Upgrade to Pro — share decks privately, control downloads, hide ads and more …

オラクルのクラウドセキュリティへの取り組み [2022年1月版]/Oracle-Cloud-Security-Overview

オラクルのクラウドセキュリティへの取り組み [2022年1月版]/Oracle-Cloud-Security-Overview

Oracle Cloud Infrastructure のセキュリティへの取り組みのご紹介です。
セキュリティを最優先に設計した Oracle Cloud におけるセキュリティの特長として「自動化されたセキュリティ管理」、「データ中心のセキュリティ」、「セキュリティ・バイ・デザイン」を中心にセキュリティソリューションをご紹介します。

oracle4engineer

January 27, 2022
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. オラクルのセキュリティへの取り組み
    [2022年1月版]
    日本オラクル株式会社
    クラウド事業戦略統括本部 ビジネス推進本部
    大澤 清吾, CISSP
    2022年1月

    View full-size slide

  2. 今後求められるセキュリティ対策と日本の取り組むべき点
    考慮点 ゼロトラストセキュリティの考え方 セキュリティ対策例 日本企業の状況
    ネットワーク • 通信を監視し、未許可のクラウドサービスの
    利用を制限
    • CASB
    • Cloud Proxy
    • WAF
    グローバルより
    注力している
    デバイス • デバイスの認証を常に実施
    • 全てのデバイスの保護を徹底
    • EDR、EPP
    • MDM
    グローバルと同様
    IDアクセス管理 • ID・ユーザを必ず検証
    • 必要に応じて多要素認証(MFA)を実施
    • IAM
    • PAM
    • MFA
    グローバルより
    対応が遅れている
    アプリケーション • すべてのアクセスを制限し、不正操作を監視
    • CASB、UEBA
    • 標的型メール対策
    • SIEM、SOAR
    グローバルと同様
    データ • データが漏洩・改ざんされないように保護
    • 必要最小限の権限付与
    • 暗号化
    • アクセス制御
    グローバルより
    対応が遅れている
    Copyright © 2022, Oracle and/or its affiliates
    2
    出典: Oracle and KPMG Threat Report 2020
    安全なクラウドセキュリティ環境を整備するためには、ネットワークセキュリティだけでなく、
    ゼロ・トラスト・セキュリティな対策が必要となります。

    View full-size slide

  3. Copyright © 2022, Oracle and/or its affiliates
    3
    出典: Oracle and KPMG Threat Report 2020

    View full-size slide

  4. 共有責任 = クラウド業者は仕組みを提供、お客様は管理作業に責任
    共有責任モデルではお客様が管理するセキュリティは幅広い
    アプリがアクセスするデータ
    アプリケーション
    Middleware
    データベース
    OS
    Virtual Machine
    サーバー・ストレージ
    ネットワーク
    物理
    アプリがアクセスするデータ
    アプリケーション
    Middleware
    データベース
    OS
    Virtual Machine
    サーバー・ストレージ
    ネットワーク
    物理
    アプリがアクセスするデータ
    アプリケーション
    Middleware
    データベース
    OS
    Virtual Machine
    サーバー・ストレージ
    ネットワーク
    物理
    IaaS
    PaaS
    SaaS
    ユーザー管理
    クラウド
    事業者管理
    共有責任
    Copyright © 2022, Oracle and/or its affiliates
    4

    View full-size slide

  5. 共有責任モデル:Oracle Cloud Infrastructure の場合
    アプリがアクセスするデータ
    アプリケーション
    Middleware
    データベース
    OS
    Virtual Machine
    サーバー・ストレージ
    ネットワーク
    物理
    アプリがアクセスするデータ
    アプリケーション
    Middleware
    データベース
    OS
    Virtual Machine
    サーバー・ストレージ
    ネットワーク
    物理
    アプリがアクセスするデータ
    アプリケーション
    Middleware
    データベース
    OS
    Virtual Machine
    サーバー・ストレージ
    ネットワーク
    物理
    IaaS
    PaaS
    SaaS
    ユーザー管理
    クラウド
    事業者管理
    共有責任
    Copyright © 2022, Oracle and/or its affiliates
    5
    お客様側でツールの活用や
    セキュリティ構成の管理を実施
    SECURITY ON
    THE CLOUD
    SECURITY OF
    THE CLOUD
    オラクルはセキュアなクラウド・インフラ
    とサービスを提供
    Oracle が力を入れて
    取り組んでいるところ

