OCI Security サービス概要

OCI Security 概要 2024年2月日本オラクル株式会社

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 2
Copyright © 2024, Oracle and/or its affiliates. All rights reserved

オラクルが実現する堅牢なセキュリティデータ中心のセキュリティ自動化されたセキュリティ管理セキュリティ・バイ・デザイン SECURITY OF
THE CLOUD SECURITY ON THE CLOUD ＋強力、完全なテナント分離強制的な暗号化 (Database/Storage/Network) 階層型権限管理リスクのある設定・行動を自動検知 3 * WAF: Web Application Firewall 脆弱性スキャンセキュリティポリシーの自動有効特権ユーザーのアクセス制御ボット対策とWAF/ 次世代ファイアウォール多要素認証とリスクベース認証重要情報の隠蔽セキュリティ構成機密データ発見アクティビティ監査 DBセキュリティ対策の自動化脆弱性自動修復青字：他社にないものバックアップ保護と確実なデータ復旧 3 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

クラウドプラットフォームレベルでの環境隔離と暗号化階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセスが可能、部署を跨いだシステム構築も容易 ✓ コンパートメント毎のクオータ設定に
より使い過ぎを抑止強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより情報漏洩のリスクを最小化 4 セキュリティ・バイ・デザイン AD2 リージョン1 AD2 リージョン2 MACSec 高速・スケーラブルな Layer2 暗号化部署ごとにCompartment（サブアカウント）を作成「コンパートメント」モデルテナントコンパートメント A コンパートメントB ユーザーグループポリシーポリシーポリシー部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネルネットワーク仮想化物理サーバーすべてのデータを暗号化 4 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

リスクのある設定を自動検知 • 構成とアクティビティを監視 • 問題の特定、脅威を検出 • 問題の是正、顧客通知セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用
• 初期段階からリソースのセキュリティを確保バックアップ保護と確実なデータ復旧 • ファイルを不可視化し、盗難を防止 • リアルタイムバックアップにより、感染直前までのリカバリーを可能 • 完全性が担保されたバックアップにより、確実に復旧可能自動化されたEnd-to-Endのセキュリティで人的ミスを排除パブリックアクセス不可 Oracle Cloud Guard Oracle Security Zones 5 自動化されたセキュリティ管理 Zero Data Loss Autonomous Recovery Service 5 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

多層防御によるデータ中心のセキュリティ外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS
内部からの攻撃 » バックドア » 内部不正 » 不正アクセス特権ユーザー管理ネットワーク IDアクセス管理インフラストラクチャデータベース 6 データ強制的な暗号化監査証跡行列レベルのアクセス制御データ中心のセキュリティ設定ミスの検知・是正多要素認証強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理データ中心のセキュリティ Web Application Firewall IAM Identity Domains Security Zones Data Safe Observability and Management Threat Intelligence Autonomous Database OCI Network Firewall Cloud Guard Database Vault Zero Data Loss Autonomous Recovery Service Vulnerability Scanning 6 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Oracle Cloud のセキュリティの強み 7 設計から組み込まれセキュリティ不備を最小化標準機能で提供データ中心のセキュリティ • 全リージョン、全インスタンスがセキュリ
ティ・バイ・デザインされた環境 • デフォルトがセキュアな設定で安全側に倒されている (Default Deny) • データの暗号化はデフォルトで実施、ユーザーが解除できない • 自動化されたセキュリティ管理を標準・無償で提供されている • 他社では複数サービスが必要で、開発工数とサブスクリプション価格で高コストになる • データベースのセキュリティ対策まできちんと取り組んでいるのは、Oracleぐらい • 重要データの所在・リスク評価・監査するデータ・セキュリティ監視を無償で利用できる • データを中心に多層で保護するための構築済みセキュリティサービスを提供しているお客様からの評価から “最新のセキュリティ機能を積極的に無償で機能追加しているOCIも高く評価しています。私たちはこれら新機能をいち早く利用し、セキュリティ強化に役立てています。” 株式会社マイネット技術統括部セキュリティグループ長, 前田高宏氏 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Cloud Guard, Vulnerability Scanning, Data Safe, IAM, Logging Analytics 必須となる基本のセキュリティ・サービス
8 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN OCI全体の脆弱性を監視クラウド内の脆弱な設定やユーザーのアクティビティを追跡しリスクをスコアリングアラートや是正処理を自動化 VMの脆弱性を監視パッケージの脆弱性やオープンポートなどVMを定期的にスキャン Vulnerability Scanning Cloud Guard IAM 認証強化・アクセス制御多要素による認証強化・連携ポリシーによるアクセス制御認証ログ権限管理ログ操作アクセスログ Logging Analytics Auditログの可視化・長期保存 Auditログから不正ログインや疑わしい操作を監視し、セキュリティ・インシデントを速やかに検知する Audit Data Safe データベースのセキュリティ強化 Oracle Databaseの脆弱な設定や不正と疑わしいアクセスを検出 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Web Application Firewall, Network Firewall, Security Zones, 追加検討サービス① - アクセス制御を強化するセキュリティ・サービス
- 9 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN with Security Zones WEBアプリケーションを保護多種多様なサイバー攻撃から WEBサイトを保護する Network Firewall Web Application Firewall 不正なネットワーク通信を監視インターネットやVCN内の相互通信から不正なトラフィックを検知し遮断 Security Zones セキュアに保護されたコンパートメントコンパートメントには、セキュリティポリシーの要件に満たしたリソースしか作成させない Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Vault 追加検討サービス② - 電子・暗号署名を強化するセキュリティ・サービス - 10 Tokyo Region Compartment /
VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN 暗号化 Vault ユーザー自身による暗号鍵管理ストレージ、データベースの暗号化をユーザー自身が持ち込んだ暗号鍵を使用し管理する各ストレージサービスはOracle管理にによりデフォルト暗号化されている Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Tokyo Region 各種ログ (Audit, サービス, OS) + Logging Analytics 追加検討サービス③
- ログ取得・管理及び監視を強化する統合ログ分析 - 11 Logging Analytics 認証ログ OS Network Firewall Load Balancer VCN Flow Logs Object Storage等 WAF Middleware Database Application 権限管理ログ操作アクセスログ Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN with Security Zones Management Agent for LA Audit サービス・ログ OS内のログ統合ログ分析基盤 OCIの様々なログを一元的に集約セキュリティの観点で不正なアクティビティを横断的に分析するSIEM的なログ分析基盤セキュアにログを長期保管 Logging Analyticsにログをアップロードするエージェンド Logging ログ出力管理ネットワークやFirewallのログなど様々なサービスログの出力管理 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

各サービスの価格 12 サービス機能無償枠価格 (※詳しくは各サービス価格にて) Cloud Guard OCI全体の脆弱性を監視
完全無償 N/A Vulnerability Scanning VMの脆弱性を監視完全無償 N/A Data Safe データベースのセキュリティ強化 Autonomous Database BaseDB, ExaDB-Dは無償オンプレミス、DB on IaaSの場合: 1DBあたり¥28000/月 Identity and Access Management 認証強化・連携及びアクセス制御 2000ユーザー、多要素認証、 SSO(Oracle以外2つ)など幅広く無償アプリケーション認証基盤として大規模ユーザー管理の場合は有償になる場合あり Logging Analytics Auditログの可視化・長期保存統合ログ分析基盤 10GB/月まで無償 300GB単位でおよそ¥52000/月 Security Zones セキュアに保護されたコンパートメント完全無償 N/A Web Application Firewall WEBアプリケーションを保護最初の1インスタンスと 1000万リクエスト/月まで無償 1インスタンスあたり ¥84/月 100万リクエストごとに¥700/月 Network Firewall 不正なネットワーク通信を監視 10TBまでトラフィック処理が無償 1インスタンスあたり ¥385/時間 1GBごとに1.4/円 Logging サービスログの出力管理 10GB/月まで無償 1GBあたり¥7/月 Vault ユーザー自身による暗号鍵管理 Default Vault: 20キーバージョンまで Software: 制限なし Default Vault: 1キーあたり¥74/月 Virtual Private Vault: 1Vaultあたり¥521 /時間基本追加 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

