【Oracle Cloud ウェビナー】2025年のセキュリティ脅威を読み解く：リスクに備えるためのレジリエンスとデータ保護

Transcript

1. 2025年のセキュリティ脅威を読み解く： リスクに備えるためのレジリエンスとデータ保護 日本オラクル株式会社 事業戦略統括 事業開発本部 シニア・マネージャー, CISSP 大澤 清吾 2025年1月15日

   Copyright © 2025, Oracle and/or its affiliates 1

2. セキュリティ分野における市場動向・トレンド 2 Copyright © 2025, Oracle and/or its affiliates 日本における

   内部不正による 大きなインシデント 出典：警察庁 サイバー空間をめぐる脅威の情勢等について [令和6年上半期] 有効な認証情報を 使用した攻撃件数の 対前年比増加率 出典：X-Force 脅威インテリジェンス・ インデックス2024 実際に取得していた バックアップからデータを 復元できた割合 二重の脅迫(恐喝) の割合 10年ごと 71% 25% 83%

3. 海外のセキュリティトレンド ENISA Threat Landscape 2024 • 2023年後半から2024 年前半にかけサイバーセキュリティ攻撃が著しく増加 • DDoSとランサムウェアが昨年に引き続きトップ

   • ハクティビズムの現象は着実に拡大 • 攻撃手法について • 防御回避技術の進歩: Living Off The Land (*) • ゼロデイ脆弱性とワンデイ脆弱性 • 標的のアイデンティティ 3 Copyright © 2025, Oracle and/or its affiliates 主な脅威 •ランサムウェア •マルウェア •ソーシャルエンジニアリング •データに対する脅威 •可用性に対する脅威：サービス拒否 •情報操作と⼲渉 •サプライチェーン攻撃 * Living Off The Land（環境寄生型）攻撃：正規ツールや既存のシステムを悪用し、痕跡を残さず監視や調査を回避する攻撃手法 出典： https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024

4. 海外のセキュリティトレンド ENISA Threat Landscape 2024 4 Copyright © 2025, Oracle

   and/or its affiliates DDoS ランサムウェア データ ソーシャルエンジニアリング マルウエア サプライチェーン攻撃 Web 情報操作および⼲渉 ゼロデイ 分析されたインシデント脅威の内訳 脅威カテゴリー毎の攻撃者の動機 データ DDoS 情報操作および⼲渉 マルウエア ランサムウェア ソーシャルエンジニアリング サプライチェーン攻撃 Web ゼロデイ 金銭目的 不明 イデオロギー スパイ行為 破壊活動 出典： https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024

5. NIST Cybersecurity Framework (CSF) 2.0 • 組織がサイバーセキュリティリスクを効果的に管理・軽減するためのガイドライン • 下記の機能を中心に、サイバー攻撃の予防、検出、対応、回復のプロセスを構築 •

   リスクベースのアプローチで、柔軟かつスケーラブルなフレームワークのためさまざまな業界に適応可能 ▪ 機能 • New ガバナンス（GV）：サイバーセキュリティリスクマネジメント戦略、期待、ポリシーが確立され、伝達/監視 • 特定（ID）：現在のサイバーセキュリティリスクを理解 • 防御（PR）：サイバーセキュリティリスクを管理するための保護策を使用 • 検知（DE）：潜在的なサイバーセキュリティ攻撃および侵害が発見され、分析 • 対応（RS）：検出されたサイバーセキュリティインシデントに関して措置の実施 • 復旧（RC）：サイバーセキュリティインシデントの影響を受けた資産および運用を復旧 海外のセキュリティトレンド Copyright © 2025, Oracle and/or its affiliates 5 出典：https://www.nist.gov/cyberframework

6. NIST Cybersecurity Framework (CSF) 2.0 ：概要 Copyright © 2025, Oracle

   and/or its affiliates 6 特定 防御 検知 対応 復旧 ガバナンス 資産管理 リスクアセスメント 改善 ID管理、認証、 アクセス制御 意識向上および トレーニング データセキュリティ プラットフォーム セキュリティ テクノロジーインフラ ストラクチャー レジリエンス 継続的モニタリング 有害事象の分析 インシデント管理 インシデント分析 インシデント対応 の報告、 コミュニケーション インシデント軽減 インシデント復旧 計画の実行 インシデント復旧コ ミュニケーション 出典：https://www.nist.gov/cyberframework