    View full-size slide

  6. オラクルが実現する堅牢なセキュリティ
    データ中心の
    セキュリティ
    自動化された
    セキュリティ
    管理
    セキュリティ
    ・バイ・デザイン
    SECURITY ON THE CLOUD
    SECURITY OF THE CLOUD

    強力、完全なテナント分離
    強制的な暗号化
    (DB/Storage/Network)
    階層型権限管理
    特権ユーザーのアクセス制御
    ボット対策とWAF(*)
    セキュリティポリシーの自動有効
    リスクのある設定を自動検知
    Copyright © 2022, Oracle and/or its affiliates
    6
    Defense In Depth
    * WAF: Web Application Firewall
    脆弱性スキャン
    自動化されたログ分析
    脆弱性自動修復
    多要素認証とリスクベース認証
    重要情報の隠蔽 セキュリティ構成
    機密データ発見 アクティビティ監査
    DBセキュリティ対策の自動化

    View full-size slide

  7. クラウドプラットフォームレベルでの環境隔離と暗号化
    階層型権限管理
    ✓ 部署ごとの権限設定を実現
    ✓ コンパートメント間のリソースアクセ
    スが可能、部署を跨いだシステム
    構築も容易
    ✓ コンパートメント毎のクオータ設定に
    より 使い過ぎを抑止
    強制的な暗号化
    ✓ すべてのデータ・サービスはOracle
    がフルマネージドで暗号化
    ✓ データベースファイル,ストレージ
    Block Volume, Boot Volume
    ✓ すべてのネットワーク通信も暗号化
    強力、完全なテナント分離
    ✓ 分離された仮想ネットワークにより
    情報漏洩のリスクを最小化
    AD2
    リージョン1
    AD2
    リージョン2
    MACSec
    高速・スケーラブルな
    Layer2 暗号化
    部署ごとにCompartment(サブアカウント)を作成
    「コンパートメント」モデル
    テナント
    コンパートメント A コンパートメントB
    ユーザー グループ ポリシー
    ポリシー ポリシー
    部署-A 部署-B
    Hypervisor
    VM VM VM
    VM VM VM
    ホストOS / カーネル
    ネットワーク仮想化
    物理サーバー
    Copyright © 2022, Oracle and/or its affiliates
    7
    セキュリティ
    ・バイ・デザイン
    すべてのデータ
    を暗号化

    View full-size slide

  8. リスクのある設定を自動検知
    • 構成とアクティビティを監視
    • 問題の特定、脅威を検出
    • 問題の是正、顧客通知
    セキュリティポリシーの自動有効
    • ベスト・プラクティスを強制的に適用
    • 初期段階からリソースの
    セキュリティを確保
    脆弱性自動修復
    • Oracle Autonomous Databaseに
    おける脆弱性自動修復
    • Oracle Data Safeによる
    セキュリティ・リスク軽減
    自動化されたEnd-to-Endのセキュリティで人的ミスを排除
    パブリックアクセス不可
    自動パッチ適用
    アップグレード
    Oracle Cloud Guard Oracle Security Zone
    Oracle
    Autonomous
    Database
    Oracle Data Safe
    Copyright © 2022, Oracle and/or its affiliates
    8
    •セキュリティ構成評価
    •ユーザーのリスク評価
    •アクティビティの監査
    •機密データの発見
    •データ・マスキング
    自動化された
    セキュリティ
    管理

    View full-size slide

  9. 多層防御によるデータ中心のセキュリティ
    外部からの攻撃
    » ボットによる攻撃
    » 標的型攻撃
    » ランサムウェア
    » DDoS
    内部からの攻撃
    » バックドア
    » 内部不正
    » 不正アクセス
    特権ユーザー
    管理
    ネットワーク
    IDアクセス
    管理
    インフラ
    ストラクチャ
    データベース
    Web
    Application
    Firewall
    Identity
    Cloud Service
    Data Safe
    強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理
    Copyright © 2022, Oracle and/or its affiliates
    9
    データ
    Observability and Management / Management Cloud
    強制的な
    暗号化
    Autonomous Linux Autonomous Database
    Cloud Guard/
    Security Zones
    監査証跡
    行・列レベルの
    アクセス制御
    データ中心の
    セキュリティ
    Vulnerability Scanning

