【Oracle Cloud ウェビナー】ランサムウェアが突く「侵入の隙」とバックアップの「死角」 ～ 過去の教訓に学ぶ — 侵入前提の防御とデータ保護 ～

Transcript

1. Oracle Cloud ウェビナー ランサムウェアが突く「侵入の隙」とバックアップの「死角」 過去の教訓に学ぶ — 侵入前提の防御とデータ保護 日本オラクル株式会社 クラウド事業統括 クラウド事業戦略本部

   クラウド戦略部 シニアマネージャー、CISSP 大澤 清吾 2026年1月14日

2. 数字が示す現実：起きる前提での対応が必須 ランサムウェア被害の現状 バックアップからデータを 復元できた割合 (***) 15% 94% 二重の脅迫(恐喝) の割合 (***)

   平均損失額 (*) 7.4億円 平均停止期間 (**) 24.6日 ** SQ Magazine「Ransomware Statistics 2025: Attacks, Costs & Prevention Tools」 https://sqmagazine.co.uk/ransomware-statistics/ 出典： * IBM 「2024年データ侵害のコストに関する調査レポート」： https://jp.newsroom.ibm.com/2024-09-05-ibm-report-escalating-data-breach-disruption-pushes-costs-to-new-highs *** 警察庁 「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」 https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf 2 Copyright © 2026, Oracle and/or its affiliates

3. IPA 情報セキュリティ10大脅威 Copyright © 2026, Oracle and/or its affiliates 3

   ランサム ウェア サプライ チェーン 脆弱性 の悪用 内部 不正 標的型 攻撃 テレ ワーク 地政学 リスク サービス 妨害 メール 詐欺 不注意 による 漏洩 ランサム ウェア ランサム ウェア ランサム ウェア ランサム ウェア 標的型 攻撃 標的型 攻撃 標的型 攻撃 標的型 攻撃 標的型 攻撃 銀行・ カード不 正利用 標的型 攻撃 クライ アント 脆弱性 標的型 攻撃 人による 情報 漏洩 Web サイト 改ざん DNSキャ ッシュポイ ズニング 誘導型 攻撃 Winny SQL インジェ クション サプライ チェーン サプライ チェーン 標的型 攻撃 標的型 攻撃 内部 不正 メール 詐欺 ランサム ウェア ランサム ウェア 内部 不正 内部 不正 不正 ログイン 利用 標的型 攻撃 BCP (災害) Webサイ トから の攻撃 クライ アント 脆弱性 Web サイト Web サイト 標的型 攻撃 Winny 内部 不正 標的型 攻撃 サプライ チェーン テレ ワーク メール 詐欺 ランサム ウェア メール 詐欺 Web 個人情 報搾取 Web 個人情 報搾取 標的型 攻撃 Web サイト 改ざん スマホ アプリ 共通思 想集団 ソフト ウェア 脆弱性 ウィルス ・Bot 標的型 攻撃 情報 漏洩 悪質な Bot ルート キット 標的型 攻撃 内部 不正 テレ ワーク サプライ チェーン サプライ チェーン サプライ チェーン 脆弱性 の悪用 サービス 妨害 サービス 妨害 Web 不正 ログイン Web 個人情 報搾取 ウィルス 遠隔 操作 クライ アント 脆弱性 スマート フォン サーバ 脆弱性 ウィルス ・Bot 標的型 攻撃 ゼロ デイ フィッ シング 詐欺 ゼロ デイ テレ ワーク 内部 不正 メール 詐欺 ランサム ウェア 内部 不正 人材 不足 内部 不正 Web サイト 改ざん Web 個人情 報搾取 不正 送金 金銭 搾取 ウィルス Web サイト 複数 攻撃 組合せ 情報 漏洩 情報 漏洩 正規 サイト フィッ シング 詐欺 スパイ ウェア 不注意 による 漏洩 ゼロ デイ 脆弱性 の悪用 内部 不正 障害に 伴う業 務停止 サービス 妨害 Web 個人情 報搾取 Web サイト 改ざん 脆弱性 の悪用 サイバー テロ スマホ アプリ の悪用 業務 停止 スマホ タブ レット 対策 不備 標的型 攻撃 無線 LAN ウィスル スパム メール Bot 脆弱性 の悪用 メール 詐欺 ゼロ デイ 障害に 伴う業 務停止 不注意 による 漏洩 Web 個人情 報搾取 IoT Web 不正 ログイン ランサム ウェア Web サイト 改ざん SNS 情報 公開 Web サイト 電子 証明書 携帯電 話Web サイト DDoS 誘導型 攻撃 マルウェ アサイト 情報 漏洩 CSRF メール 詐欺 脆弱性 の悪用 メール 詐欺 Web 不正 ログイン Web 個人情 報搾取 IoT 内部 不正 IoT 銀行・ カード 不正利用 基盤 技術 悪用 紛失・ 設定 不備 パス ワード 流出 職場 標的型 攻撃 アカウ ント 悪用 スパム メール 製品 脆弱性 安易な パス ワード 組込み ソフト 脆弱性 テレ ワーク 不注意 による 漏洩 障害に 伴う業 務停止 不注意 による 漏洩 IoT 脆弱性 の悪用 サービス 妨害 犯罪 ビジ ネス化 不正 ログイン 脆弱性 の悪用 ウィルス 内部 不正 アカウ ント使 い回し クラウド クラウド 組込み 製品 脆弱性 スパム メール SQL インジェ クション セキュリ ティ製品 脆弱性 犯罪 ビジ ネス化 犯罪 ビジ ネス化 不注意 による 漏洩 脆弱性 の悪用 サービス 妨害 不注意 による 漏洩 犯罪 ビジ ネス化 銀行・ カード不 正利用 過失 による 漏洩 スマホ アプリ の悪用 サービス 妨害 フィッ シング 情報 不適切 な取扱 ブログ SNS プロト コル 脆弱性 パスワー ド使い 回し 組込み 製品 脆弱性 DNS サーバ ゼロ デイ 2020 2015 2010 2006 ランサムウェア 標的型 内部不正 地政学 リスク 分散型サービス 妨害 (DDoS) New 5年 ぶり 標的型攻撃・ランサムウェア 内部不正 (悪意・過失) Webサイトへの不正アクセス 脆弱性 サービス・業務停止 サイバー犯罪