7. 「防御」の詳細 （一部抜粋） ご参考：NIST Cybersecurity Framework (CSF) 2.0 Copyright © 2025,

   Oracle and/or its affiliates 7 カテゴリ 概要 具体的な施策例 ID管理、認証、 アクセス制御 01：権限を付与されたユーザ、サービス、およびハードウェアの ID とクレデンシャルは、 組織によって管理 IDライフサイクル管理 02：相互作用のコンテキストに基づいて、ID が証明され、クレデ ンシャルにバインド 政府発行の身分証明書（パスポート、ビザ、運 転免許証など）を使用した本人確認 03：ユーザ、サービス、ハードウェアが認証 多要素認証 04：アイデンティティのアサーションが保護、伝達、検証 SSOやフェデレーションでの認証情報の保護 05：アクセス権限、資格、認可をポリシーで定義・管理・実施・レ ビューし、最小特権と職務分離の原則が組込 アクセスと権限を必要最小限に制限する（ゼロト ラストアーキテクチャなど） 06：資産への物理的アクセスが、リスクに見合った形で管理、監 視、実施 物理セキュリティ対策（警備員、防犯カメラ、施 錠された入り口、警報システム） データセキュリティ 01：格納状態のデータの機密性、完全性、可用性を保護 格納データの暗号化 02：転送中のデータの機密性、完全性、可用性が保護 通信の暗号化 10：使用中のデータの機密性、完全性、可用性が保護 使用中のデータを他者からのアクセスを保護 11：データのバックアップが作成され、保護され、維持され、テスト リアルタイムバックアップと定期的な復元テスト 出典：https://www.nist.gov/cyberframework

8. 「防御」の詳細 （一部抜粋）〜 つづき ご参考：NIST Cybersecurity Framework (CSF) 2.0 Copyright ©

   2025, Oracle and/or its affiliates 8 カテゴリ 概要 具体的な施策例 プラットフォーム セキュリティ 01：構成管理を確立し、適用 最小限の機能の活用 02：ソフトウェアをリスクに見合った形で保守、交換、及び削除 脆弱性管理計画で指定された範囲内でのパッチ 適用、保守切れへの対応 03：ハードウェアはリスクに見合った保守、交換、取り外しが実施 必要なセキュリティ機能を備えたソフトウェアをサ ポートできない場合は、ハードウェアを交換 04：ログ記録が作成され、継続的な監視のために利用可能 すべてのオペレーティングシステム、アプリケーション、 サービスのログを取得 05：許可されていないソフトウェアのインストールと実行が防止 ソフトウェアの実行を許可された製品のみに制限 06：セキュアなソフトウェア開発手法が統合され、ソフトウェア開 発ライフサイクル全体のパフォーマンスを監視 組織が作成したソフトウェアをセキュリティ保護し、 リリースにおける脆弱性を最小限に抑える テクノロジーインフ ラストラクチャー レジリエンス 01：ネットワークと環境が、不正な論理アクセスや使用から保護 ネットワークの分離、ネットワークのセグメント化、 アクセスを必要最小限に制限 02：組織の技術資産を環境の脅威から保護 災害から設備を保護する 03：平常時および不利な状況において、回復力要件を達成す るための仕組みの導入 単一障害点を解消、高可用性や負荷分散を使 用してシステムの信頼性を向上 04： 可用性を確保するための十分なリソース容量を維持 リソースの使用状況を監視と将来利用を予測し たリソース拡大 出典：https://www.nist.gov/cyberframework

9. 米国におけるサイバーセキュリティモデルは急速に変化・発展しています Copyright © 2025, Oracle and/or its affiliates 1990 2000

   2010 2020 データ量 境界防御 （Perimeter Defense） 縦深防御 （Defense in Depth） サイバーレジリエンス （Cyber Resilience ） ゼロトラスト＋データ中心型防御 Zero Trust ＋ Data-Centric Defense Build Security Into Your Network’s DNA: The Zero Trust Network Architecture Forrester 2010 Policy Decision Point(PDP) Policy Enforcement Point(PEP) X.500 電子ディレクトリ・サービス 情報機関改革 及びテロ予防法（2004） Federal Identity, Credentialing and Access Management (FICAM) De-Perimeterization (非境界化) Jericho Forum 2007 NIST SP 800-207 Zero Trust Architecture, 2020 NCSC Zero trust principles – Beta Release, 2020 DoD Zero Trust Reference Architecture, 2021 Executive Order on Improving the Nation’s Cybersecurity, 2021 Cybersecurity Performance Goals for Critical Infrastructure, 2022 DoDブラックコア The Road to Zero Trust(Security): DIB Zero Trust White Paper, Defense Innovation Board, 2019 エドワード・スノーデン (2013) アメリカ同時多発テロ事件 (2001) 重要インフラへの攻撃(2021) セキュリティモデルは数年毎に大波を迎え、過去の思想を塗り替えながら（過去のモデルの全否定ではなく）発展しています。 その要因としてサイバー攻撃の高度化、組織化が挙げられます。 9

10. リアルタイムでデータ保護に集中するために、「ゼロトラストアーキテクチャ」の導入指示 Sec.3. Modernizing Federal Government Cybersecurity. 60日以内に、各政府機関の長はゼロトラストアーキテク チャを実装するための計画を策定し、報告書を提出する 180日以内に、政府機関システムは多要素認証を採用 し、保存中および転送中のデータに対しても暗号化を

