【Oracle Cloud ウェビナー】パスワードだけでは守れない時代～多要素認証で強化する企業セキュリティ～

Transcript

1. Oracle Cloud ウェビナー パスワードだけでは守れない時代 ～多要素認証で強化する企業セキュリティ～ 2025年11月12日 日本オラクル株式会社 クラウド事業統括 製品事業統括 OCI

   Platform COE本部 Security & Management ソリューション部 石井 宏一郎

2. 本日の流れ 2 Copyright © 2025, Oracle and/or its affiliates 1

   2 3 4 セキュリティトレンド：ID・認証を取り巻く最新動向 オラクルのID・アクセス管理への取り組み OCI IAM Identity Domainsで実現する多要素認証 さいごに

3. １. セキュリティトレンド：ID・認証を取り巻く最新動向 3 Copyright © 2025, Oracle and/or its affiliates

4. 近年、日本国内において多くの情報漏洩事件が発生 10万件以上の情報漏洩、若しくはランサムウェア被害等で報道で大きく取り上げられたものを抜粋 4 Copyright © 2025, Oracle and/or its affiliates

   年 法人・団体名 件数・人数 原因 漏洩内容 2025 アスクル 調査中 ランサムウェア 受注・出荷停止、物流システム広範囲影響。取引先の企業や個人情報の流出を確認 アサヒグループHD 調査中 ランサムウェア 受注・出荷・コールセンター停止。復旧未定。個人情報流出の可能性ありと発表 レゾナック - (システム障害) ランサムウェア グループ会社のサーバーが攻撃を受け、ランサムウェア感染が判明。一部業務に支障が発生 保険見直し本舗 約510万件 ランサムウェア データサーバーの一部に保管しているファイルがランサムウェアによって暗号化され漏洩した可能性 サンリオエンターテイメント 最大200万件 ランサムウェア ネットワーク経由でのランサムウェア攻撃により最大200万件の個人情報が漏洩した可能性 2024 JAXA - (障害、搾取) 不正アクセス VPNの欠陥をつき認証情報を奪取し機密文書へアクセス。攻撃は複数回行われている KADOKAWA 25万4241件 ランサムウェア プライベートクラウドやクラウド上のシステムがランサムウェアの2重脅迫により業務に多大な影響 HOYA - (障害、搾取) ランサムウェア 攻撃者が特定のサーバーにアクセスし、ファイルを窃取しサプライチェーンに大きな影響 イズミ - (システム障害) ランサムウェア 複数サーバーが感染し、会員サービスなど多数のサービスを休止。完全復旧に２ヶ月強を要する 2023 LINEヤフー 約44万件 不正アクセス 韓国の委託先企業のPCがマルウェアに感染。共通の認証基盤環境を経由し不正アクセス NTTビジネスソリューションズ 約900万件 内部不正 元派遣社員が約10年間にわたって顧客情報をシステムの管理者権限を使い不正に持ち出し 名古屋港運協会 - (システム障害) ランサムウェア ランサムウェアによりシステムのデータが暗号化されコンテナ搬出入が行えず物流に影響 トヨタコネクティッド 約215万件 設定ミス クラウド環境の誤設定により顧客情報が2013年11月～2023年4月まで閲覧できる状態に NTTドコモ 最大約529万件 内部不正 業務委託先から「ぷらら」、「ひかりTV」の利用者の情報が外部に流出した可能性 2022 大阪急性期・総合医療センター - (システム障害) ランサムウェア 電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止 ニトリホールディングス 約13万2,000 パスワードリスト型 スマートフォンアプリ「ニトリアプリ」の認証プログラムに対する不正アクセス 尼崎市 (46万517人) 内部不正 再委託先の従業員がデータ移管作業のためにUSBメモリーを不正に持ち出し、一時紛失 森永製菓 164万8,922名 不正アクセス ネットワーク機器に内在していた脆弱性を突いて複数のサーバーへ攻撃 2021 警視庁 26万件 内部不正 特権IDで捜査情報や人事情報に不正アクセス。上司のPCから運転免許データ26万件を削除 村田製作所 72,460件 内部不正 会計システムの更新プロジェクトに携る中国の再委託先社員が、取引先情報などを不正取得 松井証券 210名 内部不正 システム開発担当企業のSEが、 顧客のID、パスワード、暗証番号を不正入手 ソフトバンク 170の機密ファイル 内部不正 ライバル企業に転職した元社員の社外秘情報持ち出し