4. 海外のセキュリティトレンド ENISA Threat Landscape 2025 初期アクセス 脆弱性悪用の高速化 フィッシング攻撃でのAI活用 Copyright ©

   2026, Oracle and/or its affiliates 4 出典： https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025 サイバー攻撃はもはや『ハッカーの職人芸』ではなく、AIによって『工場的に生産』されるフェーズに 24 時間 vs 脆弱性情報の 公開から 攻撃コードが公開 数 週間 企業がパッチ適用 を行うまでの期間 80 % フィッシング攻撃に AIが関与し、見破りが困難に フィッシングと脆弱性悪用が中心

5. 日本と海外のトレンド 欧州連合におけるサイバー脅威環境の理解を深める独立研究コンソーシアムであるEuRepoCが公開しているデータ 5 Copyright © 2026, Oracle and/or its affiliates

   出典： https://eurepoc.eu/table-view/

6. 日本と海外のトレンド 欧州連合におけるサイバー脅威環境の理解を深める独立研究コンソーシアムであるEuRepoCが公開しているデータ 6 Copyright © 2026, Oracle and/or its affiliates

   出典： https://eurepoc.eu/table-view/

7. 日本と海外のトレンド 欧州連合におけるサイバー脅威環境の理解を深める独立研究コンソーシアムであるEuRepoCが公開しているデータを 分析すると国ごとの「置かれた状況」による攻撃の棲み分けが鮮明に 7 Copyright © 2026, Oracle and/or its

   affiliates データ搾取 データ搾取 と晒し行為 ランサムウェア 破壊・妨害 悪用を伴う 乗っ取り 悪用を伴わな い乗っ取り 日本 22.2 5.2 14.8 24.4 30.4 3.0 フランス 18.5 4.6 13.2 25.7 36.6 1.3 ドイツ 15.9 3.5 10.4 31.1 31.5 7.6 米国 24.3 5.7 14.3 19.3 32.3 4.0 ウクライナ 15.8 3.8 1.1 29.9 35.9 13.6 世界平均 21.7 6.4 9.6 24.2 32.3 5.7 1. 経済的標的（日本）：ランサムウェア、データ搾取が他国より多く、金銭目的の攻撃が多い 2. 政治的摩擦（フランス・ドイツ）：欧州諸国は、隣接する地域との緊張関係からターゲットへの破壊・妨害が多数 3. 戦争・紛争モード（ウクライナ）：破壊・妨害や悪用を伴わない乗っ取りに集中 4. 標準的（米国）：特定の手法に偏らず、あらゆる攻撃タイプが「世界平均」に近い形で、かつ高水準で発生 出典： https://eurepoc.eu/table-view/

