【Oracle Cloud ウェビナー】エンタープライズに求められるクラウドセキュリティの現実解 ～ ISMAP から読みとくセキュリティのCIA

Transcript

1. エンタープライズに求められるクラウドセキュリティの現実解 ～ ISMAP から読みとくセキュリティのCIA Oracle Cloud ウェビナー 日本オラクル株式会社 事業戦略統括 事業開発本部

   大澤 清吾 事業戦略統括 事業開発本部 クラウド・プログラム推進室 下道 高志

2. 1. エンタープライズセキュリティに求められること 2. ISMAPの概要 3. クラウド事業者としてのオラクルの取り組み 4. クラウドセキュリティ対策の勘所 (お客様責任) 本日お話しさせて頂く内容

   Copyright © 2023, Oracle and/or its affiliates 2

3. 1. エンタープライズセキュリティに求められること 2. ISMAPの概要 3. クラウド事業者としてのオラクルの取り組み 4. クラウドセキュリティ対策の勘所 (お客様責任) 本日お話しさせて頂く内容

   Copyright © 2023, Oracle and/or its affiliates 3

4. Copyright © 2023, Oracle and/or its affiliates 4 クラウドセキュリティ基準

5. クラウドに関連したさまざまなセキュリティ基準 Copyright © 2023, Oracle and/or its affiliates 5 •

   ISO27001(27017+27018) • SOC1/SOC2/SOC3 • HIPAA • PCI-DSS • FedRAMP(NIST SP800-53) • Cyber Essentials Plus • CJIS, MARS-E • EU Cloud CoC(Code of Conduct) • Cyber Essentials • ENS • HDS • UAE ADISS • ISMAP • 3省ガイドライン • FISC安全対策基準 • 政府統一基準 世界標準(基準)・業界標準 米国標準 欧州独自標準 日本独自標準

6. Copyright © 2023, Oracle and/or its affiliates 6 セキュリティ？ サイバーセキュリティ？

   情報セキュリティ？

7. サイバーセキュリティ v.s. 情報セキュリティ Copyright © 2023, Oracle and/or its affiliates

   7 情報セキュリティ サイバーセキュリティ 物理重視 デジタル重視 対策重視 マネジメント 重視 ISO27001 CISベンチマーク ISO27018 ISO27014 ISO27017 NIST CSF NIST SP 800-171 NIST SP 800-53

8. Copyright © 2023, Oracle and/or its affiliates 8 情報セキュリティは CIA

9. CIAは情報セキュリティの考え方の普遍的なベース Copyright © 2023, Oracle and/or its affiliates 9 Confidentiality

   (機密性) Integrity (完全性) Availability (可用性) 資産の正確さ及び完全さを保護する特性 データの改ざん・破壊、システム停止 許可されていない個人、エンティティ又はプロセスに 対して、情報を使用不可又は非公開にする特性 情報漏えい、不正アクセス 認可されたエンティティが要求したときに、 アクセス及び使用が可能である特性 システム停止、データ喪失

10. ISO 27000 (ISO/IEC 27000:2018) でのInformation Securityの定義 Copyright © 2023, Oracle

    and/or its affiliates 10 https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en

11. Copyright © 2023, Oracle and/or its affiliates 11 これらを鑑みると エンタプライズ・セキュリティは

12. エンタープライズセキュリティ vs. 情報セキュリティ vs. サイバーセキュリティ Copyright © 2023, Oracle and/or

    its affiliates 12 エンタープライズ セキュリティ 情報 セキュリティ サイバー セキュリティ = > “エンタープライズセキュリティ“は”情報セキュリティ”のことを指すと考えるべき

13. Copyright © 2023, Oracle and/or its affiliates 13 エンタープライズセキュリティは 情報セキュリティの尺度で捉えるべき

14. Copyright © 2023, Oracle and/or its affiliates 14 最近話題の重要インフラ

15. Copyright © 2023, Oracle and/or its affiliates 15 https://www.nikkei.com/article/DGXZQOUC1347Q0T10C23A7000000/ 話題の重要インフラ

    https://www.nikkei.com/article/DGXZQOUA09CKV0Z00C23A8000000/

16. 重要インフラとは？ Copyright © 2023, Oracle and/or its affiliates 16 NISC

    “重要インフラのサイバーセキュリティに係る行動計画の概要”

