【Oracle Cloud ウェビナー】安全にクラウドを使いたい人必見！クラウドセキュリティの2024年の予測とKDDI様の取り組み

Transcript

1. Oracle Cloud ウェビナー 安全にクラウドを使いたい人必見！ クラウドセキュリティの2024年の予測とKDDI様の取り組み KDDI株式会社 次世代自動化開発本部 オペレーション基盤開発部 エキスパート 鈴木

   雄祐 氏 日本オラクル株式会社 事業戦略統括 事業開発本部 大澤 清吾, CISSP 2024年1月17日

2. 1. サイバーセキュリティの2023年の振り返り 2. 2024年のクラウドセキュリティ・トップ5 3. KDDI様のクラウドセキュリティへの取り組み 4. オラクルのセキュリティソリューション 5. まとめ

   本日お伝えする内容 Copyright © 2024, Oracle and/or its affiliates 2

3. Copyright © 2024, Oracle and/or its affiliates 3 サイバーセキュリティの2023年の振り返り

4. 2023年に発生した情報漏洩事件 4 Copyright © 2024, Oracle and/or its affiliates •

   業務委託先から利用者の情報が 外部に流出 • ターミナルシステム障害が発生 • DC内の全サーバーが暗号化 • バックアップも侵入され復旧が遅れた • 元派遣社員がシステムの管理者ア カウントで約10年間にわたって顧客 情報を持出 • クラウドの設定ミスにより顧客情報 215万件が10年近く閲覧可能に • 委託先PCが外部と接続できた • 最小権限の実現が行われてい なかった • パッチの不適用 • 境界防御が中心で多層防御 の保護が行われていなかった • 故意犯が1人いた時に不正アク セスを阻止できなかった • 10年間不正が判明しなかった • 誤ったクラウドの設定 • 設定を監査していない • セキュリティ設定の検出・修正 • 誤設定ができない環境 B社 • セキュリティ管理・運用体制 • 不正な操作の検知 • 機密データのアクセス制御・保護 C社 • データ中心の多層防御 • パッチの自動適用化 • セキュアなバックアップ D社 • データの暗号化 • 管理者の職務分掌 • ログの保全・不正な操作の検知 A社 原因 どのような対策を必要か 事件の概要 • クラウド上の開発用データベースの ネットワークの設定ミスにより、国内 1100の顧客と海外顧客に影響 • 誤ったクラウドの設定 • 設定を監査していない • 個人情報を伏字化していない E社 • セキュリティ設定の検出・修正 • 誤設定ができない環境 • 機密データのアクセス制御・保護

5. 不安定な地政学が2022年のサイバーセキュリティ脅威状況の傾向を揺るがす 2023年の傾向 • ランサムウェアと可用性に対する攻撃がトップ • 地政学は引き続き大きな影響を及ぼす • データの侵害が増加 脅威のトップ８ •

   ランサムウェア • マルウェア • ソーシャルエンジニアリング • データに対する脅威 • 可用性に対する脅威サービス妨害 (DOS） • 可用性を脅かす脅威インターネット上の脅威 • 情報操作と妨害 • サプライチェーン攻撃 分析されたインシデント脅威の内訳 欧州連合サイバーセキュリティ機関(ENISA) 脅威状況 2023 ランサムウェア DDoS データ マルウエア ソーシャルエンジニアリング 情報操作 Web サプライチェーン攻撃 ゼロデイ Copyright © 2024, Oracle and/or its affiliates 5 出典: ENISA Threat Landscape 2023

6. 米国におけるサイバーセキュリティモデルは急速に変化・発展しています Copyright © 2024, Oracle and/or its affiliates 1990 2000

   2010 2020 データ量 境界防御 （Perimeter Defense） 縦深防御 （Defense in Depth） サイバーレジリエンス （Cyber Resilience ） ゼロトラスト＋データ中心型防御 Zero Trust ＋ Data-Centric Defense Build Security Into Your Network’s DNA: The Zero Trust Network Architecture Forrester 2010 Policy Decision Point(PDP) Policy Enforcement Point(PEP) X.500 電子ディレクトリ・サービス 情報機関改革 及びテロ予防法（2004） Federal Identity, Credentialing and Access Management (FICAM) De-Perimeterization (非境界化) Jericho Forum 2007 NIST SP 800-207 Zero Trust Architecture, 2020 NCSC Zero trust principles – Beta Release, 2020 DoD Zero Trust Reference Architecture, 2021 Executive Order on Improving the Nation’s Cybersecurity, 2021 Cybersecurity Performance Goals for Critical Infrastructure, 2022 DoDブラックコア The Road to Zero Trust(Security): DIB Zero Trust White Paper, Defense Innovation Board, 2019 エドワード・スノーデン (2013) アメリカ同時多発テロ事件 (2001) 重要インフラへの攻撃(2021) セキュリティモデルは数年毎に大波を迎え、過去の思想を塗り替えながら（過去のモデルの全否定ではなく）発展しています。 その要因としてサイバー攻撃の高度化、組織化が挙げられます。 6

7. リアルタイムでデータ保護に集中するために、「ゼロトラストアーキテクチャ」の導入指示 Sec.3. Modernizing Federal Government Cybersecurity. 60日以内に、各政府機関の長はゼロトラストアーキテク チャを実装するための計画を策定し、報告書を提出する 180日以内に、政府機関システムは多要素認証を採用 し、保存中および転送中のデータに対しても暗号化を

   適用する 60日以内に、国家安全保証システムは大統領令の セキュリティ要件と同等またはそれ以上の要件を適用する ゼロトラストアーキテクチャ 不正アクセスの拡大（ラテラル・ムーブメント）を制限し、 異常又は不正な活動を探知し、「脅威が変化を続ける 状況の中で、リアルタイムでデータ保護に集中するため に、インフラのすべての側面を通して、包括的なセキュリ ティ監視、きめ細かなリスクベースのアクセス制御、そして、 システムセキュリティの自動化を組み合わせて導入する」 ものです。 大統領令を発令、国家機関にサイバーセキュリティを向上する措置を指示 Copyright © 2024, Oracle and/or its affiliates 7 データセントリックなセキュリティ・モデルの実装が必要とされています。 出典：Executive Order on Improving the Nation’s Cybersecurity MAY 12, 2021 PRESIDENTIAL ACTIONS