8. Qilin : ランサムウェアグループ • グループ概要と脅威の特徴 • RaaS (Ransomware-as-a-Service) モデルで運営 •

   クロスプラットフォーム対応（Windows, Linux） • 二重脅迫 (Double Extortion)で実施 • 攻撃手法 • 脆弱性悪用: Fortinet製品（FortiGateなど）、 Veeam Backup & Replication の脆弱性を突く [*] • リモートサービス悪用: 侵害した認証情報を利用した VPN や RDP/Citrix への不正アクセス • ターゲット：VMware ESXi および Nutanix 環境を中 心に実施 海外での被害 • 2023年11月 Yanfeng Automotive Interiors • 2023年12月 ビクトリア州裁判所サービス（CSV） • 2024年6月 英病理検査機関Synnovis • 2025年2月 Lee Enterprises 国内での被害 （報道ベース） • 2025年5月 DNPの海外子会社(CMIC CMO USA) [**] • 2025年7月 丸菱ホールディングス [***] 8 Copyright © 2026, Oracle and/or its affiliates ** https://www.dnp.co.jp/securityincident20250530.pdf *** https://www.marubishi-group.co.jp/2025/08/05/ * https://www.infosecurity-magazine.com/news/qilin-ransomwares-tactics-unveiled/

9. 米国におけるサイバーセキュリティモデルは急速に変化・発展しています Copyright © 2026, Oracle and/or its affiliates 1990 2000

   2010 2020 データ量 境界防御 （Perimeter Defense） 縦深防御 （Defense in Depth） サイバーレジリエンス （Cyber Resilience ） ゼロトラスト＋データ中心型防御 Zero Trust ＋ Data-Centric Defense Build Security Into Your Network’s DNA: The Zero Trust Network Architecture Forrester 2010 Policy Decision Point(PDP) Policy Enforcement Point(PEP) X.500 電子ディレクトリ・サービス 情報機関改革 及びテロ予防法（2004） Federal Identity, Credentialing and Access Management (FICAM) De-Perimeterization (非境界化) Jericho Forum 2007 NIST SP 800-207 Zero Trust Architecture, 2020 NCSC Zero trust principles – Beta Release, 2020 DoD Zero Trust Reference Architecture, 2021 Executive Order on Improving the Nation’s Cybersecurity, 2021 Cybersecurity Performance Goals for Critical Infrastructure, 2022 DoDブラックコア The Road to Zero Trust(Security): DIB Zero Trust White Paper, Defense Innovation Board, 2019 エドワード・スノーデン (2013) アメリカ同時多発テロ事件 (2001) 重要インフラへの攻撃(2021) セキュリティモデルは数年毎に大波を迎え、過去の思想を塗り替えながら（過去のモデルの全否定ではなく）発展しています。 その要因としてサイバー攻撃の高度化、組織化が挙げられます。 9

10. • ゼロトラストとは、「ネットワーク内のすべての人、すべて のものが疑わしい」という前提に基づくセキュリティ哲学 です。ゼロトラストは、セキュリティの焦点を、境界防御 からデータ中心へと変えること • 成熟度モデルは、以下の5つの柱に対して従来型、 初期、先進型、最適型のゼロトラスト・アーキテクチャ の具体的な例を提示 •

    「アイデンティティ」 • 「デバイス」 • 「ネットワーク/設備」 • 「アプリケーションワークロード」 • 「データ」 • これによって、ゼロトラストへの移行を支援するための 数多くの道筋として成熟度モデルを提供 CISA Zero Trust Maturity Model Copyright © 2026, Oracle and/or its affiliates 10 出典：https://www.cisa.gov/publication/zero-trust-maturity-model ゼロトラスト＋データ中心型防御 Zero Trust ＋ Data-Centric Defense

11. NIST Cybersecurity Framework (CSF) 2.0 • 米国国立標準技術研究所が組織のサイバーセキュリティリスクを管理・軽減するためのガイドライン • サイバー攻撃対策を「経営リスク管理」の中核に据え、予防から復旧までのプロセスを強化 •

    従来の5機能（特定・防御・検知・対応・復旧）に「ガバナンス」が追加 ▪ 概要 • ガバナンス（GV）：戦略・方針の確立 • 特定（ID）：資産とリスクの把握 • 防御（PR）：攻撃の未然防止・データ保護 • 検知（DE）：異常の早期発見 • 対応（RS）：被害の最小化 • 復旧（RC）：事業の早期再開 事業継続性を担保するセキュリティ経営への転換 Copyright © 2026, Oracle and/or its affiliates 11 出典：https://www.nist.gov/cyberframework