17. 重要インフラにおける制度運用指針（案）の検討状況が公開 Copyright © 2023, Oracle and/or its affiliates 17 特定社会基盤役務の安定的な提供の確保に関する制度の運用開始に向けた検討状況について

18. 重要インフラのクラウドセキュリティはISMAPが基本 Copyright © 2023, Oracle and/or its affiliates 18 特定社会基盤役務の安定的な提供の確保に関する制度の運用開始に向けた検討状況について

19. Copyright © 2023, Oracle and/or its affiliates 19 重要インフラのクラウドサービスは ISMAP対応が必要らしい・・・

    サイバーセキュリティだけでなく 物理、人的セキュリティなども・・・・

20. Copyright © 2023, Oracle and/or its affiliates 20 民間企業であっても情報セキュリティの 強化が求められます。

21. Copyright © 2023, Oracle and/or its affiliates 21 情報セキュリティは CIA

22. 1. エンタープライズセキュリティに求められること 2. ISMAPの概要 3. クラウド事業者としてのオラクルの取り組み 4. クラウドセキュリティ対策の勘所 (お客様責任) 本日お話しさせて頂く内容

    Copyright © 2023, Oracle and/or its affiliates 22

23. 時代はAIだが ISMAPは必須 Copyright © 2023, Oracle and/or its affiliates 23

    https://www.itmedia.co.jp/news/articles/2307/28/news109.html 他

24. Copyright © 2023, Oracle and/or its affiliates 24 ISMAPとは？

25. 日本語名 政府情報システムのためのセキュリティ評価制度 英語名 Information system Security Management and Assessment Program

    通称 ISMAP(イスマップ) ISMAPとは？ Copyright © 2023, Oracle and/or its affiliates 25

26. なぜISMAP？ Copyright © 2023, Oracle and/or its affiliates 26 2018年6月より、政府調達においてクラウド・バイ・デフォルト原則を採用

    政府情報システムにクラウドサービスが選定されるためには、 ISMAPクラウドサービスリストへの登録が事実上必須 政府情報システムは、クラウドサービスの利用を第一候補として、その検討を行う方針となった

27. Copyright © 2023, Oracle and/or its affiliates 27 政府情報システムのためのセキュリティ評価制度（ISMAP）について（内閣官房・総務省・経済産業省）

28. 制度の目指す姿 Copyright © 2023, Oracle and/or its affiliates 28 •

    評価済みであれば、一定のセキュリティ基準を充足可能 • 各省は追加要件のみを指定 • 提案者としては同じ要件について、一度の評価に共通化 統一的なセキュリティ基準を明確化し、実効性・効率性のあるクラウドの セキュリティ評価制度を検討 政府情報システムのためのセキュリティ評価制度（ISMAP）について（内閣官房・総務省・経済産業省） 府省庁毎に異なっていたクラウドセキュ リティ基準が統一化され省力化期待 府省庁毎のセキュリティ対応の負荷 が軽減されると期待 将来的に重要インフラにも適用？ 調達（利用者）側のメリット クラウドベンダー側のメリット

29. Copyright © 2023, Oracle and/or its affiliates 29 政府情報システムのためのセキュリティ評価制度（ISMAP）について（内閣官房・総務省・経済産業省）

30. リスクの小さな業務向けSaaSサービスを対象としたISMAP-LIUが追加運用開始 Copyright © 2023, Oracle and/or its affiliates 30 https://www.meti.go.jp/press/2022/11/20221101002/20221101002.html