クラウド全体の脆弱性を監視 OCIの様々なリソース設定やユーザー操作を監査ログや設定情報から読み取り、脆弱性を検出し是正する - 各サービスの設定に関連するリスクを診断 - ユーザーやネットワークに関する設定変更など、構築・運用で発生する様々なアクティビティに対するリスクを診断 - 脅威インテリジェンスと連携し、ユーザーのふるまいを学習し診断
検出された問題へのリスク評価と推奨事項をガイドアラートによる通知だけでなく、自動的に修正するレスポンダ処理リスク検出ポリシーは、Oracleが提供しメンテナンステナント内の全リージョン・リソースを評価しスコアリング基本機能として無償、設定も非常に簡単 Cloud Guard 14 Cloud Guard Vault Scanning VCN, Load Balancer Compute, Storages Databases IAM 問題の検知アクション実行リスク評価 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

動作フロー Cloud Guard 16 Detectors Configuration Activity Threat 脆弱性を検出するディテクタは構成、アクティビティ、脅威の
３タイプで構成され、それぞれにレシピと呼ばれるポリシーに基づきチェックするレシピは、Oracleマネージドによりメンテナンスされる Responders Stop Instance Suspend User Disable Bucket レスポンダは、検出された問題をユーザーに通知するまたは、対応する是正処理を自動実行し、問題を自己解決する Targets ターゲットは、Cloud Guardが監視対象にするコンパートメント指定されたコンパートメント下のサブコンパートメントも対象となり rootを指定時は、コンパートメント全てが対象になる Problems リソースの設定に不備や疑わしいアクセスが発生した場合、 Cloud Guardは、問題として検出し、レシピ内容に応じたリスクレベルに分類する Copyright © 2024, Oracle and/or its affiliates. All rights reserved

構成ディテクタ・レシピ Cloud Guard 17 ディテクタ・ルール推奨事項デフォルトリスク・レベルインスタンスにパブリックIPアドレスがありますすべてのインスタンスへのインターネット・アクセスを許可することは慎重
に検討してくださいクリティカルデータベース・システムにパブリックIPアドレスがありますデータベース・システムにパブリックIPアドレスが割り当てられていないことを確認しますクリティカルユーザーがMFAを有効にしていません Oracle Mobile Authenticatorやワンタイム・パスコード等を使用して、すべてのユーザーに対してMFAを有効にしますクリティカルバケットがパブリックですバケットのパブリック・アクセスが容認されていることを確認し、ポリシーで制限してアクセスを特定のユーザーのみに許可させますクリティカルスキャンされたホストには脆弱性があります OSパッチを適用するなど、脆弱性ごとにドキュメントに記載されている推奨アクションを実行しますクリティカル VCNセキュリティ・リストでは、すべてのソース(0.0.0.0/0)からの非パブリック・ポートへのトラフィックが許可されます。 VCNセキュリティ・リストを使用して、サブネット内のインスタンスへのネットワーク・アクセスを制限します。例えば、コンピュート・インスタンスをインターネット(0.0.0.0/0)に対して公開しないクリティカル VCNセキュリティ・リストにより、制限されたポートへのトラフィックが許可されます制限ポートへのアクセス許可がないかセキュリティ・リストを確認します例) TCP (11,17-19,21,23-25,43,49,53,70-74,79- 81,88,111,123,389,636,445,500,3306,3389,5901,5985,5986,70 01,8000,8080,8443,8888) クリティカル Copyright © 2024, Oracle and/or its affiliates. All rights reserved

アクティビティ・ディテクタ・レシピ Cloud Guard 18 ディテクタ・ルール推奨事項デフォルトリスク・レベル疑わしいIPアクティビティマルチファクタ認証(MFA)を有効にして、ユーザーがログインしている
ユーザー本人であり、資格証明が侵害されていないことを確認しますクリティカル VCNネットワーク・セキュリティ・グループが削除されました NSGの削除が、このVCNと関連リソースで許可されていることを確認します高インスタンスが終了しました IAMポリシーを使用してインスタンスの終了操作を制限します高データベース・システムが終了しました許可された管理者がデータベース・システムおよび関連データベースの終了を認可して実行していることを確認します高中間認証局(CA)が取り消されました権限のあるユーザーのみがCAバンドルの中間証明書を取り消すことを確認します。ユーザーに権限がない場合は、取消しを取り消します高 VCNセキュリティ・リストが削除されましたこのセキュリティ・リストの削除が、このVCNと関連リソースで許可されていることを確認します中 VCNネットワーク・セキュリティ・グループのイングレス・ルールが変更されました新しいイングレス・ルールが、このNSGと関連リソースで許可されていることを確認します中 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

脅威モニタリング Cloud Guard 19 OCIの脅威インテリジェンス・サービスと連携し疑わしいIPアドレスやドメインなど最新の脅威情報を更新ユーザーのアクティビティ・パターンを機械学習し、ユーザーのリスク・スコアに反映 - 権限が過剰に付与されていないか
- セキュリティを低下させる設定をしていないか - 普段とは異なる地域からアクセスしていないか - パスワードを突破しようとする行動をしないかリスクの高いユーザーは、悪質なユーザーとしてマークされレスポンダの対応する問題として認識されるアクセス元のIPアドレスと影響を受けるサービスが明確になり、何を目的としたアクティビティだったのかトレース可能 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

レスポンダレスポンダは、Cloud Guardが検出した問題に対するアクションを実行する 2種類のレスポンダ・タイプ Notification : 検出した問題をイベント・サービスと連携。問題検出のイベント発生時に通知サービスと連携しメール通知やファンクションによるカスタム・スクリプトを実行 Remediation :
検出した問題を手動または自動でCloud Guardが修正実行 Remediationで実行可能なレスポンダ・レシピ - IAMユーザー・ポリシーの削除、コンピュートインスタンスの停止・削除 Internet Gatewayの削除、Public IPの削除、バケットをプライベートに変更 DBバックアップの有効化, キーのローテーション検出された問題は、Notificationがデフォルトとして動作 Remediationによる自動実行はユーザー自身で明示的な設定が必要レスポンダの実行対象を条件で限定することが可能レスポンダの実行した結果は、Auditに記録される Cloud Guard 20 Cloud Guard イベントサービスファンクションサービス通知サービス Notification 問題 Remediation レスポンダ・レシピを実行 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

例) オブジェクト・ストレージのバケットがパブリックに設定変更された場合 Cloud Guard 21 ディテクター検知ルールのトリガーとして、“バケットがパブリックに変更”された際に問題として認識（重大度：クリティカル） “バケットがパブリック” (重大度：クリティカル)
プログラム「クラウドイベント」は有効か? => Yes レスポンダー Cloud Guard オペレーター問題を修正するか？ => Yes レスポンダーレスポンダがバケットをプライベートに設定変更重大なリスクユーザーがバケットをパブリックに設定バケット OCI Events OCI Functions OCI Notifications 「バケットをプライベートにする」が有効か？ => Yes バケット Copyright © 2024, Oracle and/or its affiliates. All rights reserved