    適用する 60日以内に、国家安全保証システムは大統領令の セキュリティ要件と同等またはそれ以上の要件を適用する ゼロトラストアーキテクチャ 不正アクセスの拡大（ラテラル・ムーブメント）を制限し、 異常又は不正な活動を探知し、「脅威が変化を続ける 状況の中で、リアルタイムでデータ保護に集中するため に、インフラのすべての側面を通して、包括的なセキュリ ティ監視、きめ細かなリスクベースのアクセス制御、そして、 システムセキュリティの自動化を組み合わせて導入する」 ものです。 大統領令を発令、国家機関にサイバーセキュリティを向上する措置を指示 Copyright © 2025, Oracle and/or its affiliates 10 データセントリックなセキュリティ・モデルの実装が必要とされています。 出典：Executive Order on Improving the Nation’s Cybersecurity MAY 12, 2021 PRESIDENTIAL ACTIONS ゼロトラスト＋データ中心型防御 Zero Trust ＋ Data-Centric Defense

11. • ゼロトラストとは、「ネットワーク内のすべての人、すべて のものが疑わしい」という前提に基づくセキュリティ哲学 です。ゼロトラストは、セキュリティの焦点を、境界防御 からデータ中心へと変えること • 成熟度モデルは、以下の5つの柱に対して従来型、 初期、先進型、最適型のゼロトラスト・アーキテクチャ の具体的な例を提示 •

    「アイデンティティ」 • 「デバイス」 • 「ネットワーク/設備」 • 「アプリケーションワークロード」 • 「データ」 • これによって、ゼロトラストへの移行を支援するための 数多くの道筋として成熟度モデルを提供 CISA Zero Trust Maturity Model Copyright © 2025, Oracle and/or its affiliates 11 出典：https://www.cisa.gov/publication/zero-trust-maturity-model ゼロトラスト＋データ中心型防御 Zero Trust ＋ Data-Centric Defense

12. Developing Cyber-Resilient Systems: A Systems Security Engineering Approach SP 800-160

    Volume 2 Revision 1 サイバーレジリエンスのゴール • 予測力:攻撃に備え、情報に基づいた準備を維持 • 抵抗力:攻撃中にも重要な使命や事業機能を継続 • 回復力:攻撃時や攻撃後にビジネス機能を迅速に回復 • 適応力:予測される技術・運用・脅威環境の変化に応じて、 業務機能、あるいはそれを支える能力を改善 Revision 1 の作成の目的 従来の境界防御戦略を覆し、外部からではなく内部からシス テムを防御するためのサイバーレジリエンス戦略へと組織を移行 12 Copyright © 2025, Oracle and/or its affiliates サイバーレジリエンス （Cyber Resilience ） 出典：NIST SP 800-160 Vol. 2 Rev. 1Developing Cyber-Resilient Systems: A Systems Security Engineering Approach, DEC 2021

13. 境界突破、内部不正を想定した対策が必要です 従来の単層式境界防御 ネットワーク中心型セキュリティモデル リソース防護重点型ゼロトラスト防御 データ中心型セキュリティモデル 守るべき経営資源（リソース）に焦点をあてセキュリティ対策を実施することが肝要です Copyright © 2025, Oracle

    and/or its affiliates 13 セキュリティ ポリシー ID管理 Detection & Response データ アプリ N/W 分析・可視化 自動化 Security Enforcement Endpoint(端末) データ アプリケーション ユーザ ネットワーク

14. Copyright © 2025, Oracle and/or its affiliates 14 2025年のクラウドセキュリティトピック

15. 2025年のクラウドセキュリティトピック Copyright © 2025, Oracle and/or its affiliates 15 2

    3 4 5 サイバーレジリエンス：事前防御と事業回復 ゼロトラスト・内部不正対策の強化 自動化の活用：人的ミスによるデータ損失リスクの軽減 AIの進化：リスクと活用 データセキュリティ：プライバシー保護とデータレジリエンシー 1

16. 平均的なダウンタイム 修復に要した平均的な 累計コスト 身代金を支払って、すべて のデータを取り戻した割合 ① サイバーレジリエンス：事前防御と事業回復 Copyright © 2025,

    Oracle and/or its affiliates 16 19日間 1億 1400万円 8% 出典：Coveware) Ransomware Demands continue to rise as Data Exfiltration becomes common, and Maze subdues 出典：Sophos) Ransomware Recovery Cost Reaches Nearly $2 Million, More Than Doubling in a Year, Sophos Survey Shows 出典：Sophos) Ransomware Recovery Cost Reaches Nearly $2 Million, More Than Doubling in a Year, Sophos Survey Shows

17. 17 Copyright © 2025, Oracle and/or its affiliates 「ワクチンをやっていたときに、どうしてもゼロリスクなのかという話に必ずなるの ですけれども、ここまでサイバー攻撃が活発化してくるとゼロリスクというわけに

    は多分いかなくて、やるべきことをやって、それでも防げないものについては どう復旧するかということを考えていかなければいけないのかなと思います。」 * 引用 ：https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/dai2/gijiyousi.pdf ** 引用 : https://www.cio.com/article/2149150 河野大臣 「サイバー安全保障分野での対応能力の向上に向けた有識者会議」（第２回）での挨拶 (*) 「信じてほしいが、攻撃が起こることを受け入れる組織と、 攻撃を撃退できると考える組織では、アプローチに根本的な違いがある」 40億ドルの欧州企業のCEOのコメント (**)