31. Copyright © 2023, Oracle and/or its affiliates 31 ISMAP登録には ISMAP管理基準（セキュリティ基準）

    対応と監査が必要

32. ISMAP監査対象の「約1200項目のセキュリティ基準」とは Copyright © 2023, Oracle and/or its affiliates 32 以下の3つの基準で確認され、下の表のような項目が約1,200存在

    ガバナンス基準 :経営陣による意思決定や指示等の継続的な実施 マネジメント基準:管理者の的確なマネジメント 管理策基準 :業務実施者のセキュリティ対策の実施 政府情報システムのためのセキュリティ評価制度（ISMAP）について（内閣官房・総務省・経済産業省） 主にISO27014 主にISO27002/ 27017/27018

33. ISMAP監査の実際（1） Copyright © 2023, Oracle and/or its affiliates クラウドサービスの対応状況を整理 •

    ISMAPセキュリティ基準、約1,200項目を確認 • 採用した管理策をリスト化した詳細管理策を作成 • エビデンスとなるドキュメントの紐付けを実施 監査人による詳細管理策 実施状況チェック • 監査人からの質疑対応 • 要求された追加ドキュメントの収集、提示 • 技術的な項目としてログやソースコードの収集、提示 • [運用状況監査] • 実際のエビデンスの母集団を作成、サンプリングに より抽出されたエビデンスの確認を（監査機関 が）行う • クラウド環境への実際のアクセスログ • H/W, S/W資産の配備・廃棄状況 • etc 詳細管理策 ポリシードキュメント ・・・・・・ ・・・・・・ ・・・・・・ 登録ISMAP監査機関により1.質問、2.閲覧、3.観察の技法で監査 データセンターの現地監査(観察)だけが監査ではありません。 33

34. ISMAP監査の実際（2） Copyright © 2023, Oracle and/or its affiliates 34 本社人事へのインタビューを実施

    • 雇用契約や社員教育、リスクマネジメントなど について、本社人事とのインタビューを実施 データセンター観察 • データセンター責任者へのインタビューにて、デー タセンターに関わる詳細管理策の実現方式につ いて説明 • データセンターサプライヤーを含め、監査人をアテ ンドし現地監査を実施 • 入退室における認証装置の確認 • 二重化電源の稼働状況の確認 • データセンター敷地への不正侵入防止措置 の確認 • etc.

35. 毎年継続されるISMAPクラウドサービスリスト登録更新への流れ Copyright © 2023, Oracle and/or its affiliates 35 監査準備

    監査 登録申請 審査 登録（更新） クラウドベンダーの作業 監査機関の作業 IPA審査登録 半年以上の作業 2-3ヶ月以上

36. Copyright © 2023, Oracle and/or its affiliates 36 よくいただく質問： 「ISMAP対応作業の何が大変ですか？」

37. 対応すべき管理策の多さと監査 • 約1200の管理策に対して採用・非採用に関わらず何かしら対応が必須 • 管理策が広範囲のため、システム開発運用部門のみならず、契約関連部署・人事・役員等からさまざまな部 門および役職者の協力が必須 • いわゆるリスクベース監査ではなく、ISMAP管理基準が想定する管理策に対して、準拠しているかが監査され る（非公開のISMAP監査手続きに沿って監査が実施される） •

    整備状況だけでなく運用状況監査も必要 • 母集団を作成し、サンプリング、エビデンスの確認（質問・閲覧・観察）が行われる • （例）第２第3四半期のOOへのすべてのアクセスログの母集団を作成し、当該母集団からN個無作為抽出し、閲覧確認を行う 継続性 • 毎年監査が必要 • 監査費用が・・・ ISMAP対応作業の何が大変か？ Copyright © 2023, Oracle and/or its affiliates 37

38. 対応すべき管理策の多さと監査 • 約1200の管理策に対して採用・非採用に関わらず何かしら対応が必須 • 管理策が広範囲のため、システム開発運用部門のみならず、契約関連部署・人事・役員等からさまざまな部 門および役職者の協力が必須 • いわゆるリスクベース監査ではなく、ISMAP管理基準が想定する管理策に対して、準拠しているかが監査され る（非公開のISMAP監査手続きに沿って監査が実施される） •