8. 境界突破、内部不正を想定した対策が必要です 従来の単層式境界防御 ネットワーク中心型セキュリティモデル リソース防護重点型ゼロトラスト防御 データ中心型セキュリティモデル 守るべき経営資源（リソース）に焦点をあてセキュリティ対策を実施することが肝要です Copyright © 2024, Oracle

   and/or its affiliates 8 セキュリティ ポリシー ID管理 Detection & Response データ アプリ N/W 分析・可視化 自動化 Security Enforcement Endpoint(端末) データ アプリケーション ユーザ ネットワーク

9. Copyright © 2024, Oracle and/or its affiliates 9 2024年のクラウドセキュリティトピック・トップ5

10. 2024年のクラウドセキュリティトピック・トップ5 Copyright © 2024, Oracle and/or its affiliates 10 2

    3 4 5 サイバーレジリエンス 内部不正対策の強化 AI：リスクと活用 データセキュリティ：プライバシー保護とデータレジリエンシー 自動化の活用：人的ミスによるデータ損失リスクの軽減 1

11. 平均的なダウンタイム 修復に要した平均的な 累計コスト 身代金を支払って、すべて のデータを取り戻した割合 ① サイバーレジリエンスの強化 Copyright © 2024,

    Oracle and/or its affiliates 11 19日間 1億1400万円 8% 出典：Coveware) Ransomware Demands continue to rise as Data Exfiltration becomes common, and Maze subdues 出典：Sophos) Ransomware Recovery Cost Reaches Nearly $2 Million, More Than Doubling in a Year, Sophos Survey Shows 出典：Sophos) Ransomware Recovery Cost Reaches Nearly $2 Million, More Than Doubling in a Year, Sophos Survey Shows

12. 日本におけるランサムウエアの被害状況 ① 事業継続視点での完全性・可用性対策の強化 Copyright © 2024, Oracle and/or its affiliates

    12 出典：令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について 実際に取得していた バックアップからデータを 復元できた割合 (*2) 被害企業でバックアップ を取得していた割合 (*2) 出典：警察庁 サイバー空間をめぐる脅威の情勢等について [令和5年上半期] 二重の脅迫(恐喝) の割合 (*2) 92% 19% 78% 「ノーウェアランサム」に よる被害件数 6件

13. 従来のバックアップ方式では 完全に対応できない 日本におけるランサムウエアの被害状況 Copyright © 2024, Oracle and/or its affiliates

    13 被害企業・団体の バックアップを利用して 復元できなかった理由 復旧に要した期間 暗号化 された 72 % データが古い・ 欠損等で復元 失敗 22 % 7 % その他 27 % 32 % 12 % 5 % 15 % １週間未満 1か月未満 2か月未満 ２か月以上 復旧中 出典：警察庁 令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について

14. 昨今の情報漏洩事件の攻撃手法 Copyright © 2024, Oracle and/or its affiliates 14 初期アクセス

    攻撃者は侵入経路を探索 脆弱性の 利用 メール 利用者の 認証情報 侵入拡大 内部不正 基盤構築と攻撃準備 侵入を拡大、サーバーへ侵入 遠隔操作 の仕組み を構築 特権 ユーザー へ昇格 バックアップ 破壊 データ搾取 本番データ の暗号化 (破壊) インターネット 公開サービス マルウェア 攻撃実行 データを盗み、データを破壊 • フィッシング • パスワード推測 • 設定ミス • パッチ不適用 • 悪意の ある文章 ! https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/ から加筆

15. ゼロ・トラスト・フレームワーク の導入を検討 日本における 内部不正による 大きなインシデント ゼロ・トラスト・フレームワーク の導入の理由 ② 内部不正対策の強化 Copyright

    © 2024, Oracle and/or its affiliates 15 10年ごと 出典：Paloalto What's Next in Cyber 出典：Paloalto What's Next in Cyber 99% 52% 49% 47% 拡大するサプライチェーン ベンダーエコシステム 攻撃の高度化と頻度 ハイブリットワーク

16. 内部不正の例: 2014年夏の事件 情報子会社 社員による内部不正へのデータベース関連の対策事項例 顧客DBの保守管理を担当していた再委託先の技術者が、通常業務を装ってDBにアク セスし、大量の顧客情報を窃取し、売却 数か月後に顧客からの問合せで情報漏洩が発覚。原因の特定にはさらに1か月を要した 16 デ ー

    タ 管 理 へ の 対 策 • 入館許可証による制限 • 監視カメラの設置 • PC利用場所の制限 • ユーザの認証とパスワード管理 • 搭載ソフトウェアの制限、操作記録 （特筆すべき記載なし） • 教育を定期的に実施 • 合格者のみが委託業務に従事 正規のユーザだった 正規のPCを利用 スマホのUSBケーブル接続は 規制されていなかった 必要な教育を受けたユーザだった DB内の個人情報へのアクセスが 十分に制限されていなかった 物理入退室の 制限・監視 クライアントPCの 制限・監視 データベースの 制限・監視 ユーザ教育 OK OK OK ？ OK ？ Copyright © 2024, Oracle and/or its affiliates

17. 内部不正事案の課題と解決策 Copyright © 2024, Oracle and/or its affiliates 17 •

    境界突破、内部不正を想定した対策が必要です • 日本の企業の多くは、1人の権限者に偏った仕組みで運用され、不正アクセスを阻止できていません。 • 米国では、特権者も「Need to Knowが当たり前」で、暗号化、管理者の職務分掌が実装されています。 事件を 未然に 防ぐ 事案の課題 求められる解決策 OSの管理者権限を使用した 機密データの持ち出し データ暗号化 データベースの管理者権限 による機密データの持ち出し 管理者の職務分掌 故意犯が1人いた時に 不正アクセスを阻止できなかった 複数人いないと犯行が出来ない仕組み ログの削除等によって 不正操作の内容が特定できない ログの改竄・消去の防止 怪しい振る舞いを見つけられない 異常操作の発見＆警告 不正行為を 早期に発見