12. 事業継続の生命線：「データセキュリティ」と「復旧能力」 重点領域 具体的なアクション （CSF 2.0 「防御」および「復旧」より） 経営上のメリット 1. データセキュリティ •

    堅牢なバックアップ体制の確立 • データの機密性を担保したバックアップ • リアルタイムバックアップによりデータ損失を最小化 • バックアップデータ自体の保護 （ランサムウェアからの隔離） ・二重の脅迫への対応が可能 ・データ破壊による事業停止リスクの 極小化 ・顧客・取引先からの信頼維持 2. 復旧 • 実効性のある復旧プロセスの維持 • 定期的な復元（リストア）テストの実施 • データの完全性を担保したバックアップ • インシデント復旧計画の策定と演習 ・有事の際の停止時間短縮 ・混乱のない迅速な意思決定 3. 多層防御 • 多要素認証、パスワードレス認証 • 脆弱性管理と修正プログラムの適用 • 設定ミスなど人手によるミスの排除 • 本番データの機密性・完全性を担保 ・攻撃の成功確率を下げる 12 Copyright © 2026, Oracle and/or its affiliates データの保護を行うことで、万が一の際もビジネスを止めない環境を構築

13. レジリエンス：セキュリテイリスクへの対応 脆弱性を突いた攻撃 設定ミスを突いた攻撃 復旧への多大な時間 データが復旧不可 アカウントの乗っ取り 管理者権限の不正利用 機密データの持出 対策 課題

    攻撃 実行 基盤構築と 攻撃準備 初期 アクセス 脆弱性の自動修復、NWセキュリティ強化 リスクのある設定を自動検知、ポリシーの自動有効 リアルタイムに復旧可能なDR環境の構築 バックアップ保護と確実なデータ復旧 バイオメトリック認証と多要素認証 権限付与状況の把握と管理者の権限分掌 データの暗号化と暗号鍵管理 Copyright © 2026, Oracle and/or its affiliates 13

14. 事業継続 予期せぬ事態においても、事業継続を可能にするシステムの必要性 基幹システムに求められる レジリエンスの向上 Copyright © 2026, Oracle and/or its

    affiliates 14 事業回復 災害復旧環境へ即時切り替え、 直前のデータに完全復旧 事前防御 データ暗号化、パッチ適用、認証強化 設定ミスの検知と自動修復、アクセス制御 地政学リスク 経済安全保障対応 サイバー脅威 自然災害 AIの悪用

15. 事業継続 予期せぬ事態においても、事業継続を可能にするシステムの必要性 基幹システムに求められる レジリエンスの向上 Copyright © 2026, Oracle and/or its

    affiliates 15 事業回復 災害復旧環境へ即時切り替え、 直前のデータに完全復旧 事前防御 データ暗号化、パッチ適用、認証強化 設定ミスの検知と自動修復、アクセス制御 地政学リスク 経済安全保障対応 サイバー脅威 自然災害 AIの悪用

16. 従来の3-2-1のルールに加え、現在の脅威に対応するため下記の提唱が行われている 3-2-1ルール 米国CISAのUS-CERT（United States Computer Emergency Readiness Team）が 2012年に、バックアップ時に守るべきルールとして提示 最新のランサムウェア脅威に求められる対策

    Copyright © 2026, Oracle and/or its affiliates 16 引用：https://enterprisezine.jp/article/detail/18203?p=2 ランサムウェア対策では、オフサイトに改ざん不可で保管され、リカバリが担保されることが肝要 最新の3つのデータをコピー ３ 2つの異なるメディアを使用 2 1つはオフサイトで保管 1 3-2-1-1-0 ルール 現在の脅威の状況には不十分であるとの考えのもとに、対策とし て新しいバックアップルールが提唱されています。 最新の3つのデータをコピー ３ 2つの異なるメディアを使用 2 1つはオフサイトで保管 1 1つのコピーはイミュータブル（不変） 1 バックアップからのリカバリでエラーがゼロ 0

17. バックアップは狙われる。事業を救うのは“改ざん不可・隔離されたデータベースの保護” ランサムウェア対策で求められる事業を止めないレジリエンス 一般的なファイルバックアップ 侵入 バックアップデータ DBバックアップ バックアップ 環境 OS ファイル

    データベース 本番環境 侵入 バックアップデータ OS ファイル データベース バックアップ 環境 本番環境 改ざん不可・隔離されたデータベースの保護 • データベースを隔離保管＋改ざん不可で保護 • 感染直前の完全性が担保されたデータを復旧 • 財務情報の完全性を担保し、被害直前まで復旧 • 全てのバックアップデータが破壊 • データ欠損・一貫性確認に時間を要し復旧が長期化 • 財務情報も破壊され、決算・監査リスクが顕在化 17 Copyright © 2026, Oracle and/or its affiliates