5. 不正侵入の経路で多く狙われる手口 『2024年度 中小企業における情報セキュリティ対策に関する実態調査』 (2025/5) より 5 Copyright © 2025, Oracle

   and/or its affiliates 不正侵入の多くが 「脆弱性の放置」や「弱い認証設定」 を狙ったもの また、サプライチェーンを経由した侵入も 少なくない https://www.ipa.go.jp/security/reports/sme/nl10bi000000fbvc-att/sme-chousa-report2024r1.pdf • 認証情報の管理不備が重大な侵入の引き金となるため、多要素認証 などの強化策が推奨される。（Q37） • サプライチェーン全体で求められるセキュリティの標準とその実装がビジネス の信頼性確保に重要であることを示唆している。（Q56、Q57）

6. 認証に関する近年の動向 パスワード認証の限界 認証要素を狙った脅威の増加 ⚫ 近年、AT&T や Ticketmaster などで、多要素認証 をはじめとした基本的なサイバーセキュリティ対策が不 十分であったためにデータ侵害が発生

   ⚫ フィッシングや情報窃盗型マルウェアによって認証情報 を奪取され、不正アクセスされるリスクも増加傾向 ⚫ 特に日本は生成AIによる言語の壁がなくなったことに より、フィッシングメールが増加 (*1) - 2025年3月以降は毎月20万件近くのフィッシングが 報告されている (*2) パスワード使いまわしのリスク ⚫ 利用サービス数の増加に伴う、ユーザーのパスワード管 理疲れ ⚫ 他サービスで漏洩したパスワードが使い回される危険 • ３つ以上のアカウントで同じパスワードを使いまわしている 人の割合は 52% 以上 (*3) • Cloudflare で保護されているサイトログイン成功のうち 約41% は既に漏洩したパスワードが使用 (*4) - WordPressではログイン成功のうち、 48%が正規ユーザーではないボットによるもの • 漏洩したパスワードでアクセスを防ぐことができたのはわずか 5% (*4) 6 Copyright © 2025, Oracle and/or its affiliates *1 日本が今、最も狙われている—急増するDDoS攻撃とメール攻撃の実態 | Proofpoint JP https://www.proofpoint.com/jp/blog/email-and-cloud-threats/Japan-is-now-the-most-targeted-country-in-the-world *2 フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2025/09 フィッシング報告状況 https://www.antiphishing.jp/report/monthly/202509.html *3 America’s Password Habits: 46% Report Having their Password Stolen Over the Last Year – Forbes Advisor https://www.forbes.com/advisor/business/software/american-password-habits/ *4 Password reuse is rampant: nearly half of observed user logins are compromised https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/

7. 認証ガイドラインに関するトレンド（1/2） 認証に関連する国内ガイドライン 7 Copyright © 2025, Oracle and/or its affiliates

   • 総務省 - 『フィッシングメール対策の強化に関する要請』 (2025/9) これまで以上に精巧なフィッシングメールが増えていることを受け、DMARCの導入やフィッシング対策サービスの導入・強化の検 討を要請 • 内閣サイバーセキュリティセンター - 『政府機関等の対策基準策定のためのガイドライン（令和5年度版）』 特権アクセスや外部ネットワークアクセス、クラウドサービスへのアクセス、Webコンテンツの更新時、リモートメンテナンス時に多要 素認証の利用が基本対策事項として示されている • 厚生労働省 - 『医療情報システムの安全管理に関するガイドライン第6.0版』 (2023/5) 令和9年度時点で稼働している医療情報システムは、導入または更新の際、原則として二要素認証を採用することが求められ ている • 文部科学省 - 『教育情報セキュリティポリシーに関するガイドライン』 (2022/3) 取り扱う情報の重要度に応じてパスワード以外に生体認証や物理認証等の多要素認証を設定しなければならない。 • IPA - 『組織における 内部不正防止ガイドライン』 (2022/4) 利用者を正しく検証する能力を向上させるために、端末のクライアント証明書認証や利用者の多要素認証などを導入すること が望まれます。