OCI Compute OCI Container Engine Vulnerability DB’s Vulnerability Scanning Cloud
Guard Problems VMやコンテナの脆弱性を監視 Vulnerability Scanning (脆弱性スキャン) 23 コンピュート・インスタンスやコンテナ・イメージの潜在的な脆弱性を検出しリスクレベルを評価３つの観点での脆弱性診断 - CVE(共通脆弱性識別子)に基づくインストールされたパッケージの脆弱性を検出 - オープン・ポートのチェック - CISベンチマーク(セキュリティの標準ベストプラクティス)への対応状況特定のインスタンスや、指定したコンパートメント内のすべてのインスタンスに対して実行 VMインスタンスにインストールされているCloud Agentがスキャンを実行対応するOS (※コンピュートサービスが対応するプラットフォームイメージ) - Oracle Linux, CentOS, Ubuntu, Windows 検出されたリスクは、Cloud Guardと連携基本機能として無償 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

データベースの脆弱性を監視 Oracle Databaseをより安全に利用するためのクラウドベースのデータベース・セキュリティ・サービス Data SafeとターゲットとなるDBを接続し、以下のセキュリティ機能を提供 - セキュリティ・アセスメント（Security Assessment） -
ユーザー・アセスメント (User Assessment） - 機密データ検出（Sensitive Data Discovery ） - データ・マスキング（Data Masking） - アクティビティ監査（Activity Auditing） Autonomous Database、Base-DB、ExaDB-Dは無償 (※一部有償) SE、EEどちらのエディションでも使用可能 BYOLや他社クラウドのOracle Database、またオンプレミスの Oracle Databaseに対しても有償にして使用可能 Data Safe 26 Oracle Cloud上のデータベース監査ユーザー発見アセスマスクオンプレミスのデータベース Data Safe AWS, Azure上のオラクルデータベース Copyright © 2024, Oracle and/or its affiliates. All rights reserved

セキュリティ・アセスメントデータベースの構成をスキャンし、STIG, CIS Benchmarkなどのベストプラクティス要件と比較してセキュリティ・リスクを評価基本構成、ユーザーアカウント、権限・ロール、アクセス制御、監査、暗号化等のカテゴリで評価データ・ディクショナリから必要な情報を収集するため、DBのパフォーマンスには影響なしアセスメントは、定期的なスケジュール実行が可能アセスメント結果は、ベースラインとして登録することができ、比較分析や過去の実行結果履歴が参照可能 Data Safe
27 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ユーザー・アセスメントユーザー・アカウントをスキャンし、アカウントの使用状況や付与された権限・ロールからリスクを分析 DBAやDatabase Vault、Auditなどの管理者権限の付与状況を一括で可視化アカウントに付与された不要になる可能性があるシステム権限やロールを識別休眠アカウントやパスワードが失効しているユーザーを特定セキュリティアセスメントど同様に、スケジュール実行、ベースラインとの比較分析、実行履歴の参照が可能 Data Safe 28

データ・マスキング機密性の高いデータを不可逆な形式にてマスキングデータベースの特性を考慮したアーキテクチャ - 表の制約や表と表の関係性を認識した一貫性のあるマスキング - 列データの要素数、分布、件数など、本番データの特性を維持したマスキング環境の作成 GUIで自由に定義できる様々なデータマスキング・タイプを提供 60を超える定義済みのマスキング・テンプレート -
クレジット・カード番号, Eメール, URL, 血液型, 郵便番号, 社会保障番号(US, Canada).. ユーザー独自のマスキング定義を追加設定可能 - 携帯番号, 社員番号, 郵便番号, マイナンバー, パスポート番号など日本固有のデータフォーマット RDMSの特性とカーディナリティを保持したままマスキング条件分岐を含む複雑なマスキング定義は、PL/SQLでファンクションとして作成 Data Safe 29 Database Cloud Data Safe Copyright © 2024, Oracle and/or its affiliates. All rights reserved

様々なマスキング形式を提供 Data Safe 30 固定数値固定文字列ランダム桁数ランダム数値ランダム文字列配列リスト
シャッフル置換 SQL式 NULL値切り捨て部分文字列表の列の値ユーザ定義関数正規表現暗号化ランダム文字ランダム数値＋固定文字列シャッフル ID NAME 1 SMITH 2 ALLEN 3 JONES 4 CLARK 5 ADAMS ：： ID NAME 1 akeskaf 2 oweiks 3 daikels 4 ilekdik 5 oetdjgqk ：： ID CARDNUMBER 1 7488-2984-1736-7400 2 4033-6177-0089-6401 3 6141-5126-0475-8802 4 1139-4145-6222-3703 5 8337-6263-1608-0104 ：： ID CARDNUMBER 1 5870-2967-9149-5700 2 9634-7334-4874-2301 3 8430-8214-6445-1102 4 1573-9537-1503-5503 5 0606-3321-6271-8304 ：： ID COUNTRY 1 US 2 JP 3 US 4 UK 5 FR ：： ID COUNTRY 1 US 2 FR 3 UK 4 FR 5 JP ：： Copyright © 2024, Oracle and/or its affiliates. All rights reserved

主キー / 一意 / 参照整合性制約を自動検知 Data Safe 31 ID NAME
CID 1 SMITH 1 2 ALLEN 4 3 JONES 1 4 CLARK 2 5 ADAMS 3 ：：： CID COUNTRY_NAME 1 UNITED_KINGDOM 2 UNITED_STATES 3 AUSTRALIA 4 IRELAND 5 CANADA ：： ID NAME CID 1 Aaafeh 83 2 Aafhed 65 3 Aaaafhe 83 4 Bodofa 39 5 aaahfied 9 ：：： CID COUNTRY_NAME 83 UNITED_KINGDOM 39 UNITED_STATES 9 AUSTRALIA 65 IRELAND 7 CANADA ：：参照整合性を維持したマスキング (ランダム文字列＋ランダム数値) 外部キー制約を自動的に検知し、整合性を維持 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

アクティビティ監査 Oracle Databaseの監査ログを定期的に取得し、ログ分析やレポートを提供対象は、Databaseに格納されている監査表のみ (Unified_Audit_Trail, FGA_LOG$, AUD$, DVSYS.AUDIT_TRAIL$) Data Safeまたはオンプレミス・コネクターがターゲットDBに直接SQLアクセスして監査ログを取得
監査データのオンライン保持期間は1～12カ月 (デフォルト 6カ月) オンラインを超える監査ログの保存は、アーカイブとしてオフラインで保持可能 (最大6年) CISベンチマークやSTIGといったコンプラインス対応の独自の監査ポリシーを適用可能目的ごとに定型化されたレポート分析画面監査ログは100万レコード/DB/月までは無料 - 以降、1万レコード単位で課金(¥12) プリセットされたアクティビティ・レポート(PDF, XLS) Logging Analyticsサービスにログを集約する方法も効果的 Data Safe 32 Data Safe Oracle Database AUD$ FGA_LOG$ Unified Audit Copyright © 2024, Oracle and/or its affiliates. All rights reserved

サポートされるターゲット・データベース Data Safe 33 Oracle Cloud Database Versions Autonomous Data
(Shared Exadata Infrastructure) latest version Autonomous Data (Dedicated Exadata Infrastructure) latest version Database System - Bare Metal, VM, Exadata - Oracle Database Edition(SE, EE, EEHP, EEEP) 11.2.0.4*, 12.1*, 12.2.0.1 or later Oracle Database on Compute instance - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later On-Premises Oracle Database - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later Copyright © 2024, Oracle and/or its affiliates. All rights reserved

価格 Data Safe 34 サービス名単価単位 1 Data Safe
for Database Cloud Service (*) 無償 2 Data Safe for Database Cloud Service – Audit Record Collection Over 1 Million Records ¥14.0 1万レコード/ターゲット/月 3 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases (**) ¥28,000 1DB 4 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases – 10,000 Audit Records Per Target Per Month ¥14.0 1万レコード/ターゲット/月 * 監査機能は、 100万レコード/ターゲット/月まで無償、その他の機能は無償 **監査機能は、 100万レコード/ターゲット/月まで利用可能、その他の機能は追加コストなく利用可能 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