18. Oracle Database Zero Data Loss Autonomous Recovery Service ランサムウェアへの耐性を強化 •

    バックアップを不可視化し、盗難を防止 • リアルタイム保護で感染直前までリカバリー • 完全性が担保されたバックアップで確実な復旧 本番環境への影響を極小化 • 週次フル・バックアップは不要。本番への影響を排除 • 永久に差分でのバックアップで期間を短縮 • 全てのバックアップに対する影響のないリカバリ検証 クラウドで低コスト・シンプルな運用 • 保護データ量に基づいた、柔軟性のある価格体系 • 数クリックで構成、迅速に導入 • 実機でのリカバリ検証の実施が容易 ランサムウェアへの耐性を究極に高めるフルマネージド型データ保護サービス Copyright © 2026, Oracle and/or its affiliates 18 Oracle AI Database リアルタイム バックアップ OCI AWS Azure マルチクラウド クリーンルーム Google Cloud オンプレミス (*) 差分 バックアップ Zero Data Loss Autonomous Recovery Service * Linux が対象

19. ZRCVはバックアップを堅牢に保護し、被害直前の状態へ迅速に復旧 ランサムウェア対策：各バックアップ手法による違い ①攻撃者が簡単に アクセス可能 ③データ破壊 ②データ 搾取 ④復旧:バックアップ時点 ⑤手動のリカバリ検証 ストレージ・バックアップ

    ②データ 搾取 ④復旧:バックアップ時点 ⑤手動のリカバリ検証 クラウド・バックアップ ①攻撃者を 近づけない Zero Data Loss Recovery Appliance (ZDLRA) ③指定期間削除不可 ①攻撃者を 近づけない ②DB暗号化 ④復旧:破壊直前 ⑤リカバリの担保 OSからは見えない設計 改ざん防止 権限分掌 データ保護地点(RPO) の最小化 DB暗号化による保護 完全性の担保 専用装置での保護 ③指定期間削除 不可は選択 Copyright © 2026, Oracle and/or its affiliates 19

20. ストレージ・バックアップ クラウド・バックアップ Zero Data Loss Recovery Appliance 侵入 バックアップ先の 特定

    × (簡単に見つかる) 〇 (見つけるのは困難) 〇 (見つけるのは困難) データ搾取 データ搾取 対策 × (ストレージレベルでの 暗号化) × (ストレージレベルでの 暗号化) 〇 (DB層での暗号化 *) 耐改ざん性 権限管理 × (OSのみ) △ (OS管理者, DB管理者) 〇 (OS管理者、DB管理者、 ZRCV管理者) 耐改ざん性 × △ (指定期間削除 不可は選択) 〇 (強制保持期間あり 専用装置での保持) 早期の確実な リカバリ データ保護地点 (RPO) × (バックアップ時点) × (バックアップ時点) 〇 (障害発生時点) リカバリの担保 × (手動でのリカバリ検証) × (手動でのリカバリ検証) 〇 (完全性を担保) バックアップ方法による比較 * 本番側のデータベースで暗号化を実施する必要あり Copyright © 2026, Oracle and/or its affiliates 20

21. 復旧できるデータ 従来型バックアップ vs ZRCV：失われるデータの差 従来はバックアップ時点まで／ZRCV＝障害直前まで復旧 • 復旧点＝バックアップ取得時 • バックアップ取得後～障害までの情報は失われる •

    データの完全性確認に時間を要す • 復旧点＝障害直前までのデータを復旧 • RPO＝障害発生の時点 / 任意の時点(バッチ前など) • 確実かつ完全な迅速なリストアを実現 (RTO短縮) RPO＝バックアップ時点 * RPO: 復旧させたとき障害が発生するまでのどれくらいの時間のデータが失われるか 一般的なストレージ・バックアップは「複製時点」まで ZRCVは「障害直前」まで バックアップ 失われる データ RPO＝バックアップ時点 RPO＝障害発生の時点 Redo Redo Redo Redo Redo 障害発生 障害発生 Copyright © 2026, Oracle and/or its affiliates 21