8. 認証ガイドラインに関するトレンド（2/2） NIST SP800-63B-4 から読み解く方向性 NIST SP800-63B とは • 米連邦機関が提供する、デジタルアイデンティティサービス実装における認証に関するガイドライン •

   2025年8月26日にドラフト第4版が公開 8 Copyright © 2025, Oracle and/or its affiliates ✓ パスワードの複雑さよりも十分な長さ (15文字以上) ✓ 侵害が疑われる場合を除き、定期的なパスワード変更の要求は不要 ✓ パスワード設定時には、既に侵害が確認されているパスワードや辞書登録語、 またはサービス名などから容易に推測できる単語が含まれていないかを確認 ✓ 認証強度レベル (AAL) に関わらず、多要素認証機能の提供および利用が推奨 ✓ 認証強度レベル (AAL) の要件に基づき、複数の認証方式をサポートし、ユーザー が自らのニーズに最適な方式を選択できるようにする いまや「多要素認証」は、 実質的に全企業が導入すべき必須要件となりつつある

9. 多要素認証とは 2つ以上の要素の組み合わせによる認証 9 Copyright © 2025, Oracle and/or its affiliates

   知識・記憶による認証 SYK: Something You Know 例）パスワード、PIN、秘密の質問 多要素認証 ＝ 2つ以上の要素の組み合わせによる認証（例：パスワード＋指紋） 所有物による認証 STH: Something You Have 例）ICカード、スマホ 生体による認証 SYA: Something You Are 例）指紋、静脈、虹彩、顔 ※ 多段階認証 ＝ 1つ以上の要素を複数回行う認証

10. 各認証要素による強度 リスクに応じた要素の組み合わせ 認証方式ごとの強み・弱みを理解し、システム要件や脅威に応じて最適な多要素構成を選定することが重要 10 Copyright © 2025, Oracle and/or its

    affiliates ◦：防御効果あり △：一部攻撃を防げるが、運用・攻撃次第で突破される可能性あり ✕：防御効果なし パスワード 漏洩 フィッシング リアルタイム フィッシング マルウェア (キーロガーなど) 運用における考慮点 パスワード ✕ ✕ ✕ ✕ NISTのパスワードガイドラインに 沿った運用が推奨される 多要素認証 SMS ◦ △ ✕ ✕ ー メール ◦ △ ✕ ✕ ー 認証アプリ ◦ △ △ △ ー パスキー (FIDO2) ◦ ◦ ◦ △ ー ハードウェア (YubiKeyなど) ◦ ◦ ◦ ◦ 利用者へのデバイス配布・管理、 紛失時対応等のコストが発生 証明書 (PKIなど) ◦ ◦ ◦ △ 証明書の配布・更新・ 失効管理などPKI運用が必要

11. 証券業界では認証強化が本格化 『インターネット取引における不正アクセス等防止に向けたガイドライン』 (2025/10) 近年の証券口座乗っ取り被害の増加を受け、「インターネット取引における不正アクセス等防止に向けたガイドライン」の 改正案にて、パスキーなどのフィッシング耐性のある多要素認証を必須化 11 Copyright © 2025, Oracle

    and/or its affiliates ① フィッシングに耐性のある多要素認証の実装及び必須化 ログイン時、出金時、出金先銀行口座の変更時など、重要な操作時3における フィッシングに耐性のある多要素認証（例：パスキーによる認証、PKI（公開鍵 基盤）をベースとした認証）の実装及び必須化（デフォルトとして設定）する。 なお、内外の環境変化や事故・事件の発生状況を踏まえ、定期的かつ適時に リスクを認識・評価し、必要に応じて認証方式等の見直しを行うこと。 https://www.jsda.or.jp/about/hatten/inv_alerts/alearts04/files/20251015_internetgl.pdf

12. パスキーとは パスワード認証に変わる新しい認証方式 ✓ 公開鍵暗号をベースとし、デバイスがもつ認証機能を組み合わせた認証技術 ✓ FIDO標準に基づき、デバイスの生体認証（指紋・顔）でログイン ✓ 正規のサイトのドメインと対になる形でパスキーが生成されるため、ドメインが異なるフィッシングサイトでは認証されず、 フィッシング攻撃に強い ✓