18. 事業継続 予期せぬ事態においても、事業継続を可能にするシステムの必要性 基幹システムに求められる レジリエンスの向上 Copyright © 2025, Oracle and/or its

    affiliates 18 事業回復 災害復旧環境へ即時切り替え、 直前のデータに完全復旧 事前防御 データ暗号化、パッチ適用、認証強化 設定ミスの検知と自動修復、アクセス制御 サイバーセキュリティ 地政学リスク 自然災害

19. KDDI 様 データ分析基盤での人為的ミスや悪意のある脅威に 対して多層で保護をするために「データ」と「クラウド」の セキュリティ対策を実施 ©JRA 脆弱性の自動修復と設定ミス・不審ユーザー検知、 監査、機密データの検出・保護により「データ」を保護 設定ミス検知・是正（CSPM）や脅威ユーザ検知、 暗号鍵管理（KMS）や多要素認証により

    「クラウド」のセキュリティを強化 OCIサービスを活用した多層防御により、 ゼロトラストのセキュリティ対策を実現 Oracle Autonomous Database (脆弱性の自動修復) Oracle Data Safe (設定ミス・不審ユーザー検知、監査、 機密データの検出・保護) Oracle Cloud Guard (リスクのある設定を自動検知と脅威ユーザ検知) OCI Vault (暗号鍵管理：KMS) OCI Identity and Access Management (多要素認証) Copyright © 2025, Oracle and/or its affiliates 19

20. 従来の3-2-1のルールに加え、現在の脅威に対応するため下記の提唱が行われている 3-2-1ルール 米国CISAのUS-CERT（United States Computer Emergency Readiness Team）が 2012年に、バックアップ時に守るべきルールとして提示 最新のランサムウェア脅威に求められる対策

    Copyright © 2025, Oracle and/or its affiliates 20 引用：https://enterprisezine.jp/article/detail/18203?p=2 ランサムウェア対策では、リカバリが担保されること、改ざん不可であることが肝要 最新の3つのデータをコピー ３ 2つの異なるメディアを使用 2 1つはオフサイトで保管 1 3-2-1-1-0 ルール 現在の脅威の状況には不十分であるとの考えのもとに、 対策として新しいバックアップルールが提唱されています。 最新の3つのデータをコピー ３ 2つの異なるメディアを使用 2 1つはオフサイトで保管 1 1つのコピーはイミュータブル（不変） 1 バックアップからのリカバリでエラーがゼロ 0

21. 3-2-1ルールに基づくオフサイトのバックアップ保管を、マルチクラウド構成にて低コストに実現 株式会社マイネット • オンラインゲームの長期運営に特化したセカンダリー事業を主 力に事業を拡大、累計80本以上のゲームタイトルを運営 • 2019年OCI採用後、安定稼動を維持しつつ、移設前のパ ブリッククラウドとの比較で65%コスト削減、バッチ処理時間が 1/6に改善 従来の課題

    • セキュリティ対策として、3-2-1ルールに基づき、OCI Compute上のデータベースの論理バックアップをGoogle Cloudに日次転送し、データのオフサイトバックアップと分析基 盤へ取り込みを実施 • 当初インターネット経由でGoogle Cloudにデータ転送してい たため、Outbound転送に多大な従量費用がかかっていた 採用ポイントと導入効果 • 専用線接続により年間500万円以上のコスト削減を実現 • マルチクラウド間のシームレスな連携を容易に実現 • 閉域網経路でのデータ転送によりセキュリティを担保 システム構成イメージ ✓マルチクラウド構成： OCI (ゲームサービス基盤) / Google Cloud (バックアップ保管) 利用サービス・製品 • Oracle Interconnect for Google Cloud • Compute, Block Volume, FastConnect 顧客事例：マイネット様 Copyright © 2025, Oracle and/or its affiliates 21

22. ゼロ・トラスト・フレームワーク の導入を検討 日本における 内部不正による 大きなインシデント ゼロ・トラスト・フレームワーク の導入の理由 ② ゼロトラスト・内部不正対策の強化 Copyright

    © 2025, Oracle and/or its affiliates 22 10年ごと 出典：Paloalto What's Next in Cyber 出典：Paloalto What's Next in Cyber 99% 52% 49% 47% 拡大するサプライチェーン ベンダーエコシステム 攻撃の高度化と頻度 ハイブリットワーク

23. • Living Off The Land (LotL)攻撃とは、攻撃対象のシステム内の正規 ツールやコマンドを悪用して攻撃を回避する手法 • もともとは、食糧や軍事物資などを「現地調達」を意味する軍事用語 •