柔軟なアクセス制御 Identity and Access Management Copyright © 2024, Oracle and/or
its affiliates. All rights reserved 36 OCIアカウント内のセキュリティ IAMユーザーの認証ポリシー設定によるアクセス制御ポリシーの設定により複雑なルールも簡単に定義可能誰がOCIアカウントにアクセス可能か、どのクラウド・リソースへのアクセス権を持つか、どのようにサービスやリソースを利用可能か組織構造にも対応コンパートメント Tenancy CompartmentA CompartmentB Groups GroupX Users User1 User2 Policies PolicyA: allow group GroupX to manage all- resources in compartment CompartmentA PolicyB: allow group GroupY to manage all- resources in compartment CompartmentB PolicyA PolicyB Block Storage Object Storage Virtual Machine VPN/ FastConnect DRG

二要素認証サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2023, Oracle and/or its affiliates 37
◆ 管理者は任意の二要素認証の手段を選択して有効化することが可能 ◆ モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能 ◆ 二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供メール SMS モバイルアプリケーション【二要素認証の要素】モバイルアプリケーション FIDO2 ワンタイム・パスコード通知秘密の質問生体認証 ※Oracle Mobile Authenticatorのみ利用可 ※RFC 6238に準拠している Authenticatorを利用可能 ※SMSの数量により別途追加費用が発生

リスク・ベース認証ユーザーの行動分析に応じた認証強化 Copyright © 2023, Oracle and/or its affiliates 38
◆ ユーザーの疑わしい行動履歴(下記項目)から、リスク・スコアを算出 ✓ ログインの失敗 ✓ MFAの試行 ✓ 未知の端末からのアクセス ◆ リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置を指定可能 ◆ 増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減少評価項目毎のリスク値の定義 ✓ 疑わしいIPからのアクセス ✓ 通常とは異なる場所からのアクセス ✓ 一定時間内の移動距離ユーザー毎のリスク値の推移確認

認証ポリシーアプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 Copyright © 2023, Oracle and/or its affiliates 39
サインオン・ポリシーインターネット社内ネットワークサインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス＋管理者権限ログイン拒否社外からのアクセス二要素認証 Web業務アプリケーション社内からのアクセスパスワード認証サインオン・ルールの例 ◆ サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可/拒否/再認証の要求/多要素認証の要求のいずれかの対応を設定することが可能 ◆ サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 ◆ サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の条件や条件が当てはまる場合のアクションを指定条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • 管理者権限の有無アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制条件アクション他社クラウドサービス Oracle PaaS/SaaS

フェデレーション技術による認証連携 Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2023, Oracle and/or its
affiliates 40 ◆ SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、 Oracle Public Cloudや他社SaaSやオンプレミスアプリケーションにシングル・サインオン ◆ 事前設定定義カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能 ✓ 他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供 ◆ アプリケーションごとに、ユーザーのアクセスの可否を設定可能 ECサイト Web業務アプリケーションオンプレミス・on IaaS 他社SaaS Oracle Public Cloud フェデレーション技術による認証情報連携シングルサインオン SAML OAuth OpenID Connect OCI IAM Identity Domain

OCI IAM Identity Domain 外部認証基盤(外部IdP)との認証連携 Azure ADなど既存の認証基盤をマスターとする認証連携 Copyright © 2023,
Oracle and/or its affiliates 41 ◆ Azure AD、ADFS(Active Directory Federation Service)など、SAMLのIdPをマスターとする認証連携が可能 SP クラウドサービス OCIコンソール SP SP アプリケーション各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ)：クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ)：クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Azure AD その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 既存認証基盤(マスタ) シングルサインオン IdP SAML 外部 IdP 連携 IdPポリシー複数のIdPと連携が可能 IdP利用ルールを定義可能

ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2023, Oracle and/or its affiliates 42
◆ FacebookやTwitterなどのSNSを認証マスターとして、それらのアカウントを利用してOCI IAMにログイン ◆ SNSとOCI IAMはOpenID Connect(一部OAuth)を利用してフェデレーション ◆ SNS(一部)との連携設定は事前定義済み ◆ 事前定義がないSNSも定義をインポートすることで連携可能 ◆ SNSのアカウントとの紐付け方法 ✓既存OCI IAMアカウントとソーシャル・アカウントとの紐づけ(1：Nの紐づけが可能) ✓OCI IAMへのソーシャル・アカウントの新規自己登録 SNS OCI IAM Identity Domain SP アプリケーションアプリケーション SP SP アプリケーション各アプリケーション(フェデレーション対応) IdP シングルサインオンログイン連携 OpenID Connect (一部OAuth) 認証マスタ AさんログインID：Facebook ID パスワード：なし BさんログインID：ローカルのID パスワード：あり Facebook ID Twitter ID SNSアカウント

IAM with Identity Domains Copyright © 2023, Oracle and/or its
affiliates 43 •認証連携 •認可制御 •多要素認証 •ユーザー管理等オンプレミス OCI IAM Identity Domains 認証連携(シングルサインオン) 認証強化管理 • モバイルやEmail、SMSを利用したワンタイムパスコード • 利用者情報(IPアドレス,所属グループ)に応じた認証制御 • ユーザー行動分析によるリスク評価 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • Gatewayモジュールによるオンプレミスアプリとの認証連携 • Azure ADなどの外部IdPとの認証連携 • 様々な方式によるユーザーやグループの管理 • Active Directoryを利用したユーザー管理 • アクセス証跡の管理と確認他社クラウド Webシステムクラウドイントラインターネット利用者 WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) Oracle SaaS/PaaS 開発 • REST APIによる操作 • ログイン画面等の開発認証強化認証連携認証連携認証連携

IAM with Identity Domains ユースケース Copyright © 2023, Oracle and/or
its affiliates 44 OCI IAM Identity Domains 1 従業員向け統合認証基盤従業員が業務で利用するオンスレミスのWebアプリケーションや SaaSを中心としたクラウドサービス等の認証管理・認証強化を実現したエンタープライズレベルの認証基盤を構築 2 従業員向けSaaSの認証基盤従業員が業務で利用するSaaSを中心としたクラウドサービスの認証管理・認証強化を実現したクラウド向け認証管理基盤を構築利用者：従業員(正社員、契約、業務委託) 対象アプリケーション：オンプレミスWebアプリ、クラウドサービス(SaaS等) 利用者：従業員(正社員、契約、業務委託) 対象アプリケーション：クラウドサービス(SaaS等) 3 外部ビジネスユーザー向け認証基盤取引先・サプライヤ・仕入先向けのWebアプリケーションや企業向け自社開発のパッケージの認証管理や認証強化を実現利用者：取引先、サプライヤ、パッケージ契約者(企業または消費者) 対象アプリケーション：Webアプリ、パッケージ(オンプレミスまたはSaaS) 4 会員(コンシューマ)向けの認証基盤会員向けECサイトやモバイルアプリの認証強化やソーシャル認証連携、複数ECサイトの認証連携を実現することで、会員IDの統合による UX向上とマーケティングを促進利用者：会員(サイト利用者) 対象アプリケーション：ECサイト、モバイルアプリケーション

Identity and Access Managementの課金タイプ Copyright © 2023, Oracle and/or its
affiliates 45 • OCI IAM Identity Domainsに4つのタイプ(課金タイプ)を用意 ※Oracle SaaSテナンシでのみ利用可能なタイプも用意 • 1つのIdentity Domainには1つの課金タイプを設定タイプ Free Oracle Apps Premium Premium External User 概要 (Usecase） • テナンシ作成時にデフォルト・ドメインとして作成されるタイプ • OCI IaaSおよびPaaSのリソースへのアクセス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへのアクセス管理 • 加えてオンプレミスやOCI IaaS上のOracle アプリケーション(Oracle EBS、PeopleSoft等) のアクセス管理 • 完全なIAM機能を提供し、すべてのOracleアプリケーションおよび Oracle以外のアプリケーションに対するアクセス管理 • 完全なIAM機能を提供しコンシューマ向けのアプリケーションに対するアクセス管理機能制限ありありなしありオブジェクト制限ありありありあり利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリケーションのアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証価格無償 ¥35（User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Oracle Apps Premium ¥448（User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Premium ¥2.24（User Per Month) Oracle Cloud Infrastructure Identity and Access Management – External User 注意事項ーー • OCI IAM Identity Domainが必須となる「お客様の開発が入らないPaaSサービス (OCMやOAC等)」のみでも利用可ーー • デフォルトドメインを本タイプにすることは不可 • OCIリソース(OACやOCM等のPaaS含む) へのアクセス不可

