c以降の、すべてのサポートされているプラットフォーム
    ** 今後提供予定
    Copyright © 2023, Oracle and/or its affiliates

    View Slide

  36. 究極に耐性を高めることで、未然の防止と確実かつ完全なリストアをマネージドサービスで提供
    一般的なバックアップ
    ① 事業継続視点での完全性・可用性対策の強化
    Copyright © 2023, Oracle and/or its affiliates
    36
    • ファイルバックアップのためランサムウェア対応が不完全
    • リストア作業も多大な工数が必要
    • 機器の購入に加え運用費が発生
    • バックアップデータをクラウド上で確実に防御
    • 確実かつ完全なリストアを実現
    • 柔軟なコスト耐性(低コストな課金と運用コスト不要)
    OS OS
    ①侵入
    ③侵入
    ⑤破壊
    (暗号化)
    本番環境 バックアップ環境
    ④侵入
    バックアップ
    ファイル
    OS
    本番環境 バックアップ環境
    本番へ
    侵入
    バックアップ
    へ侵入
    リストア
    ①侵入
    本番へ
    侵入
    リストア
    ⑥最後のバックアップタイミングまでの復旧
    ⑦復旧への多大な工数
    ⑥ 本番環境の破壊直前まで復旧が可能
    ⑦ 完全性が担保されているため確実に復旧可能
    ④多層防御に
    より侵入困難
    ⑤厳格な
    アクセス制御
    バックアップ
    へ侵入
    今後提供予定
    DBファイル
    ②破壊
    (暗号化)
    DBファイル
    ②破壊
    (暗号化)
    Zero Data Loss Autonomous Recovery Service
    ③専用区画の
    ため侵入困難

    View Slide

  37. 多層防御によるデータ中心のセキュリティ
    ② ゼロトラストセキュリティの実装
    Copyright © 2023, Oracle and/or its affiliates
    37
    データ中心の
    セキュリティ
    外部からの攻撃
    » ボットによる攻撃
    » 標的型攻撃
    » ランサムウェア
    » DDoS
    内部からの攻撃
    » バックドア
    » 内部不正
    » 不正アクセス
    特権ユーザー
    管理
    ネットワーク
    IDアクセス
    管理
    インフラ
    ストラクチャ
    データベース
    データ
    強制的な
    暗号化
    監査証跡
    行列レベルの
    アクセス制御
    設定ミスの
    検知・是正
    多要素認証
    強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理
    Web
    Application
    Firewall
    IAM Identity
    Domains/
    Identity
    Cloud Service
    Security Zones
    Data Safe
    Observability and Management
    Threat Intelligence
    Autonomous Database
    Vulnerability Scanning
    OCI
    Network Firewall
    Cloud Guard
    Cloud Guard
    Threat Detector
    Database Vault

    View Slide

  38. ③ 自動化を活用した人的ミスによるデータ損失リスクの軽減
    Copyright © 2023, Oracle and/or its affiliates
    38
    セキュリティ対策の自動化 セキュリティポリシーの自動有効
    リスクのある設定を自動検知
    強力、完全なテナント分離
    IAM identity domains:
    認証強化
    Autonomous Database:
    自動パッチ適用
    格納時・転送時の
    強制的な暗号化
    Oracle Cloud Guard:
    クラウドセキュリティポスチャ管理
    Oracle Data Safe:
    データベースのリスク評価
    Oracle Security Zones:
    セキュリティポリシーの自動有効
    VM Database
    Security Zones
    管理者

    View Slide

  39. ④クラウドサービスによる脅威検知
    Copyright © 2023, Oracle and/or its affiliates
    39
    Oracle Cloud Guard
    Threat Detector
    機械学習を活用し
    リスクのある振る舞い
    を自動検知
    Oracle Cloud Infrastructure
    Logging Analytics
    機械学習を活用した
    高度なログ分析・
    サービス基盤

    View Slide

  40. オラクルは様々なデータ配置を提供 ~ クラウドインフラ基盤
    ⑤ データ・セキュリティ対策とプライバシー保護
    Copyright © 2023, Oracle and/or its affiliates
    40
    OCI Public Cloud
    • すべての OCI 機能
    • オラクルがインフラを維持
    • OCIネイティブのセキュリ
    ティ機能、さらにサード
    パーティのソリューションで
    データを保護
    OCI Sovereign Cloud
    • すべての OCI 機能
    • EU居住者および特定の
    EU法人に限定された操
    作とサポート
    Dedicated Region
    • すべての OCI 機能
    • お客様データセンター
    • データが存在する地域や
    操作者に関する要件を
    充足
    Oracle Alloy
    • すべての OCI 機能
    • 厳格な保証およびデータ
    保持主体の要件を満た
    すよう設計
    コントロール
    Coming Soon
    Coming Soon