    2024年6月にNISCから注意喚起 • 事例：ハッカーグループ「Volt Typhoon」によるスパイ活動 • アメリカや他国の重要インフラに対してWMIやPowerShellを使い、検出を回避 しながら情報収集を行っていると米国CISAが報告 • CISAが求める対策：パッチ適用、多要素認証、ログの取得と保全、サポート 終了製品の使用停止 • 特徴 • ステルス性：既存ツールを使い、攻撃の兆候を隠蔽 • ツールの悪用: 標準でインストールされているツールを利用で不正操作 • Windows：PowerShell, PsExec, WMI • ネットワークの悪用: 通常のネットワークトラフィックで情報窃取と横展開 脅威をステルス化するLiving Off The Land攻撃 Copyright © 2025, Oracle and/or its affiliates 23 ・ RDP ・ Linux : bash 出典：https://www.nisc.go.jp/pdf/news/press/240625NISC_press.pdf 出典：https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a

24. 内部不正事案の課題と解決策 Copyright © 2025, Oracle and/or its affiliates 24 •

    境界突破、内部不正、通常の運用を装った攻撃を想定した対策が必要です • 日本の企業の多くは、1人の権限者に偏った仕組みで運用され、不正アクセスを阻止できていません。 • 米国では、特権者も「Need to Knowが当たり前」で、暗号化、管理者の職務分掌が実装されています。 事件を 未然に 防ぐ 事案の課題 求められる解決策 OSの管理者権限を使用した 機密データの持ち出し データ暗号化 データベースの管理者権限 による機密データの持ち出し 管理者の職務分掌 故意犯が1人いた時に 不正アクセスを阻止できなかった 複数人いないと犯行が出来ない仕組み ログの削除等によって 不正操作の内容が特定できない ログの改竄・消去の防止 怪しい振る舞いを見つけられない 異常操作の発見＆警告 不正行為を 早期に発見

25. 新しい脆弱性の公開から 攻撃者がそれを利用して 攻撃するまでの平均日数 ③自動化の活用：人的ミスによるデータ損失リスクの軽減 Copyright © 2025, Oracle and/or its

    affiliates 25 85% 出典：FortiGuard Labs 67% クラウドプラットフォームの 設定ミス／誤った設定が、 最大のセキュリティ脅威 出典：ISC 2021 Cloud Security Report セキュリティ侵害の85%は、 CVE公表後に発生 （防御可能だった） 出典：Oracle and KPMG Threat Report 2020 4.76日

26. AIサイバー攻撃技術が アクセスと侵入段階で 利用される割合 ④ AIの進化：リスクと活用 Copyright © 2025, Oracle and/or

    its affiliates 26 56% 出典：The Emerging Threat of Ai-driven Cyber Attacks: A Review 95% 従来の脅威ハンティングを AIに置き換えることで、 向上する検出率 出典： The Impact of AI on Cybersecurity 導入検討中のセキュリティ 対策においてAI 採用は 必須 出典：Oracle and KPMG Threat Report 2020 95%

27. 生成AIによりサイバー攻撃の巧妙化、容易化が企業活動におけるリスクになっています Cybercrime as a Service サイバー攻撃に必要なツールやサービスを提供するビジネ ス。サービス利用者は、容易にランサムウェアや脆弱性を 利用した攻撃ツールを作成し、攻撃に使用できる。サイ バー犯罪版のSaaSである。 生成AIや機械学習を用いて攻撃が巧妙化、高度化し

    ています。 生成AIでランサム作成の男に懲役4年求刑 インターネット上で公開されている対話型の生成AIを悪 用してランサムウエアを作成したとして不正指令電磁的 記録作成の罪などに問われた被告の論告求刑公判が1 日、東京地裁であった。 Source:日本経済新聞 27 Copyright © 2025, Oracle and/or its affiliates

28. ワンデイ脆弱性 ワンデイ脆弱性とは、その内容や修正プログラム（パッチ）が公開されたばかりの脆弱性を 指し、公開されていない脆弱性はゼロデイ脆弱性 [これまで] 脆弱性情報が公開されている場合でも、悪用方法が具体的に記載されているわけではな く、攻撃者は脆弱性情報を元に試行錯誤し、悪用方法を特定してエクスプロイトを完成さ せる必要があり一定の技術スキルが必要だった [今回の検証] 公開済みの脆弱性情報やエクスプロイト、攻撃手法を学習したLLM(大規模言語モデル) を使用。LLMエージェントは、脆弱性情報と特定のプロンプトを組み合わせることで、脆弱

    性を突く攻撃プログラムを自律的に生成し、実際に攻撃を仕掛けることができるのか調査 Copyright © 2025, Oracle and/or its affiliates 28 出典： https://xtech.nikkei.com/atcl/nxt/column/18/00676/042500166/ 出典： https://arxiv.org/html/2404.08144v2 [結果] 15種類のワンデイ脆弱性を検証。GPT-4が突き抜けて成功し、5回の施行で成功率は86.7％ [コスト] LLMエージェントでの攻撃成功にかかるコストは平均8.8ドル。セキュリティ専門家を雇った場合の攻撃コストは25ドル