22. データベース復旧の比較：シンプル化と高速化が可能 リストア リカバリ 事後作業 ZRCV ストレージ・バックアップ 環境準備 リストア • Web

    UI で復旧を実施 • Web UIで復旧環境を展開 事後作業 • 正しいデータが入っているか確認 • 更新ログの復元と適用 ・・・・・ (N回繰り返し) • 正しいデータが入っているか確認 • アカウントのパスワードリセット • パッチ適用 • フルバックアップ取得 (必須) • バックアップ確認やリカバリ等の作業が不要 • Web UIからの直感的な操作で復旧可能 • HW調達 • OS/DB再インストール • 旧環境と同一構造を作成 • バックアップファイル へのウイルス/ランサムウェア検査 • ブロック破損確認(オフライン) • バックアップファイルを新環境に転送 • データファイルを元の場所に配置 環境準備 バックアップ確認 Copyright © 2026, Oracle and/or its affiliates 22

23. Zero Data Loss Autonomous Recovery Service 従来のバックアップ課題とZRCVでの解決策 ストレージ 本番データベース 1

    2 3 全タスクが本番データベース上で実行 フル・増分バックアップ 定期的に検証 破損チェック 本番データベース 1 2 増分 バックアップ 破損チェック 本番データベースへの影響なし 3 検証を 定期実施 ZRCV ストレージ・バックアップ • 増分バックアップの転送以外は本番への影響無し • 自動で検証実施 • 整合性検証済みのため確実な復旧が可能 • 本番データベースでのパフォーマンス低下 • 作業コストの増大 • 復旧失敗のリスク (検証未実施のため) Copyright © 2026, Oracle and/or its affiliates 23

24. 事業継続 予期せぬ事態においても、事業継続を可能にするシステムの必要性 基幹システムに求められる レジリエンスの向上 Copyright © 2026, Oracle and/or its

    affiliates 24 事業回復 災害復旧環境へ即時切り替え、 直前のデータに完全復旧 事前防御 データ暗号化、パッチ適用、認証強化 設定ミスの検知と自動修復、アクセス制御 地政学リスク 経済安全保障対応 サイバー脅威 自然災害 AIの悪用

25. オラクルが提供するセキュリティサービス 全体イメージ AI活用を支える“あるべきセキュアな基盤”を、設計段階から備え、多くの機能を標準・無償で提供 Copyright © 2026, Oracle and/or its affiliates

    25 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS 内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース データ 強制的な 暗号化 監査証跡 バックアップ保護 とデータ復旧 設定ミスの 検知・是正 多要素認証 強力、完全なテナント分離 / 強制的な暗号化 / システムの健全性の担保 NWセキュリティ ポリシーの強制 Web Application Firewall IAM Identity Domains/ Access Governance Security Zones Data Safe Observability and Management Threat Intelligence Autonomous Database Vulnerability Scanning Network Firewall Cloud Guard Cloud Guard Threat Detector Database Vault Zero Trust Packet Routing Platform Autonomous Recovery Service 脅威ユーザ検知 SECURITY OF THE CLOUD SECURITY ON THE CLOUD セキュア開発プロセス

26. 予期せぬ事態においても、事業継続を可能に ランサムウェア対策によりレジリエンス向上を実現 Copyright © 2026, Oracle and/or its affiliates 26

    SECURITY OF THE CLOUD オンプレミス環境 Oracle Cloud Infrastructure • 複雑な認証の設定と 負荷の高い運用 侵入拡大 機密データの持出 データの破壊 アカウント乗っ取り 設定ミス/脆弱性を 突いた攻撃 • 設定、運用、対応への多大な人的工数 • 人依存の設定ミス、セキュリティリスクの発生 • それでも不完全なデータ復旧 • 自動検知・修復、多層防御により、最新脅威から事前防御 • 最新AIを活用し、人的リスクを排除 • DR環境への切り替え、完全性を担保したデータ復旧により、 迅速な事業回復 • 人海戦術による検知、 後手になりがちな対応 • 過大な権限付与 による運用 • 手動かつ、部分的 暗号化 • 手動で多大な工数を 要する復旧 • 完全データ復旧不可 • DR環境が不在 • 多要素認証/ パスワードレス認証 • リスクを自動検知 • 脆弱性を自動修復★ • 管理者権限を 分掌化 ★ • 強制的な暗号化 ★ • 破壊直前へ確実に復旧 ★ • 完全性を担保したデータ復旧★ • クラウドによる完全なDR環境★ Webサイト

27. 人的ミスを軽減するネットワーク構成とセキュリティポリシーの分離 OCI Zero Trust Packet Routing 従来のクラウド Oracle Cloud Infrastructure