18. AIサイバー攻撃技術が アクセスと侵入段階で 利用される割合 ③ AI：リスクと活用 Copyright © 2024, Oracle and/or

    its affiliates 18 56% 出典：The Emerging Threat of Ai-driven Cyber Attacks: A Review 95% 従来の脅威ハンティングを AIに置き換えることで、 向上する検出率 出典： The Impact of AI on Cybersecurity 導入検討中のセキュリティ 対策においてAI 採用は 必須 出典：Oracle and KPMG Threat Report 2020 95%

19. AI権利章典（人権保障規定） ① 安全で効果的なシステム ユーザーは安全でないシステムもしくは効果のないシステムから保護されるべきである。 ② アルゴリズムによる差別の保護 ユーザーはアルゴリズム由来の差別を受けるべきではない。システムは公平に機会を提供する 方法で利用および設計されるべきである。 ③ データのプライバシー

    ユーザーは、組込みの保護機能を通じて不正なデータから保護されるべきであり、自身に関す るデータがどのように使用されるかを知る権限を持つべきである。 ④ 通知と説明 ユーザーは自動化システムが使用されていることを知り、それが自身に影響を与える結果にどの ようにして、またなぜ寄与するのかを理解するべきである ⑤ 人間の代替案、考慮事項、予備 適切な場合、ユーザーは必要に応じて自動化システムの使用をオプトアウトすることができ、問 題が生じたときに、その問題を迅速に検討して解決できる担当者に連絡ができる手段を持つ べきである。 Blueprint for an AI Bill of Rights 責任あるAIに対するガイドライン https://www8.cao.go.jp/cstp/ai/ningen/r4_2kai/siryo3.pdf Copyright © 2024, Oracle and/or its affiliates 19

20. ENISA：MULTILAYER FRAMEWORK FOR GOOD CYBERSECURITY PRACTICES FOR AI AI のためのサイバーセキュリティの多層フレームワーク

    Copyright © 2024, Oracle and/or its affiliates 20 Framework for AI good Cybersecurity Practices (FAICP) ３つのレイヤーに分けて考える ① 共通：サイバーセキュリティ基盤 AIシステムをホストするクラウドなどのICT基盤の安全性確保。さらに資産の保護は、 セキュリティのCIA（機密性、完全性、可用性）を担保 ② AI固有：AIの基礎とサイバーセキュリティ AI コンポーネントのライフサイクル、データの特性、脅威、セキュリティ管理、著作権の 観点から、ライフサイクルの段階毎に必要なサイバーセキュリティ対策を実施 ③ 分野ごとのAI：分野別のサイバーセキュリティの優れたプラクティス 各分野の当事者がAIシステムの安全性を確保するための様々なベストプラクティス https://www.enisa.europa.eu/publications/multilayer-framework-for-good-cybersecurity-practices-for-ai

21. 安全・安心なAIシステムの開発と利活用を目指して（ISO/IEC 42001） AIマネジメントシステムの国際規格 Copyright © 2024, Oracle and/or its affiliates

    21 https://www.meti.go.jp/press/2023/01/20240115001/20240115001.html • AIシステムを開発、提供または使用する組織を対象とし、組織がAI システムを適切に利活用（開発・提供・使用）するために必要なマ ネジメントシステムを構築する際に遵守すべき要求事項について、リス クベースアプローチによって規定したもの • 主なメリット • 責任あるAI：人工知能の倫理的で責任ある使用を保証 • レピュテーション管理：AIアプリに対する信頼向上 • AIガバナンス：法規制基準の遵守をサポート • 実践的ガイダンス：AI特有のリスクを効果的に管理 • 機会の特定：構造化されたフレームワークでイノベーションを促進

22. サプライチェーン攻撃で、 個人情報や知的財産を 狙った攻撃の割合 出典： PwC: Is your organization too complex

    to secure? ④ データセキュリティ（プライバシー保護とデータレジデンシー） Copyright © 2024, Oracle and/or its affiliates 22 プライバシー法を施行の国 71％ 地政学的リスクに対して、 CEOがサイバーセキュリティ やデータ プライバシー への投資 48% 出典：PwC 26th Annual Global CEO Survey 58%

23. セキュリティ侵害の85%は、 CVE公表後に発生 （防御可能だった） ⑤ 自動化を活用した人的ミスによるデータ損失リスクの軽減 Copyright © 2024, Oracle and/or

    its affiliates 23 85% 出典：CISA: Top 30 Targeted High Risk Vulnerabilities 67% クラウドプラットフォームの 設定ミス／誤った設定が、 最大のセキュリティ脅威 出典：ISC 2021 Cloud Security Report 導入検討中のセキュリティ 対策においてAI 採用は必 須 出典：Oracle and KPMG Threat Report 2020 95%

24. Copyright © 2024, Oracle and/or its affiliates 24 KDDI様のクラウドセキュリティへの取り組み

25. 25 2024/1/17 OCIを用いた基盤におけるセキュリティ検討 KDDI 鈴木雄祐

26. 26 KDDIにおけるOCI利用の一例

27. 27 OCI データ分析基盤におけるOCIの利用 • 基盤はマルチ・ハイブリッドクラウドを採用。 • OCIでも領域ではデータレイク・データウェアハウス・データマートといったデータ基盤機能に加え Jupyter Notebookベースの分析が可能な、試行分析環境(SZ)と本番分析環境(OZ)を提供 Data