    View full-size slide

  10. • 設定や運用上の問題によって発生するセキュリティ
    リスクを自動検知し、インフラの安定的な運用に寄与
    • 他社のクラウドサービスと比べて監視できる項目が広く、
    UI含め使い勝手が優れているため、効率的な運用が
    可能
    • 「Oracle Cloud Infrastructure」は、クラウドプラッ
    トフォームレベルで環境隔離と強制的な暗号化がされ
    ており、「Oracle Cloud Guard」と組みあわせること
    で、お客様に安心して利用頂けるサービスを提供
    ワークスアプリケーションズ 様
    Copyright © 2022, Oracle and/or its affiliates
    10
    ERPマネージド・サービスHUE Classic Cloud
    で「Oracle Cloud Guard」を活用し、
    セキュリティリスクを軽減

    View full-size slide

  11. Oracle Cloud Infrastructure
    セキュリティのプロもSaaS基盤としてOCIを選択
    Copyright © 2022, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted
    11
    世界最大のコンピュータ
    ネットワーク機器ベンダー
    ハードウェアやソフトウェアセンサーから
    テレメトリー情報を収集し、データを高度な
    機械学習技術によって分析するSaaS
    (Cisco Tetration) でOCIを採用
    数千コア以上の大規模アプリケーションを
    2ヶ月で稼働
    インテリジェンス主導型の
    セキュリティ企業
    なりすまし攻撃、フィッシング、スパムによる
    Eメール脅威の対策を提供するSaaSで
    OCIを採用
    高度なリアルタイム分析をベアメタル・
    インスタンスを活用することでクラウドで実現
    業界をリードする
    サイバーセキュリティ企業
    脅威の識別、調査、解決を行うクラウドベースの
    SIEMソリューション(McAfee ESM Cloud)で
    OCIを採用
    他社クラウドに比べ1/4のコストで実現
    60万データソースにおける1秒当たり
    50万イベントをサポート

    View full-size slide

  12. Oracle Cloud Infrastructure の
    セキュリティへソリューションのご紹介
    12 Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

    View full-size slide

  13. 物理サーバーの外側でネットワークを仮想化しセキュリティを強化
    通常は同じサーバーでサーバー仮想化もネットワーク仮想化も実行
    Oracle Cloud Infrastructureでは、ネットワーク仮想化を別のHWで実行
    高い分離性、安定したパフォーマンス、仮想マシン同様のベアメタル・サーバーの操作性 を実現
    オフ・ボックス・ネットワーク仮想化
    Copyright © 2022, Oracle and/or its affiliates
    13
    Hypervisor
    VM VM VM
    VM VM VM
    OS /
    Hypervisor
    VM VM VM
    VM VM VM
    OS /
    Oracle Cloud Infrastructure
    HW
    ( )
    セキュリティ
    ・バイ・デザイン

    View full-size slide

  14. Encryption by Default (すべてのデータは暗号化)
    Oracle Cloud Infrastructure
    Copyright © 2022, Oracle and/or its affiliates
    14
    AD1
    AD2
    AD3
    CUSTOMER REGION 1 CUSTOMER REGION 2
    TDEでDatabaseファイルを暗号化
    MACSec
    高速・スケーラブルな
    Layer2 暗号化
    • OCIに存在するすべてのデータ・サービスはOracleがフルマネージドで暗号化
    – Block Volume, Boot Volume, Object Storage, File Storage, Oracle Databaseファイル
    – すべてのネットワーク通信も暗号化されている
    AD1
    AD2
    AD3
    セキュリティ
    ・バイ・デザイン

    View full-size slide

  15. アカウント内セキュリティ分離をネイティブに実装
    コンパートメント・モデルによる階層型アカウント管理
    Copyright © 2022, Oracle and/or its affiliates
    15
    課題
    部署をまたいで使用
    するシステムの構築
    が困難
    部署ごとのアクセス権
    限設定が複雑
    部署ごとのコスト制
    御が困難
    • Compartmentを部署ごとに分けることで、
    部署ごとの権限設定を実現
    • Compartment間のリソースアクセスが可能なため部署
    をまたいだシステム構築も容易
    • Compartmentごとの課金表示やクオータ設定による
    コスト管理
    アカウント空間 アカウント空間
    アカウント空間
    部署-A
    部署-B
    部署-A
    部署-B
    全部署で共通のアカ
    ウントを作成
    部署ごとに
    アカウントを作成
    or
    従来型のアカウントの作成方法
    Tenancy
    Compartment A Compartment B
    Users Groups
    部署ごとにCompartment(サブアカウント)を作成
    部署-A 部署-B
    「コンパートメント」モデル
    Policy
    Policy Policy
    セキュリティ
    ・バイ・デザイン