29. サプライチェーン攻撃で、 個人情報や知的財産を 狙った攻撃の割合 出典： PwC: Is your organization too complex

    to secure? ⑤ データセキュリティ：プライバシー保護とデータレジリエンシー Copyright © 2025, Oracle and/or its affiliates 29 プライバシー法を施行の国 71％ データ保護が十分に行われ ていない 48% 出典：Palo Alto Networks2024年版クラウドネイティブ セキュリティ 情勢レポート 58%

30. Copyright © 2025, Oracle and/or its affiliates 30 オラクルのセキュリティへの取り組み Oracle

    Cloud Infrastructure

31. Oracle Corporationの生い立ち SECURITY PART OF OUR DNA Security is not

    Optional, it is FOUNDATION. 設立前 AMPEX社に勤務していたLarry Ellisonが、CIAのプロ ジェクトOracleに参画 1977年 Software Development Labs設立 1978年 CIA が世界初の顧客となる。 採用されたデータベースは商用化前のもの。 1979年 世界で初めてリレーショナル・データベースを 商用化(Oracle Version 2) Wright-Patterson空軍基地が採用 1982年 企業名を “Oracle Corporation” に改名。 1998年 データベースベンダーとして初めて、 Common Criteria EAL4 を取得 2005年 Critical Patch Update を開始 2011年 DatabaseをPaaSサービスとして提供開始 2017年 Oracle Cloud 第二世代提供開始 2018年 Autonomous Database 提供開始 2020年 Maximum Security Zones 提供開始 Copyright © 2025, Oracle and/or its affiliates 31

32. セキュリティ統制を実現 オラクル クラウドの共同セキュリティ・モデル Copyright © 2025, Oracle and/or its affiliates

    32 サービス形態 責任範囲 OS アプリケーション IaaS PaaS SaaS データセンター 設備 物理サーバー・ ネットワーク ミドルウェア アプリケーション データ データセンター 設備 物理サーバー・ ネットワーク ミドルウェア OS アプリケーション データ データセンター 設備 物理サーバー・ ネットワーク OS ミドルウェア データ ：お客様責任範囲 ：Oracle責任範囲 お客様側でツールの活用や セキュリティ構成の管理を実施 Oracle が力を入れて 取り組んでいるところ Cloud Provider 基本的に実施すべき セキュリティ設定の数 ※1 推奨セキュリティ設 定事項の総数 OCI 18 51 A社 29 61 M社 48 (30) ※2 151 (76) ※2 2024/1 時点でのCISベンチマークにて作成 ※1 CIS BenchmarkのIG1、基本設定項目にて定義されている対象の設定 項目 ※2 参考のため、Database、アプリケーションサービス、その他のM社独自で定 義されている設定項目を排除した数を括弧内に提示 CISの各クラウドむけFoundationsベンチマークの比較 利用者に求められるセキュリティ対策が3分の2 • CIS(セキュリティ標準を策定する米国の非営利団体) が 定義するセキュリティ設定ガイドラインの比較 • 設定項目の少なさ≒シンプルでヌケモレが少ない オラクルはセキュアなクラウド・ インフラとサービスを提供

33. 侵入を未然に防ぐ データの改ざん対策 ① サイバーレジリエンス：事前防御と事業回復 Copyright © 2025, Oracle and/or its

    affiliates 33 自動パッチ適用 Autonomous Database/Linux 多要素認証など厳格な認証： IAM identity domains 不正な振る舞いの検知： Cloud Guard Threat Detector セキュアな構成： Cloud Guard/Data Safe バックアップ保護と 確実なデータ復旧 Zero Data Loss Recovery Appliance / Zero Data Loss Autonomous Recovery Service 障害直前までデータ欠損なく復旧 クラウドにDR環境とバックアップ環境構築 Object Storageの保持ルール機能： 指定した期間の上書き・削除不可 Database Vault： データのアクセス制御 (改ざん・削除) マルチクラウドを活用した オフサイトバックアップ Blockchain Table： データの改竄防止

34. オラクルはバックアップを堅牢に保護し、被害直前の状態へ迅速に復旧 ランサムウェア対策を可能にする バックアップリカバリサービス Copyright © 2025, Oracle and/or its affiliates

    ①攻撃者が簡単に アクセス可能 ③データ破壊が 簡単に行える ②データ 搾取 ④復旧:バックアップ時点 ⑤手動のリカバリ検証 ③指定期間 削除不可 ①攻撃者を 近づけない ②DB暗号化 ④復旧:破壊直前 ⑤リカバリの担保 Zero Data Loss Recovery Appliance Zero Data Loss Autonomous Recovery Service 犯人から見えない領域でバックアップを作成、保持 Redoログ取得と適用により、破壊直前までのデータを復旧 DB暗号化による保護 完全性の担保されたバックアップにより迅速な復旧 一般的なストレージ・バックアップ • OSコマンドで容易に特定し、簡単に破壊可能 • 暗号化されていないデータが持ち出される • バックアップ取得後のデータ復旧は不可能 • 多大な工数が必要になる手動のリストア作業 34