    サーバーには公開鍵しか残らないため、漏洩した際の二次被害を軽減 12 Copyright © 2025, Oracle and/or its affiliates 保持する秘密鍵を 使用するために端末で認証 公開鍵 秘密鍵 クライアント 認証サーバー ① チャレンジコードを送信 ② チャレンジコードを署名 ③ 署名されたチャレンジコード を検証

13. パスワードレス 認証トレンドの変遷 パスワードからパスキーまで 13 Copyright © 2025, Oracle and/or its

    affiliates ｖ パスワード 多要素認証 わずか３年で新標準が普及 この変化に柔軟に追随できる基盤整備が求められている ～1990年代 パスワード認証 2000年代 ワンタイムパスワード 2010年代 SMS / メールによる ２要素認証 2022年～2025年 「パスキー」ブランド化 各企業が続々と パスキー対応を発表

14. トレンドから導かれる「ID基盤」の要件 従来のネットワークの境界防御に加え、今やID管理もセキュリティ境界として重要な要素に 14 Copyright © 2025, Oracle and/or its affiliates

    従来のID管理の限界 クラウド化、リモートワーク、SaaS 利用の増加 • SaaS連携の複雑さ • 新しい認証方式への追従コスト • 運用負荷の高さ 最新の脅威に対応するための要件 • パスワード依存からの脱却（パスキーなど） • 変化する新しい認証方式・規格への継続的対応 • 高いセキュリティと利便性（UX）の両立 背景の変化 利用サービス・提供サービス増加に伴う「スクラッチ開発の工数」「人材不足」など課題の中、要件を効率的に満たすには クラウド時代に最適化されたID管理基盤 「 IDaaS (Identity as a Service) 」 の活用が鍵

15. IDaaS（Identity as a Service）とは クラウド上で認証・ID管理基盤を提供するサービス ⚫ ID管理、認証、認可、シングルサインオン、多要素認証（MFA）などの機能を提供するクラウドソリューション ⚫ さまざまなサービスで中核となる認証基盤をクラウドサービスとして実装 ⚫

    認証処理や関連機能を IDaaS がサービスとして提供することで、基盤構築や開発・運用負荷を軽減 ⚫ 以下のようなID・認証に関する課題の解決に寄与 ✓ システムごとに異なるID/パスワードを管理する手間や、パスワード忘れによる利便性の低下を防止 ✓ サービスごとのパスワードをメモなどに書き留めることによる情報漏えいや不正アクセスリスクを低減 ✓ 安全でスムーズなログイン体験を実現 15 Copyright © 2025, Oracle and/or its affiliates Identity as a Service ID管理 シングルサインオン 多要素認証 …etc 認証処理 認証ログ管理 クラウドサービス ネイティブアプリケーション Webアプリケーション ユーザー

16. OCI IAM Identity Domains WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) 16 Copyright © 2025, Oracle

    and/or its affiliates •認証連携 •認可制御 •多要素認証 •ユーザー管理 等 オンプレミス OCI IAM Identity Domains 認証連携(シングルサインオン) 認証強化 管理 • 様々な方式によるユーザーやグループの管理 • Active Directoryを利用したユーザー管理 • アクセス証跡の管理と確認 他社クラウド クラウド イントラネット インターネット 認 証 連 携 /SSO 認 証 連 携 /SSO 利用者 2要素認証 リスクベース認証 認 証 連 携 /SSO Oracle SaaS/PaaS 開発 • REST APIによる操作 • ログイン画面等の開発 • モバイルやEmail、SMSを利用した2要素認証 • 利用者情報(IPアドレス,所属グループ)に応じた認証制御 • ユーザー行動分析によるリスク評価 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • Gatewayモジュールによるオンプレミスアプリとの認証連携 • Entra IDなどの外部IdPとの認証連携 Webシステム