    整備状況だけでなく運用状況監査も必要 • 母集団を作成し、サンプリング、エビデンスの確認（質問・閲覧・観察）が行われる • （例）第２第3四半期のOOへのすべてのアクセスログの母集団を作成し、当該母集団からN個無作為抽出し、閲覧確認を行う 継続性 • 毎年監査が必要 • 監査費用が・・・ ISMAP対応作業の何が大変か？ Copyright © 2023, Oracle and/or its affiliates 38 ISMAP登録クラウドサービスプロバイダーは、非常に広範囲かつ詳細なセキュリティ基準に 対応し、第三者である監査機関によってセキュリティ対策の有効性が確認されている

39. Copyright © 2023, Oracle and/or its affiliates 39 OCIのISMAP対応

40. Copyright © 2023, Oracle and/or its affiliates 40 https://www.oracle.com/jp/cloud/compliance/ismap/

41. OCI のAIサービス Copyright © 2023, Oracle and/or its affiliates 41

    https://www.oracle.com/jp/artificial-intelligence/ai-services/

42. 5つのAIサービスはISMAP登録済です！！ Copyright © 2023, Oracle and/or its affiliates 42 ISMAPクラウドサービスリストにおける

    OCIの言明書を確認ください！ (Oracle Cloud Infrastructure_言明対象範囲.pdf)

43. 「OCIはセキュアなクラウドサービス」はISMAP登録で証明 Copyright © 2023, Oracle and/or its affiliates 43 •

    ISMAP登録されたOCIの各サービスを安心して利用可能 • 登録されたセキュリティサービスを組み合わせることにより、顧客がシステムを 安心して構築可能 • 登録されたリージョンを使用して災害対策構成(DR)を安心して構築可能 CIAを完備したセキュアなエンタープライズシステム をOCI上に構築可能

44. • OCI上に、アプリケーションシステムや、 SaaS/PaaS等のクラウドサービスをセ キュアに構築可能 • データセンタの設備、通信、運用等、クラ ウド・インフラの安全性は確保されている • 「日本国政府お墨付きのクラウドサービス」 •

    OCI上に構築されるシステムは、OCIと はセキュリティ統制範囲が異なるため、 個別にISMAP登録が必要 政府レベルのセキュリティインフラを達成したISMAP登録OCI Copyright © 2023, Oracle and/or its affiliates 44 OCI App System SaaS ISMAP登録対象範囲

45. 1. エンタープライズセキュリティに求められること 2. ISMAPの概要 3. クラウド事業者としてのオラクルの取り組み 4. クラウドセキュリティ対策の勘所 (お客様責任) 本日お話しさせて頂く内容

    Copyright © 2023, Oracle and/or its affiliates 45

46. Copyright © 2023, Oracle and/or its affiliates 46 Oracle Cloudの

    コンプライアンス対応状況

47. Oracle Cloudのコンプライアンス対応 Copyright © 2023, Oracle and/or its affiliates 47

    https://www.oracle.com/corporate/cloud-compliance/

48. ISMAP、FISC対応、NISC政府統一基準、3省ガイドライン等対応も記載 Copyright © 2023, Oracle and/or its affiliates 48 https://www.oracle.com/corporate/cloud-compliance/

49. Copyright © 2023, Oracle and/or its affiliates 49 「企業」としての オラクルの情報セキュリティ

    への取り組み

50. オラクルの企業セキュリティ慣行（セキュリティ・プラクティス） Copyright © 2023, Oracle and/or its affiliates 50 https://www.oracle.com/jp/corporate/security-practices/

51. Oracle Cloud Security Practice Copyright © 2023, Oracle and/or its

    affiliates 51 https://www.oracle.com/jp/corporate/security-practices/cloud/ • Consensus Assessment Initiative Questionnaire（CAIQ）for Oracle Cloud Infrastructure • CSA規定のセキュリティ基準への回答。技術的な内容が多い • Oracle Cloud Infrastructure（OCI）アーキテクチャの概要 • OCIのセキュリティ実装の概要を記載 • Oracle Cloud Infrastructureのプライバシー機能 • 各国のプライバシー法制、個人上保護法制、GDPR等への対応の概要