    View full-size slide

  16. クラウドの設定ミスによる情報漏えいを防止
    Oracle Cloud Guard
    Copyright © 2022, Oracle and/or its affiliates
    16
    Oracle Cloud Infrastructureの様々なサービス設定や
    アクティビティを監視し、通知・是正することで安全なクラウド
    の 利用をサポート
    • OCIの様々なサービスの設定やアクティビティを監視し、
    通知・アクションを実行することで安全にクラウドを運用
    • 脆弱な設定やリスクの高いユーザー操作を検出ルールに
    基づいて常時監視
    • 検出ルールはオラクル管理で自動化され、ユーザーによる
    メンテ ナンスの必要はなし
    • 検出された問題はリスクレベルで評価し、テナント全体の
    健全性をスコアリング
    • 検出されたリスクは、メール等で通知が可能
    • 無償で提供
    自動化された
    セキュリティ
    管理
    Cloud Guard Vault
    Scanning
    VCN, Load
    Balancer
    Compute, Storages Databases
    IAM
    問題の検知 アクション実行
    リスク評価

    View full-size slide

  17. Oracle Security Zones
    強固なポリシーによる保護エリアを構築
    • 強固なセキュリティ・ポリシーを適用
    • パブリックからのアクセスに関する制限、暗号化、リソースの
    移動制限など40を超えるポリシーを
    オラクルで管理・提供
    • ポリシーに違反する操作は、定義されてセキュリティゾーン
    内では実行することはできない
    • より高いセキュリティレベルで保護する必要があるリソースに
    対して、強制的にポリシーを適用し、セキュアなクラウド運
    用を実現
    • 無償で提供
    17 Copyright © 2022, Oracle and/or its affiliates
    事前定義のルール
    パブリックアクセス不可、
    安全でないストレージなし
    Oracle Cloud Infrastructureが業界初で提供した機能
    VM Database
    Security Zones
    管理者
    自動化された
    セキュリティ
    管理

    View full-size slide

  18. OCI
    Compute
    OCI Container
    Engine
    Vulnerability DB’s
    Vulnerability
    Scanning
    Cloud Guard
    Problems
    Vulnerability Scanning
    ホストの脆弱性を詳細に診断
    • VMホストやコンテナ・イメージの脆弱性をスキャン
    • CVE (*1) に基づいた脆弱性診断、オープン・ポートのチェック、
    CIS(*2)ベンチマークへの対応状況を評価し・レポーティング
    • VMにプリインストールされているCloudエージェントが実行
    するため追加設定は必要なく、OCIコンソールから簡単実行
    • 検出された問題は、Cloud Guardと連携
    • 無償で提供
    18 Copyright © 2022, Oracle and/or its affiliates
    *1 CVE(Common Vulnerabilities and Exposures):http://cve.mitre.org/index.html
    *2 CIS(Center for Internet Security): https://www.cisecurity.org
    自動化された
    セキュリティ
    管理

    View full-size slide

  19. Oracle Autonomous Database
    Copyright © 2022, Oracle and/or its affiliates
    19
    自動パッチ適用
    アップグレード
    管理者は顧客データに
    アクセス不可
    通信と格納データの
    デフォルト暗号化
    Autonomous
    Database
    49%
    19%
    32%
    セキュリティアセスメント
    High Risk: 33
    Medium Risk: 22
    Low Risk: 13
    68
    Risks
    18%
    28%
    24%
    15%
    15%
    Data Discovery
    Employee Basic Data: 27
    Public Identifier: 49
    Address: 42
    Compensation data: 31
    Oraganization Data: 32
    179
    Columns
    56%
    11%
    31%
    ユーザーアセスメント
    Critical Risk: 47
    High Risk: 9
    Medium Risk: 2
    Low Risk: 26
    84
    Users
    Compensation data: 27
    自動化された
    セキュリティ
    管理