    Source KDDI Private Cloud Another Public Cloud User OCI Data Science OCI Data Science Data Integration 本番環境(OZ) Oracle Autonomous Data Warehouse Object Storage 試行環境(SZ) ユーザ独立の小テナンシ User ✓ 分析環境は事前定義済セキュリティレベルに 合ったデータにアクセス可能な設定済みの 構築済Data Scienceを提供 ✓ 環境はOZ/SZの2種を提供 1. OZ：定型分析用途の本番環境 2. SZ：分析の試行錯誤を行う環境 ✓ SZはOCIのOrganizationサービスで構築し た小テナンシであり、案件(部門)ごとにテナン シレベルで払い出すことで、本番環境を保護 試行環境(SZ) 試行環境(SZ)

28. 28 本システムの特徴 ① 超膨大な量のデータを様々なシステムから収集、蓄積、加工、提供する ② 提供データの利用ユーザは社内のデータ活用希望者であり、そのユースケース・利用部門は多岐にわたる ③ 試行環境は独立した小テナンシ環境であり、ある程度各ユーザが自由に利用できる必要がある OCI Data

    Source GW データレイク データマート 分析機能 OCI Data Science Data Integration 本番環境(OZ) Oracle Autonomous Data Warehouse Object Storage 試行環境(SZ) ユーザ独立の小テナンシ ① 将来的にデータ量はペタバイト見込み ② 利用者は部門、案件 スキルがバラバラ OCI Data Science User Group User Group 試行環境(SZ) 試行環境(SZ) ③ 案件ごとに独立テナンシを提供。 必要に応じDS以外も利用

29. 29 IAM/SGにおけるアクセス制御 • OCIに限らずクラウドでは、各サービスアクセス権（IAM）とNWにおけるIPアクセス制御（NSG/S-list)を 用いてシステムのセキュリティを担保することが一般的。 • 本システムでも同様のアクセス制御を実装。さらに、OCIはデフォルトでデータの暗号化が行われており OCI Vaultを活用し暗号鍵管理を実施することでセキュリティを強化 OCI

    Data Source GW データレイク データマート 分析機能 OCI Data Science Data Integration 本番環境(OZ) Oracle Autonomous Data Warehouse Object Storage 試行環境(SZ) ユーザ独立の小テナンシ OCI Data Science User Group User Group IAM Policies Key Vault IAM Security group Security group Security group 試行環境(SZ) 試行環境(SZ) IAM

30. 30 OCI アクセス制御のみとした場合の課題 • 人的ミスや悪意ある行動により情報資産がインターネット上に公開されるリスクは継続して存在。 • 特に当システムでは、一部クラウドサービス利用に伴いユーザのクラウドコンソールアクセスが必要であり ユーザ数も多岐に渡るため、リスクと考えている（IAMでアクセス制御はしている） Data Source

    GW データレイク データマート 分析機能 OCI Data Science Data Integration 本番環境(OZ) Oracle Autonomous Data Warehouse Object Storage 試行環境(SZ) ユーザ独立の小テナンシ OCI Data Science Multi User User 人的ミス・悪意ユーザ による想定外の操作 情報資産の流出リスク クラウド コンソール 試行環境(SZ) 試行環境(SZ)

31. 31 サービスの健全性担保 ~Cloud Guard~

32. 32 マルチユーザ、マルチユースケースのセキュリティ担保 • 本システムは様々なユーザがマルチユースケースでアクセスすることが想定され、故意/過失問わず ユーザアクションに伴うセキュリティリスクが懸念される • Notebook Serviceを利用する都合、ユーザ単位でクラウドのIAMアカウントの払い出しが必要となり 各IAMアカウントの操作追従が必要となるが、純粋監査ログを可視化/分析してリスク検知する稼働は大きい OCIコンソールアクセス

    # IAMユーザ • 分析案件×利用者の数だけIAMアカウントが必要 • IAMのアクセスポリシー等でアクセス可能範囲は 基本的には制御できるものの、コンソール利用可 能時点で悪意ある操作やHEのリスクは残る • 監査ログから情報取得可能だが、ログ分析には工 数がかかり利用者の増加に伴い工数も増加 Cloud Guardだ！

33. 33 • ディティクタ・レシピが検知したセキュリティイベントに対して、レスポンス・アクションを指定する。 • デフォルトではOracle社のべスプラに基づいた、セキュリティイベントがレシピとして容易されている • レスポンスアクティビティが検知したイベントの一覧を表示 • 是正アクションを指定しているものはこの一覧から、実行を許可することで自動是正可能 •

    セキュリティリスクの検知ルール（＝ディティクタ。 構成、脅威、アクティビティの3種）を指定 • ディティクタ・レシピに沿って、セキュリティチェックが随時走り、違反事項があった場合は表示 • 検知事項に対して、対応アクションを提案 Oracle Cloud Guard • OCIの様々なサービスの設定をベスプラに基づいて監視。さらに違反検知時は通知だけでなく、是正も可能 • ユーザによる、故意/過失により発生した、サービスレベルのセキュリティリスクを検知 ターゲット ディテクタ ・レシピ レスポンダ ・レシピ レスポンダ ・アクティビティ • Cloud Guardを有効にする対象コンパートメントを指定する。 • ターゲットごとに異なるレシピ指定（コンパーメントごとに異なる検知ルールを指定）可能

34. 34 Oracle Cloud Guard_ダッシュボード • グラフ化/スコアリングにより、改善効果を可視化できるため是正へのモチベーションを維持しやすい • Cloud Guardの設定は容易。システム初期導入時に採用することが推奨されるが、運用中でも問題ない •

    セキュリティ是正⇒スコア上昇が目に見 えるため担当者のモチベーション向上 # “成果”として報告できる • 開発者領域のdevは無法地帯になりが ちであり本番環境以外もおすすめ

35. 35 Oracle Cloud Guard_構成/アクティビティ・ディティクタ（構成検知） • OCI上の構成をOracle社べスプラと比較して、セキュリティ・リスクとなる構成について検知・一覧表示 • 各セキュリティ・リスクとなるリソースについて、改善策の提案まで実施 • ディテクタレシピで検知した脅威は「問題」