52. 企業セキュリティ慣行（Corporate Security Program)からドリルダ ウンして企業としてのオラクルのセキュリティ対策の情報の取得が可能 Copyright © 2023, Oracle and/or its

    affiliates 52 https://www.oracle.com/corporate/security-practices/corporate/

53. データーセンターのセキュリティ基準も確認できます！ Copyright © 2023, Oracle and/or its affiliates 53 https://www.oracle.com/corporate/suppliers.html

54. Copyright © 2023, Oracle and/or its affiliates 54 セキュリティ・プラクティス等の ドキュメントから見出せる

    OCIのセキュリティ対策

55. 多層のアプローチを採用 • ANSI/TIA-942-A Tier3/Tier4 以上のデータセンター施設 • 冗長化された電源と外部ネットワーク接続 • 建物は、耐久性を重視した鋼鉄とコンクリート、または 同等の資材で建設

    • サイトには、警備員が常駐。 24時間365日体制でインシデントに対応 • サイトの外側には侵入防止柵を設置し、警備員、監視カメラによる常時監視 • 常駐の警備員による入室時のセキュリティチェック • 身分証明バッジの常時携帯着用 • サーバー・ルーム全体をカバーするカメラ群による監視 • 2要素認証アクセス制御や侵入検知メカニズムによる厳重なアクセス管理 • 最小アクセス権の原則により承認、必要な時間だけ入室を許可 • アクセス状況の監査と定期的なレビュー データ・センターの物理セキュリティ対策 Copyright © 2023, Oracle and/or its affiliates 55

56. 従業員の雇用 • 全従業員の犯罪歴チェック（雇用前のバックグラウンドチェック）等、 法律で認められた範囲の雇用前スクリーニングの実施 • 業績評価プロセスによりセキュリティ標準に関する従業員のパフォーマ ンスを可視化 トレーニング (定期的に実施) •

    全従業員に対してセキュリティ/プライバシー基本トレーニング受講の 義務化 • 最新のセキュリ ティ技術、エクスプロイト、方法論等の専門トレーニン グの実施 • 雇用後の継続的な従業員教育 パーソナル・セキュリティ（人的セキュリティ） Copyright © 2023, Oracle and/or its affiliates 56

57. ネットワーク上のデータの保護 • 転送中のデータを暗号化し保護することによる中間者攻撃対策 • 電子署名によるお客様のサービス・コマンドの改ざん防止対策 サイバー攻撃対策 • 最先端のツールとメカニズムによるDDoS対策 • IDS(Intrusion

    Detection System)不正侵入検知 • 検知システム構成は24時間毎に更新 • アンチウィルス・ソフトウェア/脆弱性スキャン • セキュリティ・ログとモニタリング ネットワーク セキュリティ対策 Copyright © 2023, Oracle and/or its affiliates 57

58. Oracle Software Security Assurance(OSSA) OSSAとは • オラクル クラウド製品/サービスを含む、製品の設計、構築、テスト、保守に セキュリティを組み込むオラクルの方法論 •

    製品開発ライフサイクルのあらゆる段階を網羅 • 製品開発におけるセキュリティ・リーダの設置 • 暗号レビューボードの運営 OSSAの目的 • セキュリティ・イノベーションを促進 • あらゆるオラクル製品においてセキュリティ上の脆弱性の発生件数を低減 • リリースした製品に含まれるセキュリティ上の脆弱性がお客様に及ぼす影響 を低減 オラクル・ソフトウェア・セキュリティ保証 Copyright © 2023, Oracle and/or its affiliates 58

59. Copyright © 2023, Oracle and/or its affiliates 59 オラクルでは、安全安心なクラウドサービス を提供するために、企業として、さまざまなセ

    キュリティ対策を施しています。 詳細は既出のドキュメントをご覧ください。

60. 1. エンタープライズセキュリティに求めらえること 2. ISMAPの概要 3. クラウド事業者としてのオラクルの取り組み 4. クラウドセキュリティ対策の勘所 (お客様責任) 本日お話しさせて頂く内容