Identity and Access Managementタイプ毎の機能制限 (一部) Copyright © 2023, Oracle and/or
its affiliates 46 タイプ機能 Free Oracle Apps Premium Premium External User Oracle CloudサービスのSSO • • • • 現在のOCI IAMの機能 • • • ーー OCIリソースへのアクセス管理 • • • ーー動的グループ(OCI用) • • • ーー OCI固有の資格証明タイプ • • • ーーサードパーティ・アプリへのアウトバウンドSSO 外部アプリ：2つまで外部アプリ：10つまで • • サードパーティ・アプリのOAuth/トークン管理 • • 汎用SCIMアプリ・テンプレート • • 外部IdPsおよびソーシャル・ログイン外部IdP：5つまで • • • 柔軟なIdPルーティング・ポリシー • • • • ADからIdentity Domainへの同期 (単方向Active Directory同期) • • • ーー MFAとアダプティブ・セキュリティ SMSは利用不可 • • • サインオン・ポリシー 5つまで • • • App Gatewayの利用ーー Oracle Applicationsのみに制限 • • 詳細：https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm ※外部またはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、またはカスタム開発のアプリケーション(Visual Builder Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。

ログ管理 47 Copyright © 2024, Oracle and/or its affiliates. All
rights reserved

Logging 48 Copyright © 2024, Oracle and/or its affiliates. All
rights reserved

OCI内のログ出力を管理し、ログの簡易的な分析と連携管理を提供 Auditログ - デフォルトで有効化されているOCIコンソールやAPIの操作ログサービス・ログ - 各OCIサービスを利用時に発生するログ - VCN Flow
Logs, Load Balancers, Object Storage, Functionsなど Auditログは最大365日、サービスログは最大6カ月保持 Logging AnalyticsやObject Storageにログデータを移動することで永続的な保管が可能ログの分析やレポーティングは、操作性が高いLogging Analytics に集約して使用するのが効果的 Logging 49 Logging Auditing Object Storage VCN Flow Logs Auditログサービス・ログ etc Service Connector Hub Logging Analytics Copyright © 2023, Oracle and/or its affiliates

Auditログ OCIの全てのアクティビティログを記録するサービス • コンソール、CLI、SDKを含むすべてのAPIコールを自動的に記録 • 一部の例外を除く全サービスが対応 • コンソール、APIから閲覧・検索可能
• テナンシー単位で365日分保持 • 利用料は無料 • SR申請によりオブジェクト・ストレージに一括エクスポート設定も可能 • ロギング・サービスとの連携 • ロギング・サービスの仕組みを使って監査ログを検索、管理することも可能 • サービス・コネクタ・ハブを利用してログデータを他のサービスに連携 Logging 50 Copyright © 2023, Oracle and/or its affiliates

機械学習のテクノロジーを活用した高度なログ分析・サービス基盤 - 200種類以上のログに対応した事前定義済みパーサー - OCIやオンプレミスにある様々なOSやミドルウェアのログに対応 - 未サポートのログにはガイド付きカスタムパーサーで簡単作成直感的な操作で分析可能できるログ・エクスプローラー大量のログを高速にビジュアライズするクラスタ分析ログ・データの値に応じた自動ラベリング
様々な分析軸を保存したダッシュボードラベルやログ・データに応じたアラート通知アーカイブ機能によりTBを超えるログ保存のコストを削減 Loggingサービスとの連携しログ分析基盤として活用インストールした管理エージェントが、自動的にアップロード Logging Analytics 52 Logging Analytics Logging Compute Instance Service Connector Hub 管理エージェント連携 Syslog、セキュアログ Windowイベントログミドルウェア、アプリケーションログネットワーク、データベースログ etc.. Database System 他社クラウド管理エージェント連携管理エージェント連携サービス連携オンプレミス Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ログ・エクスプローラドラッグ&ドロップ、クリックなどの直感的な操作でログを検索、分析 Logging Analytics 53 検索クエリー GUI操作に連動して自動生成直接コマンド編集も可能フィールドログパーサーによって解析され
たフィールドと関連付いた値フィールドを用いたフィルタ処理や検索、複数のフィードを組み合わせたグループ化など柔軟な分析ができるビジュアライゼーション分析結果を様々な形式でグラフ化 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

機械学習を用いたログ分析「無視してよい大量のログ」「大切な一行のログ」を効率的に探索類似したパターンを持つログを自動的に認識しグルーピング膨大な量のログイベントを少量のパターン情報 (クラスタ)へと集約 - 例外的パターンや断続的に発生するイベントを素早く検知することで迅速なトラブルシューティングや、異常の検出を可能に Logging Analytics
54 クラスター: ログ・レコードのパターンを識別し、類似したパターンを持つログをグループ化潜在的な問題: Error, Fatal(致命的), Exception(例外) などのキーワードを含むログ・レコードのクラスタ外れ値: 特定の期間中に一度のみ発生し、クラスタに含まれなかったログ・レコードトレンド: クラスタのトレンド。類似した傾向を持つクラスタ同士をトレンドとして表示 Aug 18 11:00:57 Unable to create file ABC.txt for user root Aug 18 23:07:26 Unable to create file DEF.txt for user larry Aug 18 23:08:30 Unable to create file XYZ.ppt for user moe 上記ログエントリを、1つのパターンおよび1つの例外に集約 ID パターン件数 1 <Date> Unable to create file <File> for user <User> 1000 2 Aug 18 23:08:01 Succeeded authorizing right 'system.priv.admin' 1 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

クラスタ分析によるパターン検出例① Logging Analytics 55 テスト環境でアプリケーションからDBへの接続エラーのトラブルシュート中、同時間帯にリスナーログが大幅増加していることを確認クラスタリング結果から、接続要求自体は届いているものの、接続記述子に問題があることを即座に確認 Copyright
© 2024, Oracle and/or its affiliates. All rights reserved

ラベル Logging Analytics 56 ラベル機能 • 特定の値を持つログエントリに「ラベル」＝「わかりやすいキーワード」を付与 • 人間にわかりやすい言葉でログを検索することが可能事前定義済ラベル
• ラベルとラベル付与ルールを事前定義済で提供 • ユーザー自身がカスタムで作成することも可能 Tue Feb 14 22:24:23 2017 … Errors in file … (PDBNAME=CDB$ROOT): ORA-04031: unable to allocate 512 bytes of shared memory Exception in thread "Thread-4" java.lang.OutOfMemoryError: Java heap space at org.apache….. 「メモリエラー」 Oracle Database アラートログ WebLogic Server サーバーログラベルラベルの付与ラベルによる検索「メモリエラー」に関するログを教えて！ Copyright © 2024, Oracle and/or its affiliates. All rights reserved