    として一覧表示 • 各項目から、改善策の情報を参照可能 であり、問題の「検知」⇒「是正」が容易 • 各リソースがどこのリージョンに作られている かも判別可能（構築先ミス確認） • Oracle社のべスプラが用意されている

36. 36 Oracle Cloud Guard_脅威ディティクタ（AI検知） • 「脅威ディティクタ」として、Cloud Guardの内部AIが「ユーザの振る舞い」を分析してスコアリング • なりすましや、悪意ある行動をユーザの行動から検知して通知することが可能 •

    ユーザの脅威度をスコアリング・可視化 危険ユーザを検知して通知できる • 各ユーザごとに、何の行動がスコアカウン トされたか、またその行動がどのリソースに 影響したかまで追跡可能 • Oracle社のべスプラが用意されている

37. 37 Oracle Cloud Guard_レスポンダ（脅威自動是正） • レスポンダ・レシピ対象のセキュリティリスク発生時に、Cloud Guardが用意した是正アクション可能 • 自動アクションはまずは脅威の一覧が表示され、レスポンダ・アクティビティから指示することで是正実施。 •

    レスポンダアクションは、リソースへ変更を 加えるものは自動実行されない • レスポンダ・アクティビティから実行を指示す ると。Cloud Guardにて自動是正が走る • Oracle社のべスプラが容易されている

38. 38 Oracle Cloud Guard導入による効果 • 故意/過失問わずユーザアクションに伴うセキュリティリスクを早期検知・影響抑制が必要だった • Cloud Guard導入により、セキュリティリスクの早期検知・可視化・是正が容易に実現可能になった 悪意あるユーザ

    通常ユーザ 人的ミス ユーザ リスク・アクション 危険行動 セキュリティ・ホール 脅威ディティクタ #AI検知 構成ディティクタ #構成検知 レスポンスディティクタ #自動是正対象検知 レスポンスアクション #自動是正 リスク検知 リスク是正 是正策提案 #手動是正 アカウント確認/停止 #手動是正 セキュリティリスク アクティビティディティクタ #アクション検知

39. 39 Databaseセキュリティの担保 ~Data Safe~

40. 40 OCI Region 我々のシステムにおける、DB利用ケース GW データレイク データマート 分析機能 Data Integration

    本番環境(OZ) Oracle Autonomous Data Warehouse Object Storage OCI Data Science 3rd Party Cloud Compartment (User) OCI Data Science Compartment (User) 外部BI製品 可視化機能 社内横断的に収集したデータをデータマートとしてADW上に展開して、データ活用者向けに提供。 データ活用者の所属/スキルは様々。また部門横断的にユーザがDBに対して（基本Readだが）アクセスをする データレイクに蓄積したデータをマート化 • アドホックに増加するデータを活用するため DWHとしての論理設計は、リファクタリング扱い 多様な部門、ユーザがデータベースへ参照アクセス • 案件ごとに分析結果定期出力 • 多種多様なBI機能利用ユーザが、BIツールを通 じて参照アクセス ユーザ操作の制御、把握が必須

41. 41 OCI Region 我々のシステムにおける、DB利用ケース データマート 分析機能 Oracle Autonomous Data Warehouse

    OCI Data Science 3rd Party Cloud Compartment (User) OCI Data Science Compartment (User) 外部BI製品 可視化機能 データセキュリティ観点で、”格納時”、”通信時”においてはデータ暗号化を実施。 ”利用時”においてはアクセス制御を実施することで各フェイズにおいて、セキュリティ対策を実施している VCN VCN VCN IAM Policies Key Vault Security group Security group User Group User Group IAM Security group DBuser Role DBuser Role Data at Rest(格納時) • OCIによるデフォルトデータ暗号化 • Vaultsによる暗号鍵管理 Data in Transit (通信時) • OCIによる通信時暗号化 Data in Use (利用時) • IAM Policyによるサービスアクセス制御 • Security GroupによるNWアクセス制御 • DBユーザ、Roleによるアクセスデータ制御

42. 42 OCI Region 我々のシステムにおける、DB利用ケース データマート 分析機能 Oracle Autonomous Data Warehouse

    OCI Data Science 3rd Party Cloud Compartment (User) OCI Data Science Compartment (User) 外部BI製品 可視化機能 一方サービス特性上、多様なユーザのDBアクセス、多種多様なデータを蓄積する必要があり 故意/過失問わず、ユーザ操作によりセキュリティの崩壊や格納してはいけないデータ混入のリスクはある Data Safeだ VCN VCN VCN IAM Policies Key Vault Security group Security group User Group User Group IAM Security group DBuser Role DBuser Role 懸念点 • 故意/過失問わず、ユーザ操作に伴うリスク • 意図せず、対向システムから秘匿情報流入リスク

43. 43 OCI Region Oracle Data Safe （OCIに限らず）Oracle Databaseのセキュリティ管理を目的としたセキュリティサービス。 GUIからターゲット追加するだけで有効化が可能。（作業時間5分程度） 提供機能

    • セキュリティ・アセスメント（Security Assessment） • ユーザー・アセスメント (User Assessment） • 機密データ検出（Sensitive Data Discovery ） • データ・マスキング（Data Masking） • アクティビティ監査（Activity Auditing） Data Safe Oracle Autonomous Data Warehouse Database Exadata Cloud Service On-Premises Database Au DS DS AS AS アセスメント機能 • DBの設定/構成状況、ユーザ情報を収集して べスプラ比較で評価、可視化 • データディクショナリからのデータ取得のため DBパフォーマンス影響はなし データセキュリティ機能 • 個人情報（ID/PW/NAME）該当データおよび メールやクレジット番号を検出。（ユーザ定義可能） • 検出データを任意値へマスキング可能。 マスキングはテンプレート/ユーザ定義あり 監査機能 • Oracle Databaseの監査ログの定期収集に加え ログ分析/レポーティングを実施 AS DS Au