17. 開発・運用負荷を 軽減 負荷を削減する充実した標準機能 • 自社サーバーなどの大規模リソース 管理や運用リソースを軽減 • REST API を通じた

    アプリケーション機能への組み込み • 認証情報の暗号化を標準で提供 • 二要素認証の実装コストを削減 利用増減に強い 認証基盤 柔軟なスケーラビリティを実現 • ユーザー/アプリケーション数の増減 に柔軟かつ迅速に対応 • サービスリリースやイベント等による アクセス急増に対応するスケーラビ リティを提供 セキュリティトレンドの 自動享受 進化する脅威への 柔軟なセキュリティ対応 • FIDOやワンタイムパスワード、 パスワードレスへの対応など セキュリティトレンドを迅速に適用 • Managedサービスとしての 各種コンプライアンスへの準拠 IDaaS / Identity Domains で認証システムを構築する価値 Copyright © 2025, Oracle and/or its affiliates 17

18. ２. オラクルのID・アクセス管理への取り組み 18 Copyright © 2025, Oracle and/or its affiliates

19. オラクルのセキュリティへの取り組み DC事業者に求める要件やセキュリティ統制を インターネットにて公開し、透明性を確保 製品開発・実装にセキュリティを組み込む 手法を公開 Oracle Software Security Assurance オンプレミスやクラウドを問わず、製品ライフサイクル全体を通じて

    一貫したセキュリティ管理を実現するための開発・実装手法 19 Copyright © 2025, Oracle and/or its affiliates https://www.oracle.com/jp/corporate/suppliers/ https://www.oracle.com/corporate/security-practices/assurance/

20. オラクルのID管理・認証管理への取り組み 20年以上に渡りID管理・認証管理の領域で製品・サービスを提供 20 Copyright © 2025, Oracle and/or its affiliates

    1999 2005 2010 2020 OCI IAM Identity Domains LDAP、SSO機能 の提供 • LDAPディレクトリ • シングルサインオン 製品ラインナップ の拡張 • IDライフサイクル管理 • アクセス制御 • フェデレーション • コンシューマ向け体系 より高度な要件への 対応 • なりすまし対策 • リスクベース認証 • 権限管理の標準化 • 仮想ディレクトリ統合 • C/S,ホストも含めたSSO 統合IDM プラットフォームの提供 • 大規模向け基盤 • 性能向上 • 開発・実行・管理環境の 統合化 クラウド型の認証基盤（IDaaS) • 標準規格に沿った連携 • モバイル、ソーシャル対応 • 認証強化(多要素認証、リスクベース認証) • API拡充 • 既存資産の有効活用 等々 20年以上の経験を基に 機能・パフォーマンス・スケーラビリティの向上

21. ３．OCI IAM Identity Domainsで実現する多要素認証 21 Copyright © 2025, Oracle and/or

    its affiliates

22. OCI IAM Identity Domains ユースケース 22 Copyright © 2025, Oracle

    and/or its affiliates OCI IAM Identity Domains 1 従業員向け統合認証基盤 従業員が業務で利用するオンスレミスのWebアプリケーションや SaaSを中心としたクラウドサービス等の認証管理・認証強化を 実現したエンタープライズレベルの認証基盤を構築 2 従業員向けSaaSの認証基盤 従業員が業務で利用するSaaSを中心としたクラウドサービスの 認証管理・認証強化を実現したクラウド向け認証管理基盤を構築 利用者 ：従業員(正社員、契約、業務委託) 対象アプリケーション：オンプレミスWebアプリ、クラウドサービス(SaaS等) 利用者 ：従業員(正社員、契約、業務委託) 対象アプリケーション：クラウドサービス(SaaS等) 3 法人向けサービス/パッケージの認証基盤 取引先・サプライヤ・仕入先向けのWebアプリケーションや 企業向け自社開発のパッケージの認証管理や認証強化を実現 利用者 ：取引先、サプライヤ、パッケージ契約者(企業または消費者) 対象アプリケーション：企業向けWebサービス、パッケージ 4 会員(コンシューマ)向けの認証基盤 会員向けECサイトやモバイルアプリの認証強化やソーシャル認証連携、 複数ECサイトの認証連携を実現することで、会員IDの統合による UX向上とマーケティングを促進 利用者 ：会員(サイト利用者) 対象アプリケーション：ECサイト、モバイルアプリケーション