    Copyright © 2023, Oracle and/or its affiliates 60

61. OS アプリケーション セキュリティ統制を実現 オラクル クラウドの共同セキュリティ・モデル Copyright © 2023, Oracle and/or

    its affiliates 61 対象クラウド クラウド種別 サービス形態 責任範囲 Oracle Cloud パブリッククラウド IaaS PaaS SaaS データセンター設備 物理サーバー・ネットワーク ミドルウェア アプリケーション データ データセンター設備 物理サーバー・ネットワーク ミドルウェア OS アプリケーション データ データセンター設備 物理サーバー・ネットワーク OS ミドルウェア データ セキュリティ対策例 物理環境セキュリティ 人的セキュリティ ネットワーク・セキュリティ 監視 OSの構成 セキュリティ・パッチ アクセス制御 脆弱性対策 データの分類/保護 ：お客様責任範囲 ：Oracle責任範囲

62. OS アプリケーション セキュリティ統制を実現 オラクル クラウドの共同セキュリティ・モデル Copyright © 2023, Oracle and/or

    its affiliates 62 対象クラウド クラウド種別 サービス形態 責任範囲 Oracle Cloud パブリッククラウド IaaS PaaS SaaS データセンター設備 物理サーバー・ネットワーク ミドルウェア アプリケーション データ データセンター設備 物理サーバー・ネットワーク ミドルウェア OS アプリケーション データ データセンター設備 物理サーバー・ネットワーク OS ミドルウェア データ セキュリティ対策例 物理環境セキュリティ 人的セキュリティ ネットワーク・セキュリティ 監視 OSの構成 セキュリティ・パッチ アクセス制御 脆弱性対策 データの分類/保護 ：お客様責任範囲 ：Oracle責任範囲 お客様側でツールの活用や セキュリティ構成の管理を実施 SECURITY ON THE CLOUD Oracle が力を入れて 取り組んでいるところ SECURITY OF THE CLOUD オラクルはセキュアなクラウド・インフラ とサービスを提供

63. セキュリティの考え方 CIAのセキュリティの考え方とオラクルの取り組み Copyright © 2023, Oracle and/or its affiliates 63

    Confidentiality (機密性) Integrity (完全性) Availability (可用性) オラクルのサイバーレジリエンスへの取り組み データの改ざん・ 破壊への対策 システム停止へ の対策 高可用性ベストプラクティスを提供 (Maximum Availability Architecture) 目標復旧時点を限りなくゼロにできる (Backup and Recovery) 情報漏洩・不正 アクセスへの対策 データ層でデフォルト暗号化、権限分掌 (Maximum Security Architecture)

64. “当社が重要なシステムに対し、Oracle Data Safeの採用を決めた理由は、データが我々にとって最も 重要な資産であると考えているからである。” Emil Podwysocki, Head of the Laboratory

    of Databases and Business Analytics Systems, National Information Processing Institute セキュリティリスクを自動的 に検知・修復します 設定ミス、ポリシー違反、疑 わしい挙動、他を持続的に 検査します セキュリティに関する問題を 自動的に修復、もしくはお客 様の確認後に修復します データベースとデータを自律的 に保護します 停止時間を要さず、自動的にセキュ リティパッチを適用します データベースの設定やデータ種別を 精査し、修正・改善を提案します ランサムウェアに対する 耐性を高めます ファイルを不可視化し、盗難 を防止します。 完全性が担保されたリアルタ イムバックアップにより、感染 直前までのリカバリーを可能 にします。 網羅的なセキュリティ機能を 基本機能として提供します セキュリティに関する初期設定が セットアップ時における人的ミスを 抑制します 全てのデータは保存時、転送時に おいて必ず暗号化されます OCIは強固にお客様データを保護し、事業継続リスクを最小化します 軍用レベルのセキュリティ技術が情報漏洩リスクを最小化します Copyright © 2023, Oracle and/or its affiliates 64

65. セキュリティの考え方 CIAのセキュリティの考え方とオラクルの取り組み Copyright © 2023, Oracle and/or its affiliates 65