    View full-size slide

  20. 機械学習を用いてより効率的に・より使いやすく、ビルドアップしたログ分析・サービス基盤
    サービス概要/特徴
    • 直感的なGUI操作によるログ分析やレポーティング
    • OCIやオンプレミスにある様々なOS/ソフトウェアのログに
    対応し、取り込みからビジュアライズまでをサポート
    • 250種類を超えるログに対応したパーサーを提供
    • カスタムの独自パーサーも作成可能
    • 様々なログを横断的に可視化、柔軟な検索や絞り込みが
    できるほか、機械学習を活用した異常値の発見、相関分
    析など統合ログサービス
    Logging Analytics
    Copyright © 2021, Oracle and/or its affiliates
    20
    クラスター: ログ・レコードのパターンを識別し、類似した
    パターンを持つログをグループ化
    潜在的な問題: Error, Fatal(致命的), Exception(例外)
    などのキーワードを含むログ・レコードのクラスタ
    外れ値: 特定の期間中に一度のみ発生し、クラスタに
    含まれなかったログ・レコード
    トレンド: クラスタのトレンド。類似した傾向を持つクラスタ同士
    をトレンドとして表示
    機械学習を用いたログ分析
    似たようなメッセージを
    認識し66のパターン
    に自動集約
    そのうち“Fault”, “Fatal”な
    ど問題が起きていそうな
    17パターンを自動認識
    さらに、件数の少ない
    (例外的な)7パターンを認識し、
    例外的なログを即座に発見
    自動化された
    セキュリティ
    管理

    View full-size slide

  21. ハイブリットクラウドで利用するデータベース をよりセキュアに
    ✓ 統合されたデータベースセキュリティ管理サービス
    1. 機密データの発見(Sensitive Data Discovery )
    2. データ・マスキング(Data Masking)
    3. アクティビティの監査(Activity Auditing)
    4. セキュリティ構成の評価(Security Assessment)
    5. ユーザーのリスク評価(User Assessment)
    ✓ 特別なセキュリティの専門知識
    ✓ 多層防御における重要なデータ・セキュリティ対策
    ✓ 短時間でセキュリティ・リスクを軽減
    ✓ Oracle Cloud Databaseの利用でサービスを無償提供 ※1
    ✓ オンプレミス、他社クラウド上のオラクルDBへも対応
    - 24,000円 /ターゲット/月 ※2
    Oracle Data Safe
    Copyright © 2022, Oracle and/or its affiliates
    21
    ※1 監査機能は100万レコード/ターゲット/月まで無償、その他の機能は無償
    ※2 監査機能は 100万監査レコード/ターゲット/月まで利用可能、
    その他の機能は追加コストなく利用可能
    Oracle Cloud上の
    データベース
    監査
    ユーザー 発見
    アセス マスク
    オンプレミス
    のデータベース
    Data Safe
    AWS, Azure上の
    オラクルデータベース
    データ中心の
    セキュリティ

    View full-size slide

  22. Database Vault
    データベース管理者などの特権ユーザの職務を分掌すると共に、アクセス制御を強化
    • データベースの特権ユーザやロールからのアクセスを強制
    的に制御し、特権ユーザといえども自由なアクセスやコマ
    ンドの実行を制限
    • 特権ロールを細かく分割定義し、付与することで、特権
    ユーザの職務分掌を実現
    例:DB管理は可能だが、監査証跡の削除は不可能。
    • いかなる経路からのアクセスに対しても、データベース側で
    一律にデータを保護
    • ユーザ、IPアドレスなどのセッション情報、曜日・時間など
    を組み合わせたルールに基づいてアクセスポリシーの作成
    による保護
    Copyright © 2022, Oracle and/or its affiliates
    22
    アプリケーション
    「顧客」領域
    ユーザ用 ルール
    IP Address: 192.168.1.XX
    Time: 9:00 – 17:00
    Role:「顧客」領域 参照権限
    ユーザ 運用管理者
    アクセス許可
    管理者用 ルール
    IP Address: 192.168.1.201
    DB User: ADMIN01
    Role:DBA権限(特権)
    「顧客」領域に対する
    参照権限がない為
    アクセス不可
    DBサーバ