    View Slide

  41. オラクルは様々なデータ配置を提供 ~ データベース
    ⑤ データ・セキュリティ対策とプライバシー保護
    Copyright © 2023, Oracle and/or its affiliates
    41
    フル マネージド
    インフラはオラクル管理、データベースはお客さま管理
    Automation
    Oracle Cloud Infrastructure
    Oracle Cloud
    Infrastructure
    お客さまの
    データセンター
    お客さまの
    データセンター
    Base Database
    Service
    Exadata Database
    Service
    Autonomous
    Database
    ExaDB on
    Dedicated
    Infrastructure
    ExaDB on
    [email protected]
    Enterprise Database
    Service Standard
    Database Service
    ADB on
    Exadata
    [email protected]
    ADB on Shared
    Exadata
    Infrastructure
    ADB on Dedicated
    Exadata
    Infrastructure
    出典:Cloud Database Services for Every Workload から改修
    https://blogs.oracle.com/database/post/cloud-database-services-for-every-workload
    お客さまの
    データセンター
    オンプレミス
    Oracle
    Database
    Oracle
    Exadata
    お客さま管理
    同一のセキュリティ機能を提供

    View Slide

  42. Oracle Cloud のセキュリティの強み
    Copyright © 2023, Oracle and/or its affiliates
    42
    設計から組み込まれ
    セキュリティ不備を最小化
    標準機能で提供 データ中心のセキュリティ
    • 全リージョン、全インスタンスがセキュリ
    ティ・バイ・デザインされた環境
    • デフォルトがセキュアな設定で安全側に
    倒されている (Default Deny)
    • データの暗号化はデフォルトで実施、
    ユーザーが解除できない
    • 自動化されたセキュリティ管理を標
    準・無償で提供されている
    • 他社では複数サービスが必要で、開
    発工数とサブスクリプション価格で高コ
    ストになる
    • データベースのセキュリティ対策まできちん
    と取り組んでいるのは、Oracleぐらい
    • 重要データの所在・リスク評価・監査する
    データ・セキュリティ監視を無償で利用できる
    • データを中心に多層で保護するための構築
    済みセキュリティサービスを提供している
    お客様からの評価から
    “最新のセキュリティ機能を積極的に無償で機能追加しているOCIも高く評価しています。私たちは
    これら新機能をいち早く利用し、セキュリティ強化に役立てています。”
    株式会社マイネット 技術統括部 セキュリティグループ長, 前田 高宏 氏

    View Slide

  43. これからの開発者に意識してほしい、マルチクラウドセキュリティの要点 (NRI 佐古様)
    NRIのクラウドセキュリティガイドラインについて
    「基本ガイドライン」と「個別ガイドライン」の2種類で構成。
    • 基本ガイドラインは考え方(7項目)
    • 個別ガイドラインはOCIやAWSなどの各クラウドにおけ
    る具体的な対策手順
    セキュリティ視点から見た
    OCIの特徴、優位点は?
    • データの暗号化をオプション扱いとせず必ず実施し、
    ユーザーが解除できない点
    • OCIは「デフォルトでセキュリティ対策がなされている
    ので、ユーザーにとってはシンプルで悩むポイントが少な
    いのでは」
    • 「Oracle Cloud Guard」を、OCIユーザーに無償で
    提供している点も優れていると評価。「開発環境など
    小さな環境では、クラウド利用料がそれほどでもない
    のに、セキュリティにまでコストをかけるのは……とい
    う心理的障壁が生まれがちです。Oracle Cloud
    Guardのように無償ならば、そうした環境でも導入しや
    すいですし、可視化すればセキュリティ課題が見え、対
    策をしなければならないという意識付けにつながるで
    しょう」
    第三者の声
    Copyright © 2023, Oracle and/or its affiliates
    43
    出典:https://ascii.jp/elem/000/004/054/4054310/

    View Slide

  44. • OCIへ移植したゲームタイトルに潜在する設定上の脆弱性を
    検出し、セキュリティレベルの底上げとガバナンス強化を迅速
    に実現
    • 事業買収やゲームタイトル買収を通じて得た、様々なチーム
    メンバー・運用者が参画しているため、AIを用いてクラウド上
    の行動を解析して、リスクにつながる振る舞いを検出し対策
    を実施
    • Oracle Cloud Infrastructureが、最新のセキュリティ機能を
    積極的に無償で機能追加する姿勢を高く評価。新機能(*)
    をいち早く利用し、セキュリティの強化を推進
    利用サービス
    • Oracle Cloud Guard
    • Oracle Cloud Guard Threat Detector
    マイネット 様
    Copyright © 2023, Oracle and/or its affiliates
    44
    Oracle Cloud Infrastructure と Oracle Cloud Guard
    を活用し、オンラインゲーム運用におけるセキュリティと
    ガバナンスを強化
    * Limited Availabilityを含む