    Confidentiality (機密性) Integrity (完全性) Availability (可用性) オラクルのサイバーレジリエンスへの取り組み データの改ざん・ 破壊への対策 システム停止へ の対策 高可用性ベストプラクティスを提供 (Maximum Availability Architecture) 目標復旧時点を限りなくゼロにできる (Backup and Recovery) 情報漏洩・不正 アクセスへの対策 データ層でデフォルト暗号化、権限分掌 (Maximum Security Architecture)

66. ランサムウェアへの耐性を究極に高める フルマネージド型データ保護サービス Zero Data Loss Recovery Appliance ランサムウェアに対する耐性を高めます • ファイルを不可視化し、盗難を防止

    • リアルタイムバックアップにより、感染直前までのリカバリーを可能 • 完全性が担保されたバックアップにより、確実に復旧可能 バックアップにおける、本番環境への影響を極小化します • 週次フル・バックアップは不要- 本番データベースのオーバーヘッドを排除 • 永久に増分戦略でバックアップ期間を短縮 • すべてのバックアップに対する影響のないデータベース・リカバリ検証 隔離保存など更なるデータ保護要件に柔軟に対応 • ネットワークに隔離保存により災害・サイト障害への対応が可能 • さらに、テープやクラウドのストレージに保管も可能 • お客様サイトで管理するためコンプライアンスに対応可能 Copyright © 2023, Oracle and/or its affiliates 66

67. セキュリティの考え方 CIAのセキュリティの考え方とオラクルの取り組み Copyright © 2023, Oracle and/or its affiliates 67

    Confidentiality (機密性) Integrity (完全性) Availability (可用性) オラクルのサイバーレジリエンスへの取り組み データの改ざん・ 破壊への対策 システム停止へ の対策 高可用性ベストプラクティスを提供 (Maximum Availability Architecture) 目標復旧時点を限りなくゼロにできる (Backup and Recovery) 情報漏洩・不正 アクセスへの対策 データ層でデフォルト暗号化、権限分掌 (Maximum Security Architecture)

68. 米国国防のセキュリティ基準を制定しているNSA(National Security Agency)では、 2003年にNet-Centric Data Strategyという文書の中でデータの状態を3つに分類 • Data at Rest(保存状態)

    • Data in Transit(転送状態) • Data in Use(利用状態) そもそも「データ」保護はどのように対策を考えればよいか Copyright © 2023, Oracle and/or its affiliates 68 保存状態/ 転送状態 「暗号化」を指示 利用状態 「最小権限(Least Privilege)」の原 則 という考えに乗っ取った対策を指示 NSAで示された対策 100％暗号化を実施済み ゼロトラストセキュリティ対策と して実装中 現在の米国政府での対応 格納データと通信で デフォルト暗号化を実施済み 特権の職務分掌, データレコー ド・レベルのセキュリティを提供 Oracle Cloud Infrastructure

69. Maximum Security Architecture データ中心型セキュリティモデルにおける対策の鳥瞰図 Copyright © 2023, Oracle and/or its

    affiliates 69 ユーザー アプリケーション イベントログ 監査証跡& イベントログ アラート レポート ポリシー テスト 開発 表示データの伏字化 通信暗号化 管理者職務分掌 機密情報の発見 アカウントのリスク評価 セキュリティアセスメント 不正問合せ遮断 監査証跡管理 ラベルベースアクセス制御 データの暗号化 暗号鍵集中管理 データの秘匿化 データの改竄防止 アクセス制限 改竄・破壊防止 データ暗号化 バックアップ Data Safe Transparent Data Encryption Database Vault Transparent Data Encryption Data Safe Data Safe

70. 1. エンタープライズセキュリティに求めらえること 2. ISMAPの概要 3. クラウド事業者としてのオラクルの取り組み 4. クラウドセキュリティ対策の勘所 (お客様責任) 【まとめ】

    本日お話しさせて頂いた内容 Copyright © 2023, Oracle and/or its affiliates 70