    ACL ルーティング 設定 NSG Subnet Security Lists ACL Subnet Routes NSG Subnet Routes NSG ロードバランサ サブネット ACL API サブネット データベース サブネット • ネットワーク担当がネットワークセキュリティを実装 • 各システムを個別に設計・実装し、人手を介して設定 • 多数のポリシー管理が煩雑でリスク増大 • セキュリティ責任者による自然言語ベースのポリシー定義 属人的ミスを防止、堅牢なセキュリティも単一ポリシーで実現 • ポリシーの集約化で、セキュリティ管理負担を大幅削減 • システム変更や拡張、監査対応に柔軟かつ迅速に対応可能 ロードバランサ サブネット API サブネット データベース サブネット Zero Trust Packet Routing セキュリティポリシー (誰がどのデータにどの経路でアクセスできるか) ネットワーク 管理者 セキュリティ 責任者 27 Copyright © 2026, Oracle and/or its affiliates ACL：Access Control List NSG：Network Security Groups ネットワーク SECURITY OF THE CLOUD

28. WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) OCI IAM Identity Domains Copyright © 2026, Oracle and/or

    its affiliates 28 SECURITY OF THE CLOUD IDアクセス 管理 認証連携/SSO 認証連携/SSO •認証連携 •認可制御 OCI IAM Identity Domains イントラネット インターネット 利用者 2要素認証 パスキーによる認証 •多要素認証 •ユーザー管理 等 オンプレミス 他社クラウド Oracle Cloud 認証連携(シングルサインオン) 強固なセキュリティ 一元管理 • Active Directoryとユーザー管理連携 • アクセス証跡の管理と確認 • 様々な方法でのユーザー/グループ管理 • SAML/OAuthなどによる認証連携 • オンプレミス・アプリとの認証連携 • Entra ID等の外部IdPとの認証連携 • 多要素認証 (2要素認証) • 利用者の情報によるアクセス制御 • ユーザー行動分析によるリスク評価

29. 顧客事例：日本中央競馬会 様 背景・要件 会員様の利便性とセキュリティ面の信頼性を同時に確保する コストを抑えた認証基盤が必要 • アプリとして組み込み可能なクラウド型の認証基盤 • なりすましを防ぐために本人証明を強化する多要素認証 •

    短期間でブランドイメージに沿った開発の容易性 • レース開催時の数百万人のアクセス集中に耐えられる仕組み • 会員様データを保護する堅牢な基盤とデータ・レジデンシー 採用のポイント • 多要素認証やリスクベース認証などの豊富な標準機能 • REST APIを活用したアプリケーションに組み込みやすい認証機能 • ISMAPなどの各種コンプライアンス準拠し、国内リージョンで提供 • アクセス集中時に追加コストなく迅速にパフォーマンスを強化 • 同等機能の他社IDaaSと比較して、大幅なコスト削減が可能 • 製品機能を熟知したオラクル・コンサルティングによる開発・運用支援 導入スケジュール • テスト環境構築を含め約4カ月間で認証管理基盤の構築を完了 システム構成イメージ 利用サービス • Oracle Cloud Infrastructure Identity and Access Management 29 Copyright © 2026, Oracle and/or its affiliates 会員様向けスマートフォン用「JRAアプリ」の認証管理をOCI IAM Identity Domainsで構築 多要素認証 OCI IAM Identity Domains クラウド型の認証基盤 （IDaaS) JRAアプリ

30. 人的ミスによるデータ損失リスクの軽減 セキュリティ対策の自動化 Copyright © 2026, Oracle and/or its affiliates 30

    SECURITY OF THE CLOUD セキュリティ対策の自動化 セキュリティポリシーの自動有効 リスクのある設定を自動検知 強力、完全なテナント分離 IAM Identity domains： 多要素認証・ Autonomous Database： 自動パッチ適用 格納時・転送時の 強制的な暗号化 Oracle Cloud Guard： クラウドセキュリティポスチャ管理 Oracle Data Safe： データベースのリスク評価 Oracle Security Zones： セキュリティポリシーの自動有効 VM Database Security Zones 管理者 インフラ

31. ハイブリットクラウドで利用するデータベース をよりセキュアに ✓ 統合されたデータベースセキュリティ管理サービス 1. 機密データの発見（Sensitive Data Discovery ） 2.