事前定義済みのログ・パーサー 200を超える事前定義済みのログ・パーサーを提供例：Windowsイベント, Linux/Solaris等のOS関連ログ Oracle Database, MySQL, SQL Server等のDB関連ログ WebLogic
Server, Tomcat, JBoss, IIS等のAP関連ログ Palo Alto, Bluecoat,F5等のネットワーク機器関連ログ OCI Audit, VPN Flow Logなどクラウドサービス関連ログテキスト、XML、JSON、データベース表のログにも対応マルチライン対応事前定義済みのパーサーにない未対応のミドルウェアやアプリケーションのログには、ガイド付きパーサー・ビルダーで簡単に正規表現のパーサー作成が可能 Logging Analytics 57 フィールド分割の作業や場所の指定なしですぐに分析に取りかかることが可能ログ・パーサーログレコードの解析定義(正規表現) ログ・ソースログの場所やログに対する前処理の設定 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ガイド付きパーサー・ビルダー Logging Analytics 58 ①対象のログファイルの選択 ②サンプル・ログレコードの入力 ③ログレコードとフィールドの紐づけ ④生成された正規表現でサンプルログレコードのテスト実際のログからGUI操作で
解析定義を生成 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ログのアーカイブ・パージ Logging Analyticsの２つのストレージ領域 - アクティブ・ストレージ (デフォルト) - アーカイブ・ストレージアクティブに参照する必要のないログは、アーカイブストレージに移動し、ストレージコストを抑えることが可能
アーカイブは、アクティブストレージに30日以上経過し、 1TBを超えるデータが対象となるリコールにてデータをアーカイブからアクティブストレージにいつでも呼び戻すことも可能古いログは、パージによってログを削除パージ・ポリシーを設定することで、1カ月以上前のログや特定のシステムのログだけを削除するなど、定期的なログ削除のジョブを実行 Logging Analytics 59 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

検出ルールとアラート２種類の検出ルール - 検出したいログの検索クエリーをスケジュール化して定期的に実行(最小5分間隔)、結果をメトリックとして更新 - ログ取り込み時にラベルの有無をチェックし、結果をメトリックとして更新メトリックは、モニタリングの独自メトリックとして定義されるメトリックには、しきい値を設定したアラートの実行
- モニタリングのアラート機能を使用アラートの通知先には、通知サービスを使用したメール, Slack, SMS, Webhook, Functionsと連携したコードの自動実行など、しきい値を検知した際のアクションの設定が可能 OCI上のリソースが削除された内容のログを検索する検索クエリーを定期的に実行し、1件でも一致するログがあればアラームを受け取る Logging Analytics 60 OCI上のリソースが削除されたログを検索する検索クエリーを 5分毎に実行 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

脅威インテリジェンスと連携し高リスクのIPアドレスを検出 OCIの脅威インテリジェンス・サービスと連携しログ内に含まれているIPアドレスを評価しリスクを検出脅威データベースに該当する場合は、Threat IPのフィールドとして出力される脅威となるIPアドレスの主なタイプ -Bruteforce, Criminal, Botnets,
Sqlinjectionattack Mobilemalware, Banking, Targetedcrimewareなど IPアドレスは、脅威タイプと信頼度が定義されており常に最新の動向を反映したリストに保たれる Logging Analyticsには、IPアドレスからジオロケーションを抽出する機能があるが、その設定の一部としてチェックするだけ有効になるので設定も簡単機能を有効化した後のログからチェックが開始され既に格納されているログは対象外 Logging Analytics 61 Threat Intelligence Logging Analytics ログに含まれるIPアドレスを分析しThreat IPとして評価最新の脅威情報を同期 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ダッシュボードログ・エクスプローラーで検索した条件を保存し、一目でユーザーの参照したい画面をダッシュボードにして作成日付に応じた画面のリフレッシュ OCI AuditやVNC Flow Logsなどのビルドインされたダッシュボードの提供ログ・エクスプローラーの画面に遷移し、さらに詳細な
分析を行うことも可能ダッシュボードをクローンすることで、事前定義済みダッシュボードのカスタマイズダッシュボードの定義をエクスポートし、別のテナントにインポート可能 Logging Analytics 62 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

サービス価格 63 【Logging Analytics】サービス価格メトリック Logging Analytics: Active
Storage （最初の35Unitまで）※ ¥52,080 1Unit/月 Logging Analytics: Active Storage （36~103Unitまで） ¥36,456 1Unit/月 Logging Analytics: Active Storage （104Unit以降） ¥31,248 1Unit/月 Logging Analytics: Archive Storage ¥2.8 1Unit/時間 ※Logging, Logging Analyticsは、最初の10GBまで無償 LAは、11～300GBが1unit、以降 300GB単位で1Unit換算 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

脆弱な設定を防止するために、強固なセキュリティ・ポリシーが強制されたコンパートメントコンピュート・インスタンス、ネットワーク、ストレージ、データベースなどのリソースに対する 30を超えるポリシーがOracle管理で提供されるポリシーの一例: - セキュリティゾーン内のリソースを標準コンパートメントに移動することはできない - パブリック・アクセスに関するリソースはすべて作成できず、プライベート・サブネットのみ許可される - ストレージ・ボリュームはVaultによる暗号鍵管理が必要
- データベースのバックアップは必須、バックアップはセキュリティゾーン以外では使用できない - カスタム・イメージは作成できないすべてのポリシーを強制させる最大セキュリティ方式、ユーザー自身で必要なポリシーのみを選択する方式の２種類のSecurity Zonesが作成可能基本機能として無償セキュアに保護されたコンパートメント Security Zones VM Database Security Zones Admin 65 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Webアプリケーションの保護をクラウド型で提供するOCIのマネージドサービス OWASP Top10に代表される様々なサイバー攻撃のトラフィックを解析し、Webアプリケーションを保護 Webアプリケーションのプロキシとして動作し、多層的に不正なアクセスを検出・遮断 Oracle Cloudだけでなくオンプレミスや他クラウド上にあるWebアプリケーションも同等の保護が可能用途に合わせたGlobal WAFとRegional WAFの２種類のWAFをサポート Web
Application Firewall 67 WAF and Anti-Bot Protection クラウドベース Web APP オンプレミス Web APP Oracle Cloud Web APP 悪意のボットハッカーユーザー善良なボットスパムメールアクセス制御脅威インテリジェンスボット対策保護ルールすぐにデプロイできる俊敏性マネージドサービスによる設定・運用管理の容易性特定の国, URL IP, ユーザーエージェント等の制限最新の脅威情報を基に脆弱性をつく攻撃を防御悪意のボットをブロックさせるためのトラフィック行動分析サイバー攻撃を遮断する600を超えるルールおよびOWASP トップ10への対応専門チーム極度な状況の場合に動員される専門家 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Global WAF Webサーバー(オリジンサーバー)の前段にリバースプロキシとして配置実際のWAFリバースプロキシサーバーは、世界中の11拠点に展開するエッジPoPに分散配置 IPエニキャストによりクライアントに最も近いWAFにルーティングされ、フィルタリングされたトラフィックのみバックエンドに転送設定(WAFポリシー)はOCIのグローバルリソースとして一括管理、「反映」ボタンを押すと世界中のWAFにキャスト Web Application Firewallのグローバル・アーキテクチャ 68
Web Server 攻撃者攻撃者攻撃者リージョン内WAF Edge PoP Edge PoP OCI REGION VCN WAF Policy Internet Gateway Customer Premises Equipment 他クラウド / オンプレミスも保護可能 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Regional WAF VCN内のフレキシブル・ロード・バランサー（パブリック/プライベート）に対してWAF保護ポリシーを適用 - インターネット・アプリケーションだけではなく、VCN内部のプライベートなアクセスに対してもWAFでの保護が可能に DNSには、ロードバランサーのIPアドレスを登録することで、クライアントはWAFを経由したアクセスになる WAFのバックエンドサーバーとして保護できるのは、VNCインスタンスのみフレキシブル・ロード・バランサーに直接デプロイするWeb Application Firewall
69 OCI パブリック・サブネットプライベート・サブネット VCN DRG パブリック・ロード・バランサインターネット・ゲートウェイインスタンスインスタンスプライベート・ロード・バランサ WAFポリシー WAFポリシーオンプレミス保護保護インターネット Copyright © 2024, Oracle and/or its affiliates. All rights reserved