23. OCI IAM Identity Domains 機能一覧 従業員向け・会員向け認証基盤として必要な機能を標準で用意 23 Copyright © 2025,

    Oracle and/or its affiliates 認 証 連 携 （ SSO) フェデレーション技術による連携 非フェデレーション技術による連携 ソーシャル連携 (Facebook、Twitter等) EntraID等との外部IdP連携 ＋外部IdP利用ルール アプリ単位の認可管理 (アクセス可/非の制御) 認 証 強 化 パスワードポリシー 2要素認証 (SMS、Email、モバイルApp、パスキー、秘密QA） パスワードレス 2要素認証利用ルール (IPアドレスやグループ等を用いた認証ルール) アダプティブセキュリティ (リスクベース認証) ID 管 理 管理GUI(Web画面)によるID管理 CSVインポート/エクスポートによるID管理 SCIMインターフェースによるID管理 (取り込み/プロビジョニング) Active DirectoryとのID・グループ連携 LDAPとのID・グループ連携 カスタム属性の管理 管理権限の委譲 セ ル フ サ ー ビ ス プロファイル変更 パスワード変更 セルフパスワードリセット (パスワード忘れ時のリセット) 通 知 通知種類毎のON/OFF 通知内容のカスタマイズ 監 査 アクセス証跡の管理 アクセス証跡の出力・分析 開 発 REST APIによる操作 REST APIを使った各種画面のカスタマイズ

24. 提供される認証要素 本人証明を強化する複数の要素を提供 ⚫ 管理者は任意の2要素認証の手段を選択して有効化することが可能 ⚫ 利用者が複数の要素から利用する要素を選択することも可能 ⚫ 認証アプリ:Oracle Mobile Authenticator

    は App Store や Google Play から入手が可能 ⚫ 二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 24 Copyright © 2025, Oracle and/or its affiliates ワンタイムパスコード ワンタイムパスコード 通知 FIDO2対応機器 メール SMS パスキー ※Oracleオーセンティケータ のみ利用可 ※RFC 6238に準拠している Authenticatorを利用可能 認証アプリ SMS ワンタイムパスコード ※SMSの数量により 別途追加費用が発生 チャレンジQA 秘密の質問

25. パスワードポリシー 本人証明を強化にする柔軟なパスワードポリシー定義 ⚫ 最大・小文字列、再利用禁止、有効期限等の詳細なパスワードポリシーを定義可能 ⚫ ポリシーとして事前定義済みポリシー(簡易、標準)、カスタムポリシーを用意 ⚫ グループ毎に適用するパスワードポリシーを変えることが可能 例）社外から接続することが多いグループ（営業部グループ等）は強いポリシーを適用 25

    Copyright © 2025, Oracle and/or its affiliates パスワード ポリシーA パスワード ポリシーB OCI IAM Identity Domain グループ1 グループ2 グループ3 パスワードポリシー 定義項目(一部) パスワード長(最小) パスワード長(最大) 英字(最小) 数字(最小) 特殊文字(最小) 小文字(最小) 小文字(最大) 繰返し(最大) 英数字で始まる 利用禁止項目（ユーザーの姓、名、ユーザー名） 利用禁止文字列 有効期限切れまで(日) アカウント・ロックしきい値 アカウントの自動ロック解除の有効化 アカウントの自動ロック解除まで(分) 記憶されている前のパスワード 辞書に含まれるパスワード

26. ⚫ パスワードを使う代わりに認証要素として用意している他の要素を使いログインすることが可能 ⚫ 1ユーザーに複数の要素を登録可能（デフォルト要素：1つ、代替え要素：複数） パスワードレスログイン パスワードを使わない強固な認証と利便性向上 26 Copyright © 2025,

    Oracle and/or its affiliates ワンタイムパスコード ワンタイムパスコード 通知 FIDO2対応機器 メール SMS パスキー 認証アプリ SMS ワンタイムパスコード ユーザー ユーザー名指定画面 パスワードレスログイン機能では 最初にユーザー名(ID)のみを入力する必要があります 各種アプリケーション (SSO対象アプリ) 【パスワードレスログインのイメージ】 単一要素のみ または 複数要素からの選択も可能です 要素としてパスワードを使うことも可能です Emailワンタイムパスコードの例 認証アプリ通知の例 パスワードの代わりとなる要素を入力 【パスワードレスログインで利用できる要素】