35. OCI オンプレミス ハイブリッド・クラウド構成を活用した高可用性の担保とランサムウェアからの保護 Copyright © 2025, Oracle and/or its affiliates

    35 アプリケーション FastConnect または VPN DR用 データベース Data Guard 本番 データベース マネージド サービス Autonomous Recovery Service Recovery Appliance • オンプレミスのデータベースのバックアップとして、Zero Data Recovery Applianceを活用し保護 • 高可用性のため、DR（災害復旧）環境をOCI上に構築し、データベースを稼働。バックアップには、 Zero Data Loss Autonomous Recovery Serviceを活用することで堅牢に保護 • DRは、Oracle Database@Azureでも実装可能

36. ②ゼロトラスト・内部不正対策の強化 Copyright © 2025, Oracle and/or its affiliates 36 •

    日本の企業の多くは、1人の権限者に偏った仕組みで運用され、不正アクセスを阻止できていません。 • 米国では、特権者も「Need to Knowが当たり前」で、暗号化、管理者の職務分掌が実装されています。 事件を 未然に 防ぐ対策 課題 求められる解決策 不正行為を 早期に発見 する対策 OSの管理者権限を使用した 機密データの持ち出し データ暗号化 データベースの管理者権限 による機密データの持ち出し 管理者の職務分掌 故意犯が1人いた時に 不正アクセスを阻止できなかった 複数人いないと犯行 が出来ない仕組み ログの削除等によって 不正操作の内容が特定できない ログの改竄・消去 の防止 怪しい振る舞いを見つけられない 異常操作の 発見＆警告 無償(標準) 無償 無償 Base HP ～ (*) Base HP ～ (*) 価格(クラウド) オラクルは、本事案を解決する暗号化、管理者の職務分掌などのソリューションを古くから提供しています オラクルのみが提供している機能 * Base Database High Performance以上で利用可能

37. ③ 自動化の活用：人的ミスによるデータ損失リスクの軽減 Copyright © 2025, Oracle and/or its affiliates 37

    セキュリティ対策の自動化 セキュリティポリシーの自動有効 リスクのある設定を自動検知 強力、完全なテナント分離 IAM identity domains： 認証強化 Autonomous Database： 自動パッチ適用 格納時・転送時の 強制的な暗号化 Oracle Cloud Guard： クラウドセキュリティポスチャ管理 Oracle Data Safe： データベースのリスク評価 Oracle Security Zones： セキュリティポリシーの自動有効 VM Database Security Zones 管理者 OCI Zero Trust Packet Routing ネットワークポリシーの強制

38. 人的ミスを軽減するネットワーク構成とセキュリティポリシーの分離 OCI Zero Trust Packet Routing Copyright © 2025, Oracle

    and/or its affiliates 38 ACL ルート表 仮想FW ACL ルート表 仮想FW ルート表 仮想FW ロードバランサ サブネット ACL アプリケーション サブネット データベース サブネット 従来のクラウド • ネットワーク担当がネットワークセキュリティを実装 • 各システムを個別に設計・実装し、人手を介して設定 • 多数のポリシー管理が煩雑でリスク増大 • セキュリティ責任者が、人間の言語でルールを記載 • ZPRが解釈、人手を介さずセキュリティポリシーを強制 • ネットワーク担当は実装に直接介在しない ロードバランサ サブネット アプリケーション サブネット データベース サブネット Oracle Cloud Infrastructure Zero Trust Packet Routing セキュリティポリシー (誰がどのデータにどの経路でアクセスできるか) ネットワーク 管理者 セキュリティ 責任者

39. ④ AI：リスクと活用 Copyright © 2025, Oracle and/or its affiliates 39

    セキュアなクラウド基盤を提供 お客様固有のデータをセキュア かつ鮮度の良い情報を活用 強力、完全なテナント分離 安全なオペレーターアクセス 安全な状態を復元： Root of Trust、OSパッチ適用 格納時・転送時の 強制的な暗号化 Oracle Database 23c AI Vector Search 生成AI（LLM） Oracle Cloud Guard Threat Detector リスクのある振る舞いを自動検知 汎用AIモデル お客様固有 データ Retrieval-Augmented Generation(RAG) ＋ データガバナンス

40. オラクルは様々なデータ配置を提供 ⑤ データセキュリティ：プライバシー保護とデータレジリエンシー Copyright © 2025, Oracle and/or its affiliates

    40 クラウド基盤 データベース基盤 お客さまの データセンター お客さまの データセンター Oracle 全てのOCI機能 Public Cloud Dedicated Region Alloy お客さまの データセンター お客さまの データセンター Oracle 同一のセキュリティ機能を提供 フル マネージド ExaDB ADB(*) Cloud@ Customer ADB インフラはオラクル管理、 データベースはお客さま管理 Oracle ExaDB on Cloud@ Customer Base Database データが存在する 地域や操作者に 関する要件を充足 厳格な保証および データ保持主体の 要件を満たすよう設計 OCIネイティブのセ キュリティ機能、 パーティのソリュー ションでデータ保護 * ADB : Autonomous Database