44. 44 Oracle Data Safeの利用状況 「セキュリティア・セスメント」と「アクティビティ監査」は期待通りの機能！ 「ユーザ・アセスメント機能」と「機密データ検出」がシステム特性に合致しており、価値を感じている DBユーザの一元管理が可能 • 各ユーザごとのリスク検知、改善提案 •

    ユーザ一覧と付与権限の可視化 • 各ユーザごとの、監査追跡 （アクティビティ監査連携）

45. 45 Oracle Data Safeの利用状況 「セキュリティア・セスメント」と「アクティビティ監査」は期待通りの機能！ 「ユーザ・アセスメント機能」と「機密データ検出」がシステム特性に合致しており、価値を感じている DB内”データ”の内リスクあるものを検出 • DB内部に格納された個人情報と思わ しきレコードを検知して通知

    • 検知する対象（個人名、連絡先、 クレジット番号等）は編集可能 # デフォルトでOracle社べスプラあり • データ・マスキングを使うことで、検知デー タ対してマスク処理も可能 # RDBMSとしての整合性担保

46. 46 おわりに ~クラウドとオンプレミスにおけるセキュリティの違い~

47. 47 専 用 線 インターネット どこかのDC.. 自社NW 自社DC オンプレミスとクラウドでのセキュリティ システムがオンプレミスからクラウドへリフト/シフトしたことで、セキュリティに関する考え方も大きく変わってくる。

    オンプレ時代の境界型防御とは異なり、よりゼロトラストなセキュリティ対策が必要となる。 端末 インターネット 外部ネットワーク システム 境界 • データは自社管理DCの筐体に存在。所在が目視可能 • 明確に境界が設けられているので、アクセス経路は限定 • 脅威は境界の内部へ入ってこない想定 自社NW システム システム 端末 端末 端末 端末 • 指定リージョン/AD内のDCへ分散配置。データ所在不明 • アクセス経路は多数。ポリシーベースのアクセス管理。 • 脅威と情報資産が境界の外部に同居している NW OK NW NG コンソール 境界 端末 Policy OK

48. 48 専 用 線 インターネット どこかのDC.. オンプレミスとクラウドでのセキュリティ システムがオンプレミスからクラウドへリフト/シフトしたことで、セキュリティに関する考え方も大きく変わってきている。 オンプレ時代の境界型防御とは異なり、よりゼロトラストなセキュリティ対策が必要となる。 自社NW

    システム システム 端末 端末 端末 NW OK NW OK コンソール Policy OK 境界 NWルール変更 リスクの一例 1. 自宅から作業したくコンソールからＮＷ設定を変えた。 もしくは何かの手違いで設定を変えてしまった 2. この時、脅威も同じインターネットにアクセスできる環境にい るので、情報資産にアクセスできてしまう。 3. 境界内部へまで影響が派生するリスクになる システム ゼロトラストベースの対策が必要に

49. 49 KDDIにおけるOCI利用時のセキュリティ ネットワークやIAMのアクセス制御に加えて、リスク検知やデータレベルのセキュリティ施策を実施している OCIサービスを活かした多層防御により、ゼロトラストのセキュリティを実現 IAM Identity Domains Identity Cloud Service

    Data Safe Autonomous Database Network Security Group Security List Cloud Guard Cloud Guard Threat Detector Database Vault Oracle Autonomous Data Warehouse IAM Security Lists NSG Key Vault Cloud Guard Data Safe • ネットワークFW • ID/アクセス制御 • MFA認証 • 設定リスク検知 • 脅威ユーザ検知 • リスク是正 • データ暗号化 • 特権ユーザ管理 • 監査証跡 • 機密データ管理・マスキング • アクセス可能データ管理 ネットワーク IDアクセス管理 インフラストラクチャ データベース
50. None

51. Copyright © 2024, Oracle and/or its affiliates 51 オラクルのセキュリティへの取り組み Oracle

    Cloud Infrastructure

52. Oracle Corporationの生い立ち SECURITY PART OF OUR DNA Security is not

    Optional, it is FOUNDATION. 設立前 AMPEX社に勤務していたLarry Ellisonが、CIAのプロ ジェクトOracleに参画 1977年 Software Development Labs設立 1978年 CIA が世界初の顧客となる。 採用されたデータベースは商用化前のもの。 1979年 世界で初めてリレーショナル・データベースを 商用化(Oracle Version 2) Wright-Patterson空軍基地が採用 1982年 企業名を “Oracle Corporation” に改名。 1998年 データベースベンダーとして初めて、 Common Criteria EAL4 を取得 2005年 Critical Patch Update を開始 2011年 DatabaseをPaaSサービスとして提供開始 2017年 Oracle Cloud 第二世代提供開始 2018年 Autonomous Database 提供開始 2020年 Maximum Security Zones 提供開始 Copyright © 2024, Oracle and/or its affiliates 52

53. OS アプリケーション セキュリティ統制を実現 オラクル クラウドの共同セキュリティ・モデル Copyright © 2024, Oracle and/or

    its affiliates 53 対象クラウド クラウド種別 サービス形態 責任範囲 Oracle Cloud パブリッククラウド IaaS PaaS SaaS データセンター設備 物理サーバー・ネットワーク ミドルウェア アプリケーション データ データセンター設備 物理サーバー・ネットワーク ミドルウェア OS アプリケーション データ データセンター設備 物理サーバー・ネットワーク OS ミドルウェア データ セキュリティ対策例 物理環境セキュリティ 人的セキュリティ ネットワーク・セキュリティ 監視 OSの構成 セキュリティ・パッチ アクセス制御 脆弱性対策 データの分類/保護 ：お客様責任範囲 ：Oracle責任範囲