27. ログイン画面のカスタマイズ 標準のログイン画面をカスタマイズするための、次の3つの方式を提供 Copyright © 2025, Oracle and/or its affiliates 27

    1．ブランディング機能（設定） ロゴや背景イメージの簡単な変更 2．Hosted Sign-In機能（設定） HTMLの記述によるロゴや背景、文言の変更 3．完全なカスタマイズ（開発） 別途ログイン画面用アプリを開発 (カスタム画面へのREST API組込み) ※一部非表示にできない項目あり ※一部非表示にできない項目あり

28. システム構成イメージ 利用サービス • Oracle Cloud Infrastructure Identity and Access Management

    会員様向けスマートフォン用「JRAアプリ」の認証管理をOCI IAM Identity Domainsで構築 背景・要件 会員様の利便性とセキュリティ面の信頼性を同時に確保する コストを抑えた認証基盤が必要 • アプリとして組み込み可能なクラウド型の認証基盤 • なりすましを防ぐために本人証明を強化する多要素認証 • 短期間でブランドイメージに沿った開発の容易性 • レース開催時の数百万人のアクセス集中に耐えられる仕組み • 会員様データを保護する堅牢な基盤とデータ・レジデンシー 採用のポイント • 多要素認証やリスクベース認証などの豊富な標準機能 • REST APIを活用したアプリケーションに組み込みやすい認証機能 • ISMAPなどの各種コンプライアンス準拠し、国内リージョンで提供 • アクセス集中時に追加コストなく迅速にパフォーマンスを強化 • 同等機能の他社IDaaSと比較して、大幅なコスト削減が可能 • 製品機能を熟知したオラクル・コンサルティングによる開発・運用支援 導入スケジュール • テスト環境構築を含め約4カ月間で認証管理基盤の構築を完了 顧客事例：日本中央競馬会 様 28 多要素認証 OCI IAM Identity Domains クラウド型の認証基盤 （IDaaS) JRAアプリ Copyright © 2025, Oracle and/or its affiliates

29. 利用サービス Oracle Cloud Infrastructure Identity and Access Management Oracle Cloud

    Infrastructure Web Application Firewall Oracle Cloud Guard Oracle Cloud Infrastructure Logging Oracle Cloud Infrastructure Monitoring クロノス株式会社 様 29 新サービス「クロノス経費精算」に多層防御の対策 により、セキュリティリスクを軽減 ©JRA リスクへの対抗 認証：”OCI IAM Identity Domains”を利用し、多要素認証(MFA)による なりすましの防止、シングルサインオンによる認証の統合と強化を実現 通信：”OCI Web Application Firewall”により、悪意のある通信や 過剰なアクセスからサービスを保護 脆弱：”Oracle Cloud Guard”により稼働中サービスやシステムのリアルタイム な診断で脆弱性を早期発見、あらゆる脅威に強いSaaS構成を維持 リスクの可視化と解決 監視：”OCI Monitoring”などにより、各サービスの状況を可視化して、 直感的に全体を把握、連携した通知システムでリスクの早期伝達 分析：”OCI Logging”を利用し、様々な状況をログとして記録し、分析に よる迅速な真相解明 システム構成イメージ OCI Security サービス トラフィック監視 ブロック 多要素認証 シングルサインオン 脆弱性の 自動検知・是正 ログの 管理・分析 Copyright © 2025, Oracle and/or its affiliates