    View Slide

  45. Oracle Cloud Infrastructure のコンプライアンス対応
    代表的なもの
    45 Copyright © 2023, Oracle and/or its affiliates
    27001 : 27017 :
    27018
    Level 1 BSI C5
    グローバル 日本
    3省3ガイドライン
    (金融機関)
    (政府機関)
    (ヘルスケア)
    ISMAP
    (政府機関)

    View Slide

  46. Oracle Cloud Infrastructure
    セキュリティのプロもSaaS基盤としてOCIを選択
    Copyright © 2023, Oracle and/or its affiliates
    46
    世界最大のコンピュータ
    ネットワーク機器ベンダー
    ハードウェアやソフトウェアセンサーから
    テレメトリー情報を収集し、データを高度な
    機械学習技術によって分析するSaaS
    (Cisco Tetration) でOCIを採用
    数千コア以上の大規模アプリケーションを
    2ヶ月で稼働
    インテリジェンス主導型の
    セキュリティ企業
    なりすまし攻撃、フィッシング、スパムによる
    Eメール脅威の対策を提供するSaaSで
    OCIを採用
    高度なリアルタイム分析をベアメタル・
    インスタンスを活用することでクラウドで実現
    業界をリードする
    サイバーセキュリティ企業
    脅威の識別、調査、解決を行うクラウドベースの
    SIEMソリューション(McAfee ESM Cloud)で
    OCIを採用
    他社クラウドに比べ1/4のコストで実現
    60万データソースにおける1秒当たり
    50万イベントをサポート

    View Slide

  47. まとめ
    47 Copyright © 2023, Oracle and/or its affiliates
    2
    3
    4
    5
    事業継続視点での
    完全性・可用性対策の強化
    ゼロトラストセキュリティの
    実装
    人的ミスによる
    データ損失リスクの軽減
    クラウドサービスによる
    脅威検知
    データ・セキュリティ対策と
    プライバシー保護
    1 アカウント乗っ取り
    多要素認証
    (IAM Identity Domains/IDCS)
    脆弱性を突いた攻撃
    脆弱性スキャン・自動修復、WAF、次世代FW
    (Autonomous Database、Vulnerability Scanning/
    Web Application Firewall / Network Firewall)
    不正アクセスの早期発見、
    操作内容が不明
    不正な操作の早期検知
    (Data Safe/AVDF/Logging Analytics)
    データプライバシー対応
    要件に応じデータ配置の柔軟性
    (Dedicated Region, Alloy, ExaDB on [email protected])
    設定ミスを突いた攻撃
    リスクのある設定・行動を自動検知
    (Cloud Guard)
    機密データの持出、破壊
    保存データの不可視化、データ改ざん対策
    (暗号化、Data Safe, Database Vault)
    データが復旧できない セキュアなバックアップ
    (ZDLAR/Data Guard/Object Storage)
    対策
    課題

    View Slide

  48. セキュリティ価格概要 ~ クラウド編
    カテゴリ 機能 機能名 単価
    セキュリティ・
    バイ・デザイン
    強力、完全なテナント分離 Isolated Network Virtualization / Bare Meta 標準機能
    強制的な暗号化 Encryption by Default 標準機能
    階層型権限管理 Compartment 標準機能
    自動化された
    セキュリティ管理
    リスクのある設定・行動を自動検知 Cloud Guard 無償
    ポリシーの自動適用 Security Zones 無償
    脆弱性スキャン Vulnerability Scanning 無償
    オンラインでのパッチ適用 Autonomous Database 無償 (*1)
    自動化されたログ分析 Logging Analytics 10GBまで無償
    データ中心の
    多層防御
    DBセキュリティ対策の自動化 Data Safe 無償~ (*2)
    特権ユーザー管理 Database Vault DBCS HP ~ (*3)
    多要素認証、リスクベース認証 IAM Identity Domains 無償~ (*4)
    ボット対策とWAF Web Application Firewall 無償~ (*5)
    次世代ファイアウォール (NGFW) OCI Network Firewall 有償
    *1 Autonomous Database 利用時に無償で利用可能
    *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償
    *3 DBCS High Performance以上で利用可能 *4 無償で利用できるユーザー数や機能に制限あり
    *5 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥84 [1,000,000インカミングリクエスト/月]、¥700[インスタンス/月]
    48 Copyright © 2023, Oracle and/or its affiliates

    View Slide

  49. View Slide