54. OS アプリケーション セキュリティ統制を実現 オラクル クラウドの共同セキュリティ・モデル Copyright © 2024, Oracle and/or

    its affiliates 54 対象クラウド クラウド種別 サービス形態 責任範囲 Oracle Cloud パブリッククラウド IaaS PaaS SaaS データセンター設備 物理サーバー・ネットワーク ミドルウェア アプリケーション データ データセンター設備 物理サーバー・ネットワーク ミドルウェア OS アプリケーション データ データセンター設備 物理サーバー・ネットワーク OS ミドルウェア データ セキュリティ対策例 物理環境セキュリティ 人的セキュリティ ネットワーク・セキュリティ 監視 OSの構成 セキュリティ・パッチ アクセス制御 脆弱性対策 データの分類/保護 ：お客様責任範囲 ：Oracle責任範囲 お客様側でツールの活用や セキュリティ構成の管理を実施 SECURITY ON THE CLOUD Oracle が力を入れて 取り組んでいるところ SECURITY OF THE CLOUD オラクルはセキュアなクラウド・インフラ とサービスを提供

55. オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY OF

    THE CLOUD SECURITY ON THE CLOUD ＋ 強力、完全なテナント分離 強制的な暗号化 (Database/Storage/Network) 階層型権限管理 リスクのある設定・行動を自動検知 Copyright © 2024, Oracle and/or its affiliates 55 * WAF: Web Application Firewall 脆弱性スキャン セキュリティポリシーの自動有効 特権ユーザーのアクセス制御 ボット対策とWAF/ 次世代ファイアウォール 多要素認証とリスクベース認証 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化 脆弱性自動修復 緑字：他社にないもの バックアップ保護と 確実なデータ復旧

56. 多層防御によるデータ中心のセキュリティ Copyright © 2024, Oracle and/or its affiliates 56 データ中心の

    セキュリティ 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS 内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース データ 強制的な 暗号化 監査証跡 行列レベルの アクセス制御 設定ミスの 検知・是正 多要素認証 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Web Application Firewall IAM Identity Domains/ Identity Cloud Service Security Zones Data Safe Observability and Management Threat Intelligence Autonomous Database Vulnerability Scanning OCI Network Firewall Cloud Guard Cloud Guard Threat Detector Database Vault

57. 侵入を未然に防ぐ データの改ざん対策 ① サイバーレジリエンスの強化 Copyright © 2024, Oracle and/or its

    affiliates 57 自動パッチ適用 Autonomous Database/Linux 多要素認証など厳格な認証： IAM identity domains 不正な振る舞いの検知： Cloud Guard Threat Detector セキュアな構成： Cloud Guard/Data Safe バックアップ保護と 確実なデータ復旧 Zero Data Loss Recovery Appliance / Zero Data Loss Autonomous Recovery Service 障害直前までデータ欠損なく復旧 Object Storageの保持ルール機能： 指定した期間の上書き・削除不可 Object Storageの保持ルール機能： 指定した期間の上書き・削除不可 Database Vault： データのアクセス制御 (改ざん・削除) Data Guard： データベース層での障害対策 Blockchain Table： データの改竄防止

58. ② 内部不正対応 Copyright © 2024, Oracle and/or its affiliates 58

    • 日本の企業の多くは、1人の権限者に偏った仕組みで運用され、不正アクセスを阻止できていません。 • 米国では、特権者も「Need to Knowが当たり前」で、暗号化、管理者の職務分掌が実装されています。 事件を 未然に 防ぐ対策 課題 求められる解決策 不正行為を 早期に発見 する対策 OSの管理者権限を使用した 機密データの持ち出し データ暗号化 データベースの管理者権限 による機密データの持ち出し 管理者の職務分掌 故意犯が1人いた時に 不正アクセスを阻止できなかった 複数人いないと犯行 が出来ない仕組み ログの削除等によって 不正操作の内容が特定できない ログの改竄・消去 の防止 怪しい振る舞いを見つけられない 異常操作の 発見＆警告 無償(標準) 無償 無償 Base HP ～ (*1) Base HP ～ (*1) 価格(クラウド) オラクルは、本事案を解決する暗号化、管理者の職務分掌などのソリューションを古くから提供しています オラクルのみが提供している機能

59. ③ AI：リスクと活用 Copyright © 2024, Oracle and/or its affiliates 59

    セキュアなクラウド基盤を提供 お客様固有のデータをセキュア かつ鮮度の良い情報を活用 強力、完全なテナント分離 安全なオペレーターアクセス 安全な状態を復元： Root of Trust、OSパッチ適用 格納時・転送時の 強制的な暗号化 Oracle Database 23c AI Vector Search 生成AI（LLM） Oracle Cloud Guard Threat Detector リスクのある振る舞いを自動検知 汎用AIモデル お客様固有 データ Retrieval-Augmented Generation(RAG) ＋ データガバナンス

60. オラクルは様々なデータ配置を提供 ④ データセキュリティ：プライバシー保護とデータレジリエンシー Copyright © 2024, Oracle and/or its affiliates

    60 クラウド基盤 データベース基盤 お客さまの データセンター お客さまの データセンター Oracle 全てのOCI機能 Public Cloud Dedicated Region Alloy お客さまの データセンター お客さまの データセンター Oracle 同一のセキュリティ機能を提供 フル マネージド ExaDB ADB Cloud@ Customer ADB インフラはオラクル管理、 データベースはお客さま管理 Oracle ExaDB on Cloud@ Customer Base Database データが存在する 地域や操作者に 関する要件を充足 厳格な保証および データ保持主体の 要件を満たすよう設計 OCIネイティブのセ キュリティ機能、 パーティのソリュー ションでデータ保護 * ADB : Autonomous Database

61. ネットワークとデータ・セキュリティの新しいイノベーションによりデータレジリエンシーを担保 ④ データセキュリティ：プライバシー保護とデータレジリエンシー Copyright © 2024, Oracle and/or its affiliates