30. OCI IAM Identity Domainsの課金タイプ 30 Copyright © 2025, Oracle and/or

    its affiliates ✓ OCI IAM Identity Domainsに4つのタイプ(課金タイプ)を用意 ✓ 各Identity Domainには異なる機能セットとオブジェクト制限、サービス制限(タイプ別の個数制限)あり タイプ Free Oracle Apps Premium Premium External User 概要 (Usecase） • OCI IaaSおよびPaaSのリソースへの アクセス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへのアクセス管理 • 加えてオンプレミスやOCI IaaS上の Oracleアプリケーション(Oracle EBS、 PeopleSoft等)のアクセス管理 • 完全なIAM機能を提供し、 すべてのOracleアプリケーションおよび Oracle以外のアプリケーションに対するア クセス管理 • 完全なIAM機能を提供しコンシューマ向けの アプリケーションに対するアクセス管理 機能制限 あり あり なし あり オブジェクト制限 あり あり あり あり 利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリケーショ ンのアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証 Not(Employee or Contractor or Outsourcer) 価格 無償 ¥38.75（User Per Month) ※登録ユーザーへの課金 Oracle Cloud Infrastructure Identity and Access Management – Oracle Apps Premium ¥496（User Per Month) ※登録ユーザーへの課金 Oracle Cloud Infrastructure Identity and Access Management – Premium ¥2.48（User Per Month) ※登録ユーザーへの課金 Oracle Cloud Infrastructure Identity and Access Management – External User 注意事項 ーー • MFA要素「SMS」は別途課金が発生 4.65円/SMS • MFA要素「SMS」は別途課金が発生 4.65円/SMS • MFA要素「SMS」は別途課金が発生 4.65円/SMS • 従業員「2,000」ユーザーまで登録可能

31. OCI IAM Identity Domains タイプ毎のオブジェクト制限（一部） 31 Copyright © 2025, Oracle

    and/or its affiliates 詳細：https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm タイプ オブジェクト Free Oracle Apps Premium Premium External User 管理ユーザー数 2,000 1,000,000 1,000,000 100,000,000 管理グループ数 250 100,000 100,000 100,000 グループ内のユーザー 2,000 100,000 100,000 100,000 Oracle Cloudアプリ 2,000 2,000 2,000 ーー Oracle以外のアプリケーション 2 10 5,000 5,000 サインイン・ポリシー 5 200 200 200 外部IdPsおよびソーシャル・ログイン 5 30 30 30 ユーザーあたりのAPIキー 3 3 3 ーー ユーザーあたりの認証トークン 2 2 2 ーー ユーザーあたりのOAuth2クライアント資格証明 10 10 10 ーー IAMポリシー 100 100 100 ーー 1つのIAMポリシー内のステートメント 50 50 50 ーー 動的グループ 50 50 50 ーー テナンシーでのネットワークソースグループ 10 10 10 ーー

32. ４．さいごに 32 Copyright © 2025, Oracle and/or its affiliates

33. これからの認証強化の進め方 段階的なセキュリティ強化による持続的な認証基盤の実現 多要素認証は現代の認証における基本要件 • 攻撃者の手口が高度化されたことより、今や多要素認証は標準機能として求められる時代に • また、ガイドラインにおいてもフィッシングに強い認証方式・基盤の採用が推奨されており、 その最前線としてパスキーの導入が進みつつある 段階的なセキュリティ強化 ✓

    まずは多要素認証の導入など、既存の仕組みに実現可能な対策を追加実施 ✓ その上で、利用者環境や運用体制を整えながらパスキーなど次世代認証へ移行 33 Copyright © 2025, Oracle and/or its affiliates 社内システム・提供サービスのいずれにおいても、脅威やシステム環境の変化に応じ、 最適な認証方式を柔軟に切り替えられる運用が重要 多要素認証 パスワードレス パスワード パスキー

34. 本日のまとめ 34 Copyright © 2025, Oracle and/or its affiliates パスワード認証の危険性は年々高まっており、現代のセキュリティ対策として、

    パスワードと多要素認証を組み合わせたセキュリティが最低でも必須。 今後は、より強固なセキュリティを確保するため、多要素認証やパスワードレス認証への移行が重要に。 ビジネスの信頼性をステークホルダーに示すためにも、 進化する今後の脅威に対して効果的な対策を継続的に実装・提供していくことが求められる。 そのためには、認証方式を柔軟に拡張できる環境を整えることが鍵に。 その有効なアプローチの1つが IDaaS（Identity as a Service）の活用。 OCI IAM Identity Domains は、Oracle が提供する IDaaS ソリューション。 標準規格に準拠した幅広い認証要素と機能を備え、 開発への組み込みや運用面でも柔軟に対応可能な認証基盤を実現
35. None