    データ・マスキング（Data Masking） 3. アクティビティの監査（Activity Auditing） 4. セキュリティ構成の評価（Security Assessment） 5. ユーザーのリスク評価（User Assessment） ✓ 特別なセキュリティの専門知識 ✓ 多層防御における重要なデータ・セキュリティ対策 ✓ 短時間でセキュリティ・リスクを軽減 ✓ Oracle Cloud Databaseの利用でサービスを無償提供 ※1 ✓ オンプレミス、他社クラウド上のオラクルDBへも対応 - 24,000円 /ターゲット/月 Oracle Data Safe Copyright © 2026, Oracle and/or its affiliates 31 ※ 監査機能は100万レコード/月まで無償、その他の機能は無償 Oracle Cloud上の データベース 監査 ユーザー 発見 アセス マスク オンプレミス のデータベース Data Safe AWS, Azure上の オラクルデータベース SECURITY OF THE CLOUD データ

32. 顧客事例：アクティオ様 Copyright © 2026, Oracle and/or its affiliates 32 レジリエンス起点の次世代クラウド：

    ZRCVによる被害直前までの迅速な復旧 と多層防御でリスクを最小化 ゼロトラストに基づく多層防御 (WAF,IDS/IPS,CSPM,データ暗号化,監視など) 24x365の安定稼働、拠点拡大の俊敏化、 ダウンタイム/データ損失リスク低減と運用コスト最適化 建設機械レンタル事業を展開 建設工事現場、被災地等への機械供給が最重要 障害・災害・サイバー事案時も、被害直前まで 迅速復元するマネージド型バックアップを活用 マルチリージョンを活用した高可用により、有事の際も サービス継続なレジリエンスを強化 * ZRCV : Oracle Database Zero Data Loss Autonomous Recovery Service

33. 顧客事例：アクティオ 様 背景・要件 建設機械レンタル事業を展開 建設工事現場、被災地等への機械供給が最重要 • 災害・サイバー脅威に耐える高可用性と堅牢なセキュリティ • 広域の被害でも縮退運用なしでの短期間での切替・復旧 •

    インターネット接続があれば基幹システムを通じて機械供給が可能 採用のポイント レジリエンスの強化 • システム障害、サイバー攻撃発生時でも、被害直前のデータ状態ま で復旧可能なマネージドサービス型バックアップサービスを活用 (ZRCV) • 自然災害や地政学リスクに備え、他国へのDRサイト構築 • 有事の際もサービス継続が求められるため、RTO／RPOを最短化 クラウドによる堅牢なアーキテクチャ実装 • ゼロトラストに基づく多層防御(WAF,IDS/IPS,CSPM,暗号化等) • 継続的な監視とセキュリティ運用の自動化 システム構成イメージ 利用サービス • Oracle Database Zero Data Loss Autonomous Recovery Service • Oracle Cloud Guard • OCI Web Application Firewall • OCI Network Firewall • OCI Log Analytics • Oracle Exadata Database Service 33 Copyright © 2026, Oracle and/or its affiliates レジリエンス起点の次世代クラウド：ZRCVによる被害直前までの迅速な復旧と多層防御でリスクを最小化 * ZRCV : Oracle Database Zero Data Loss Autonomous Recovery Service

34. セキュリティ機能を 無償/低コスト で提供 強固にお客様データを保護し、事業継続リスクを最小化 機能 機能名 価格 セキュリティ・ バイ・デザイン 強力、完全なテナント分離

    Isolated Network Virtualization / Bare Meta 標準機能 強制的な暗号化 Encryption by Default 標準機能 階層型権限管理 Compartment 標準機能 自動化された セキュリティ管理 リスクのある設定・行動を自動検知・修復 Cloud Guard 無償 セキュリティポリシーの強制 Security Zones 無償 脆弱性スキャン Vulnerability Scanning 無償 暗号鍵管理 Vault 無償〜 オンラインでのパッチ適用 Autonomous Database 無償 (*1) 自動化されたログ分析 Logging Analytics 10GBまで無償 バックアップ保護と確実なデータ復旧 Zero Data Loss Autonomous Recovery Service 有償 データ中心の 多層防御 DBセキュリティ対策の自動化 Data Safe 無償〜 (*2) 特権ユーザーのアクセス制御 Database Vault BaseDB HP ～ (*3) 多要素認証、バイオメトリック認証 IAM Identity Domains 無償〜 (*4) NWセキュリティポリシーの強制 Zero Trust Packet Routing 無償 ボット対策とWAF Web Application Firewall 無償〜 (*5) 次世代ファイアウォール (NGFW) OCI Network Firewall 有償 *1 Autonomous Database 利用時に無償で利用可能 *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償 *3 Base Database High Performance以上で利用可能 *4 無償で利用できるユーザー数や機能に制限あり *5 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥93 [1,000,000インカミングリクエスト/月]、¥775[インスタンス/月] 34 Copyright © 2026, Oracle and/or its affiliates
35. None