それぞれのWAFの特徴 70 Global WAF (エッジポリシー ) Regional WAF (WAF
ポリシー) 機能提供開始 2019年2月～ 2021年10月～特徴ドメインのDNSレコード更新を用いてフルスタックのWAF機能を使用できる OCI Flexible Load Balancerに直接デプロイし従来よりも簡単でシンプルな設定・構成対象アプリケーションすべてのパブリックのWEBアプリケーション OCIのVNC内のWEBアプリケーションのみアプリケーション・エンドポイントパブリックのみパブリック及びプライベートアクセス制御〇〇脅威インテリジェンス〇 × (予定) WAF保護ルール〇〇 BOT対策〇 × (予定) レート制限〇〇キャッシュ〇 × (予定) アクセス・ログ WAF Service内 Logging サービス連携ポリシーの反映 10分～1時間 10秒～1分グローバルなエッジPoPに展開する負荷分散型のGlobal WAFは、エッジポリシー Flexible Load Balancerに直接デプロイするOCIネイティブ型のRegional WAFは、WAFポリシーと呼ぶ Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ルールに基づいて悪意のあるトラフィックからアプリケーションを保護保護ルール (Protection Rules) 71 事前定義済ルールがサービスに同梱 • 現時点で600以上のルールが定義済 • 最新の脅威情報を元に随時アップデート
ユーザーがルールの適用可否をカスタマイズ • Block(ブロック)、Detect(検知のみ) 、Off(無効) • mod_security フォーマットによるカスタム・ルールの登録 AI機能による運用サポート • 一定期間のトラフィックを機械学習(ML)で自動的に分析し、推奨アクションを提示 (※エッジポリシーの場合) • OWASPの推奨事項などをタグでフィルタリングブロック時のアクション指定 • レスポンスコード • エラーページエッジポリシー WAFポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved

アクセス・ルール (Access Rules) トラフィック制御の条件に設定できるパラメータアクセス制御 (Access Control) 72 評価基準内容
備考 URL • URL is • URL is not • URL starts with • URL ends with • URL contains • URL regex URL正規表現マッチングはPerl互換の正規表現 IPアドレス • Client IP Address is • Client IP Address is not 地域 / 国 • Country is • Country is not APIには、2文字の国別コードを使用 UserAgent • User Agent is • User Agent is not HTTPヘッダ • HTTP Header contains 値は、コロンで区切った<name>：<value>で入力する必要があるエッジポリシー WAFポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved

状況に応じインテリジェントに判断してアプリケーションを保護するWAFの応用機能ボット管理 (Bot Management) 73 単純なルールでは判別不可能なBotを、複雑なロジックを用いアダプティブに判断して検知、ブロックを行う 5種類の保護をサポート • JavaScriptチャレンジ
• ヒューマン・インタラクション・チャレンジ • デバイスのフィンガープリント・チャレンジ • アクセス・レート制限 (API経由で設定可能) • CAPCHAチャレンジ良好なBotホワイトリスト機能で、サーチエンジンなどにも対応エッジポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved

エッジポリシーのアクセスログは、WAFサービス内で独自管理される WAFサービスのコンソール内に簡易的なログ表示機能ログの最大保持期間は7日間, SRリクエストでログを定期的にオブジェクト・ストレージにアーカイブさせるような設定が可能 WAFポリシーのアクセスログはLoggingサービスで管理される Loggingサービスが提供する簡易的なログ検索とグラフ機能ログの最大保持期間は6カ月 Service Connector
Hubで、ログをオブジェクト・ストレージや Logging Analyticsなどにアーカイブして長期保管が可能 74 エッジポリシー WAFポリシー Object Storage WAF ログファイルの保存 WAF Logging Service Connector Hub WAFのアクセス・ログ Logging Analytics Object Storage Logging Analytics Copyright © 2024, Oracle and/or its affiliates. All rights reserved

オブジェクト・ストレージに格納されるエッジポリシーのログや LoggingサービスからService Connector Hub経由で送信されたWAFポリシーのログをLogging Analyticsで分析 Logging Analyticsは、機械学習のテクノロジーを活用した高度なログ分析を提供 -
250種類以上のログに対応した事前定義済みパーサー - OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - ユーザー独自のアプリケーションや未サポートのログに対応するカスタム・パーサを簡単に手動作成異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析手法が可能ログデータに応じたアラート通知 Logging Analyticsを組み合わせたログのビジュアライズ 75 アクセス急増によるDDoS攻撃の検出アクセスログを包括的に監視するダッシュボード Copyright © 2024, Oracle and/or its affiliates. All rights reserved

価格 76 SKU メトリック単価 Web Application Firewall – Instance
1インスタンス ¥0 2インスタンスからは、1インスタンスごとに ¥700/月 Web Application Firewall - Requests 1000万リクエスト/月 ¥0 1000万リクエストからは、100万リクエストごとに ¥84/月 WAFの課金体系は、インスタンスとリクエストのメトリックで構成されるインスタンスは、WAFのポリシー、リクエストは実際にWAFが処理するHTTPリクエストを意味するひとつめのWAFポリシーで1000万リクエスト/月までは、無償として提供される Copyright © 2024, Oracle and/or its affiliates. All rights reserved

OCIネイティブの次世代ファイアーウォール Network Firewall 78 不正なトラフィックやマルウェアからOCIネットワークを保護するファイアーウォール・サービス Palo Alto Networksの最先端のテクノロジーを活用した脅威検出インテリジェンスを搭載高可用性を考慮したデプロイメントを数ステップで作成可能 -
8Gbps(デフォルト)から最大25Gbpまで拡張可能なネットワーク帯域 - Active-ActiveのHA構成、それぞれ別のADにデプロイ Oracleマネージドで提供されるメンテナンスフリーの脅威検出シグネチャユーザー要件に応じた様々なファイアーウォール・ポリシーの作成インターネット、閉域網、OCIリージョン間など様々なネットワーク構成に適用が可能主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づくアクセス制御 - URLフィルタリング: ドメインやURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 最新の脅威インテリジェンスで不正なトラフィックを検出し遮断 - SSLインスペクション: クライアントとサーバー間のHTTPS通信を復号しトラフィックを検査 Network Firewall ✓ ステートフル・ネットワーク・フィルタリング ✓ URLフィルタリング ✓ 不正侵入検知・防止 (IPS/IDS) ✓ SSLインスペクション ✓ ✕ Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ステートフル・ネットワーク・フィルタリング送信元および宛先のIPアドレス、ポート、プロトコルに基づいてトラフィックを許可または拒否するポリシーに使用できるルール要素 - 送信元IPアドレス (IPv4/IPv6) - 送信元ポート番号 -
宛先IPアドレス - 宛先ポート番号 (IPv4/IPv6) - プロトコル例) SSH: TCP/22, HTTPS: TCP/443 範囲指定: TCP/5901-5910 デフォルトの動作を下記選択することが可能 - ホワイトリスト: デフォルト拒否、許可するルールを指定 - ブラックリスト: デフォルト許可、拒否するルールを指定 VCNのセキュリティリスト、セキュリティグループとは共存 79 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

インバウンドおよびアウトバウンドのHTTP/HTTPSトラフィックを FQDNやワイルドカードを用いたURL指定などで制限ファイアウォール・ポリシーのルール要素として使用することができ条件に合致したURLへの接続を許可・拒否する URL例) *.example.com - www.docs.example.comや www.example.com.uaはマッチする *.example.com/
- www.docs.example.comはマッチするが www.example.com.uaはマッチしない mail.^.com - mail.example.com はマッチするが mail.example.sso.comはマッチしない 80 URLフィルタリング Copyright © 2024, Oracle and/or its affiliates. All rights reserved