    Zero Trust Packet Routing Platform • ネットワーク層で強制し、通信するデータの属性や通信の全体的 な計測値に依存するポリシーを表現することが可能 例) 送信者と受信者(エージェント)が特定の期間中に ファシリティから移動できる情報量の制限 • 利用者の意図に基づいたセキュリティ・ポリシーの実装 • 意図を読み取り、ネットワークを介してポリシーを伝達し、 すべてのシステム変更を監視 • ネットワーク全体でポリシー施行し、監査、検証、可視化が可能 https://www.oracle.com/jp/news/announcement/ocw-oracle-poised-to-revolutionize-data-security-2023-09-19/ 自社のデータ・セキュリティ・ポリシーを1カ所にまとめて記述し、理解しやすく監査を簡単に行える 今後提供予定 61

62. データ中心型セキュリティモデルにおける対策の鳥瞰図 ④ データセキュリティ：プライバシー保護とデータレジリエンシー Copyright © 2024, Oracle and/or its affiliates

    62 ユーザー アプリケーション イベントログ 監査証跡& イベントログ アラート レポート ポリシー テスト 開発 表示データの伏字化 通信暗号化 管理者職務分掌 機密情報の発見 アカウントのリスク評価 セキュリティアセスメント 不正問合せ遮断 監査証跡管理 行列レベルのアクセス制御 データの暗号化 暗号鍵集中管理 データの秘匿化 データの改竄防止 アクセス制限 改竄防止と早期復旧 データ暗号化 バックアップ 認証・多要素認証 ラベルベースアクセス制御 * ZRCV: Zero Data Loss Autonomous Recovery Service, ZDLRA: Zero Data Loss Recovery Appliance

63. ⑤ 自動化の活用：人的ミスによるデータ損失リスクの軽減 Copyright © 2024, Oracle and/or its affiliates 63

    セキュリティ対策の自動化 セキュリティポリシーの自動有効 リスクのある設定を自動検知 強力、完全なテナント分離 IAM identity domains： 認証強化 Autonomous Database： 自動パッチ適用 格納時・転送時の 強制的な暗号化 Oracle Cloud Guard： クラウドセキュリティポスチャ管理 Oracle Data Safe： データベースのリスク評価 Oracle Security Zones： セキュリティポリシーの自動有効 VM Database Security Zones 管理者

64. Oracle Cloud のセキュリティの強み Copyright © 2024, Oracle and/or its affiliates

    64 設計から組み込まれ セキュリティ不備を最小化 標準機能で提供 データ中心のセキュリティ • 全リージョン、全インスタンスがセキュリ ティ・バイ・デザインされた環境 • デフォルトがセキュアな設定で安全側に 倒されている (Default Deny) • データの暗号化はデフォルトで実施、 ユーザーが解除できない • 自動化されたセキュリティ管理を標 準・無償で提供されている • 他社では複数サービスが必要で、開 発工数とサブスクリプション価格で高コ ストになる • データベースのセキュリティ対策まできちん と取り組んでいるのは、Oracleぐらい • 重要データの所在・リスク評価・監査する データ・セキュリティ監視を無償で利用できる • データを中心に多層で保護するための構築 済みセキュリティサービスを提供している お客様からの評価から “最新のセキュリティ機能を積極的に無償で機能追加しているOCIも高く評価しています。私たちは これら新機能をいち早く利用し、セキュリティ強化に役立てています。” 株式会社マイネット 技術統括部 セキュリティグループ長, 前田 高宏 氏

65. 堅牢なセキュリティ機能を 無償/低コスト で提供 強固にお客様データを保護し、事業継続リスクを最小化 機能 機能名 価格 セキュリティ・ バイ・デザイン 強力、完全なテナント分離

    Isolated Network Virtualization / Bare Meta 標準機能 強制的な暗号化 Encryption by Default 標準機能 階層型権限管理 Compartment 標準機能 自動化された セキュリティ管理 リスクのある設定・行動を自動検知 Cloud Guard 無償 ポリシーの自動適用 Security Zones 無償 脆弱性スキャン Vulnerability Scanning 無償 暗号鍵管理 Vault 無償～ オンラインでのパッチ適用 Autonomous Database 無償 (*1) 自動化されたログ分析 Logging Analytics 10GBまで無償 バックアップ保護と確実なデータ復旧 Zero Data Loss Autonomous Recovery Service 有償 データ中心の 多層防御 DBセキュリティ対策の自動化 Data Safe 無償～ (*2) 特権ユーザー管理 Database Vault DBCS HP ～ (*3) 多要素認証、リスクベース認証 IAM Identity Domains 無償～ (*4) ボット対策とWAF Web Application Firewall 無償～ (*5) 次世代ファイアウォール (NGFW) OCI Network Firewall 有償 *1 Autonomous Database 利用時に無償で利用可能 *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償 *3 DBCS High Performance以上で利用可能 *4 無償で利用できるユーザー数や機能に制限あり *5 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥84 [1,000,000インカミングリクエスト/月]、¥700[インスタンス/月] 65 Copyright © 2024, Oracle and/or its affiliates

66. まとめ 66 Copyright © 2024, Oracle and/or its affiliates 2

    3 4 5 サイバーレジリエンス 内部不正対策の強化 AI：リスクと活用 データセキュリティ：プライバシー 保護とデータレジリエンシー 自動化の活用：人的ミスに よるデータ損失リスクの軽減 1 アカウント乗っ取り 多要素認証 (IAM Identity Domains/IDCS) 脆弱性を突いた攻撃 脆弱性スキャン・自動修復、WAF、次世代FW (Autonomous Database、Vulnerability Scanning/ Web Application Firewall / Network Firewall) 不正アクセスの早期発見、 操作内容が不明 不正な操作の早期検知 (Cloud Guard, Data Safe, Logging Analytics) データプライバシー データレジリエンシ対応 要件に応じデータ配置の柔軟性 (Dedicated Region, Alloy, ExaDB on Cloud@Customer Zero Trust Packet Routing Platform) 設定ミスを突いた攻撃 リスクのある設定・行動を自動検知 (Cloud Guard, Data Safe) 機密データの持出、破壊 保存データの不可視化、データ改ざん対策 (暗号化, Vault, Data Safe, Database Vault) データが復旧できない バックアップ保護と確実なデータ復旧 (ZDLAR/ZRCV) 対策 課題
67. None