41. Oracle Cloud のセキュリティの強み Copyright © 2025, Oracle and/or its affiliates

    41 設計から組み込まれ セキュリティ不備を最小化 標準機能で提供 データ中心のセキュリティ • 全リージョン、全インスタンスがセキュリ ティ・バイ・デザインされた環境 • デフォルトがセキュアな設定で安全側に 倒されている (Default Deny) • データの暗号化はデフォルトで実施、 ユーザーが解除できない • 自動化されたセキュリティ管理を標 準・無償で提供されている • 他社では複数サービスが必要で、開 発工数とサブスクリプション価格で高コ ストになる • データベースのセキュリティ対策まできちん と取り組んでいるのは、Oracleぐらい • 重要データの所在・リスク評価・監査する データ・セキュリティ監視を無償で利用できる • データを中心に多層で保護するための構築 済みセキュリティサービスを提供している お客様からの評価から “最新のセキュリティ機能を積極的に無償で機能追加しているOCIも高く評価しています。私たちは これら新機能をいち早く利用し、セキュリティ強化に役立てています。” 株式会社マイネット 技術統括部 セキュリティグループ長, 前田 高宏 氏

42. 堅牢なセキュリティ機能を 無償/低コスト で提供 強固にお客様データを保護し、事業継続リスクを最小化 機能 機能名 価格 セキュリティ・ バイ・デザイン 強力、完全なテナント分離

    Isolated Network Virtualization / Bare Meta 標準機能 強制的な暗号化 Encryption by Default 標準機能 階層型権限管理 Compartment 標準機能 自動化された セキュリティ管理 リスクのある設定・行動を自動検知 Cloud Guard 無償 ポリシーの自動適用 Security Zones 無償 脆弱性スキャン Vulnerability Scanning 無償 暗号鍵管理 Vault 無償～ オンラインでのパッチ適用 Autonomous Database 無償 (*1) 自動化されたログ分析 Logging Analytics 10GBまで無償 バックアップ保護と確実なデータ復旧 Zero Data Loss Autonomous Recovery Service 有償 データ中心の 多層防御 DBセキュリティ対策の自動化 Data Safe 無償～ (*2) 特権ユーザー管理 Database Vault BaseDB HP ～ (*3) 多要素認証、リスクベース認証 IAM Identity Domains 無償～ (*4) ボット対策とWAF Web Application Firewall 無償～ (*5) 次世代ファイアウォール (NGFW) OCI Network Firewall 有償 *1 Autonomous Database 利用時に無償で利用可能 *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償 *3 Base Database High Performance以上で利用可能 *4 無償で利用できるユーザー数や機能に制限あり *5 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥84 [1,000,000インカミングリクエスト/月]、¥700[インスタンス/月] 42 Copyright © 2025, Oracle and/or its affiliates

43. 多層防御によるデータ中心のセキュリティ Copyright © 2025, Oracle and/or its affiliates 43 データ中心の

    セキュリティ 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS 内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース データ 強制的な 暗号化 監査証跡 バックアップ保護 とデータ復旧 設定ミスの 検知・是正 多要素認証 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Oracle Cloud Infrastructure NWセキュリティ ポリシーの強制 Web Application Firewall IAM Identity Domains/ Access Governance Security Zones Data Safe Observability and Management Threat Intelligence Autonomous Database Vulnerability Scanning Network Firewall Cloud Guard Cloud Guard Threat Detector Database Vault Zero Trust Packet Routing Platform Autonomous Recovery Service

44. オラクルが提供するソリューション 44 Copyright © 2025, Oracle and/or its affiliates 2

    3 4 5 サイバーレジリエンス： 事前防御と事業回復 ゼロトラスト・内部不正 対策の強化 自動化の活用：人的ミスに よるデータ損失リスクの軽減 AI：リスクと活用 データセキュリティ：プライバシー 保護とデータレジリエンシー 1 アカウント乗っ取り 多要素認証 (IAM Identity Domains/IDCS) 脆弱性を突いた攻撃 脆弱性スキャン・自動修復、WAF、次世代FW (Autonomous Database、Vulnerability Scanning/ Web Application Firewall / Network Firewall) 不正アクセスの早期発見、 操作内容が不明 不正な操作の早期検知 (Cloud Guard, Data Safe, Logging Analytics) データプライバシー データレジリエンシ対応 要件に応じデータ配置の柔軟性 (Dedicated Region, Alloy, Cloud@Customer Zero Trust Packet Routing) 設定ミスを突いた攻撃 リスクのある設定・行動を自動検知 (Cloud Guard, Data Safe) 機密データの持出、破壊 保存データの不可視化、データ改ざん対策 (暗号化, Vault, Data Safe, Database Vault) データが復旧できない バックアップ保護と確実なデータ復旧 (ZDLAR/ZRCV) 対策 課題
45. None