不正侵入検知・防止(IDS・IPS) 81 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築されたIDS・IPSソリューション最新の脅威シグネチャと検知メカニズムで脅威を識別既知の脆弱性の悪用、マルウェア、悪意のあるURL、スパイウェア、C&C攻撃に対する検知やブロックを行う App-IDテクノロジーを使用してアプリケーション層に対する
不正アクセスから正確に保護 - App-IDは、ポート、プロトコル、暗号化または回避技術に関係なくアプリケーションを正確に識別するPalo Alto独自のトラフィック分類テクノロジー IDS(不正侵入検知)は、脅威を検出しログ出力のみ IPS(不正侵入防止)は、検知だけでなくトラフィックを切断する Copyright © 2024, Oracle and/or its affiliates. All rights reserved

TLSで暗号化されたHTTPS通信をNetwork Firewallが復号し、本来は暗号化されて可視化できない通信内容に対する検査が可能に 2つのSSL復号方式をサポート - SSLフォワード・プロキシ - SSLインバウンド・インスペクション暗号化・復号に使用なシークレット情報(秘密鍵と証明書)は
OCI Vaultでセキュアに管理 SSL証明書やSSL暗号プロトコルの検証も実施復号後のトラフィック検査には、侵入検知・防止の脅威分析エンジンにより、マルウェアや不正なアクテビティを検出・遮断 82 SSLインスペクション Copyright © 2024, Oracle and/or its affiliates. All rights reserved

IDS・IPSルールで不正なトラフィックを検出・遮断 83 VCN Firewall Subnet Subnet Instance Network Firewall Internet
Subnet Instance Database インターネットや専用線との境界にNetwork Firewallを配置し、VNC内のリソースをサイバー攻撃から保護する同様にマルウェア感染等よるVNC内部からの外向きの不正なアクセスを未然に防止する VCN Firewall Subnet Subnet Instance Network Firewall Instance Subnet Database VCN Firewall Subnet Network Firewall VNC内のサブネット間やVCN間の通信の保護を目的とした構成など、Network Firewallの配置位置によって対象のリソースを限定することもできる VCN内の疑わしいアクティビティの監視や情報漏洩対策としても有用 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

インターネットアクセスを監視する基本的な設定例 84 VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet Gateway Secure
Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ ：インバウンド：アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Network Firewallログのサービス連携 85 Service Connector Hubから直接Logging Analyticsにデータ連携し、詳細なログ分析が可能 Logging Analyticsは、機械学習のテクノロジーを活用した横断的なログ分析やダッシュボードを提供 -
OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - 異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析 - ログデータに応じたアラート通知 (Notificationサービス連携) Logging Service Connector Hub Logging Analytics JSON形式の TrafficとThreatログ Network Firewall ログの出力管理 Loggingのログを Logging Analyticに直接転送する可読性の高いログのビジュアライズとダッシュボードによる網羅的なログ分析 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

検出された不正トラフィック例 86 Network Firewallが検知した1週間の不正トラフィックどこの国からのアクセスか？不正トラフィックのカテゴリと比率 Network Firewallが判別した不正トラフィックの種類 ※これらの画面はLogging Analyticsのものです

Network Firewallの課金体系は、Firewall InstanceとData processingの２種類インスタンスの課金はアクティブなインスタンスの数に基づいており、データ処理の課金はインスタンスによって処理されるトラフィック量を対象とする価格 87 SKU PAYG（Pay
As You Go rate） Oracle Cloud Infrastructure - Network Firewall Instance ¥385/時 Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.4/GB （1ヶ月あたり10TBまで無料） Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ユーザーの暗号鍵・シークレットをセキュアに集中管理 OCIの各ストレージサービスはデフォルト暗号化 Vaultを利用することにより、暗号鍵の管理をデフォルトのOracle管理からユーザー自身で管理することが可能 • 対応する暗号鍵: AES, RSA, ECDSA •
暗号鍵の作成・削除・ローテーション、バージョン管理、モニタリング • OCIサービスの各サービスとシームレスに連携 • 鍵のインポート (BYOK)も可能 • バックアップ、クロスリージョン・レプリケーションによるDR対応 ※Virtual Private Vaultのみ FIPS 140-2 Security Level 3 に準拠したHSMを利用 2種類の格納先 • Default Vault : 共有パーティション内で仮想的にユーザーのVaultを提供 • Virtual Private Vault : ユーザー専用に完全分離された専用パーティションとして提供シークレット (パスワード、証明書、SSHキー、認証トークン)なども格納可能 Default Vaultは、10Vault、1テナントあたり最大20暗号キーまで無償 Vault 89 Key A Key B 暗号化暗号化 Secret A コードユーザー Block Storage Object Storage File Storage Database Vault Copyright © 2024, Oracle and/or its affiliates. All rights reserved

マスター暗号鍵の格納場所 Vault 90 Native OCI Storage Database Data Key1 TDE
Data Key マスター暗号鍵 Secrets Encrypts/ Decrypts Encrypts/ Decrypts Protected HSM • FIPS140-2 Level 3に準拠したHSMに格納 • 暗号化・復号はHSM内で処理実行される • マスター暗号鍵をエクスポートすることはできない • Default Vault (共有HSMパーティション) • 各テナントで共有され、トランザクションを最適化 • 無償、10Vaultまで、 1Vaultあたり最大100キー • Virtual Private Vault (専用HSMパーティション) • 高い独立性と高速なトランザクションを保証(3K-5K) • 有償、1Vaultあたり最大1000キーの格納を保証 • バックアップ、クロスリージョン・レプリケーションのサポートソフトウェア • サーバー内に暗号化され保管 • 暗号化・復号はサーバーメモリ内で処理実行される • マスター暗号鍵をエクスポートできる • 無償、キーの制限なし Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ユース・ケース Vault 91 暗号鍵シークレット • コンプライアンス要件上、データ暗号化の暗号鍵の管理をサービスベンダーでなく、ユーザー自身で管理することが必須、または推奨されている •
コンプライアンス要件上、定期的な暗号鍵の変更が求められている • コンプライアンス要件上、暗号鍵はHSMに格納することを推奨事項として明記されている • HSMの利用の場合、FIPS140-2 Level3準拠することが金融や公共・ヘルスケアといったシステムではデファクトスタンダートとして求められる • データの暗号化やデジタル署名のクラウド基盤 • バッチやアプリケーション内でデータベースのユーザー名・パスワード、接続文字列といった接続情報を直接ハードコーディングすることを禁止したい • クラウドリソースのユーザー名やパスワード、 SSHキーなどをメールやチャットツールなどで気軽に共有してしまう運用を辞めたい • Terraformやコンテナ等のインフラの自動化管理ジョブの中にできる限り機微な情報を含めたくない • だれが、いつ、どこからシークレットにアクセスしたのか、特定するための監視手段が必要 • シークレットの有効期限を設定したい Copyright © 2024, Oracle and/or its affiliates. All rights reserved

価格 Vault 92 暗号鍵シークレット Default Vault デフォルト共有パーティションとして提供 10Vaultまで使用可
テナントあたり20キー・バージョンまで無償、以降1キー・バージョンごとに(¥74) ※新規キー作成は、1キー・バージョンとしてカウントキーのローテーションは、1キー・バージョンとしてカウント Virtual Private Vault HSM内にユーザー専用のパーティションを提供し、仮想HSM と同等の分離レベルを提供 1 Vaultあたり最大 3000キーまで格納可能 1 Vaultあたり: (¥521/hour) ※上記のVaultではなく、ソフトウェア保護キーの場合は制限なく無償無償 5,000 シークレット 1シークレット最大50バージョン 1シークレット最大25KB 100000 Write APIコール/月無制限 Read APIコール/月 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

OCI Security サービス 概要

OCI Security サービス 概要

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript

OCI Security サービス概要

OCI Security サービス概要