    - Customer
    - Order
    索引
    プロシージャ
    データ中心の
    セキュリティ

    View full-size slide

  23. Bastion
    パブリック・エンドポイントを持たないリソースへのセキュアな限定アクセス
    • VMやDBCS, ADB等のプライベートIPのみしか持たない
    リソースにアクセスするための限定的なSSHセッション
    • 管理対象SSHセッション、ポート転送SSHセッションの
    2種類のSSHセッションを提供
    • 最小 30分 ~ 最大 3時間までの有効期限
    • IPアドレスで接続を許可する範囲を指定
    • OCIのID認証によるセッションの作成や削除、またセッション
    管理の操作はAuditに記録される
    • 無償で提供
    23 Copyright © 2022, Oracle and/or its affiliates
    クライアント
    sshクライアント
    sshトンネル
    DBクライアント
    VCN
    Bastion Private Subnet
    インスタンス
    データベース
    セッション
    セッション
    * Oracle Cloud Infrastructure Identity and Access Management
    プライベートアクセス
    Port
    22
    Port
    1521
    データ中心の
    セキュリティ

    View full-size slide

  24. CAや証明書の作成やライフサイクル管理を実現するマネージド・サービス
    • Oracle Cloud Infrastructure 証明書サービス(OCI Certificates Service)は、証明書の発行、保管、
    管理機能を提供するサービス
    • 管理者は手動での証明書の更新や期限管理などの作業から解放される
    • 証明書(Certificate)、認証局(CA)、CAバンドルのライフサイクルを管理
    • CA/証明書/CAバンドルの作成、メタデータ更新、削除、自動更新、有効期間、バージョン管理とローテーション、証明書の
    外部からのインポートなど
    • CA作成にはボールトのHSM非対称キーが必要(20個までは無償)
    • 証明書を必要とするOCIリソースにシームレスに関連付けが可能
    • 例:OCI ロード・バランサーからの利用
    • 無償で提供
    Certificates
    Copyright © 2022, Oracle and/or its affiliates
    24
    データ中心の
    セキュリティ

    View full-size slide

  25. Vault
    ユーザーの暗号鍵・シークレットをセキュアに集中管理
    • OCIのストレージサービスはデフォルト暗号化
    • Vaultを利用することにより、暗号鍵の管理をオラクル
    からユーザー側で管理することが可能
    • ユーザー自身の鍵のインポート (BYOK)
    • FIPS 140-2 Security Level 3 に準拠したHSM
    • 暗号鍵だけではなく、シークレット(パスワード、証明書、
    SSHキー、認証トークン)もVault内に格納しセキュアに
    管理
    25 Copyright © 2022, Oracle and/or its affiliates
    Block
    Volume
    Object
    Storage
    Vault
    Key A
    Key B
    暗号化
    暗号化
    File
    Storage
    Secret A
    Code
    データ中心の
    セキュリティ

    View full-size slide

  26. ハイブリッド環境におけるエンタープライズ向け統合認証基盤
    簡単なユーザー管理とアクセス制御
    • コンパートメントとグループ、ポリシーを
    組み合わせた柔軟かつ強力な設定
    多要素認証も含めた厳密なID管理
    • 多要素認証
    • SMSを用いたワンタイムパスワード
    • iPhone、Android用アプリの提供
    • ワンタイムパスワード
    • 通知への応答(許可/拒否)
    • 事前登録質問への回答
    • アダプティブセキュリティ
    柔軟なアクセス制御設定
    • アプリケーション単位でアクセスの許
    可や拒否、再認証や二要素認証の
    要求をポリシーとして指定
    Identity Cloud Service / IAM Identity Domains
    Copyright © 2022, Oracle and/or its affiliates
    26
    ワンタイムパスワード 通知への応答
    イントラネットからの
    アクセスはID/PWのみ
    インターネットからのアクセス
    には二要素認証を要求
    Users
    User1
    User2
    Instances
    Instance1
    Instance2
    Groups
    GroupX
    GroupY
    Dynamic
    Groups
    GroupZ
    コンパートメントB
    コンパートメントA
    PolicyA PolicyB2
    PolicyB1
    Policies
    PolicyA: allow group GroupX
    PolicyB1: allow group GroupY
    PolicyB2: allow dynamic-group
    GroupZ
    • 使用したIdP
    • 所属グループ
    • ユーザー名
    • IPアドレス
    データ中心の
    セキュリティ

    View full-size slide

  27. Web Application Firewall
    巧妙化するサイバー攻撃からWebアプリケーションを保護
    • 情報漏えいにやサービス停止などに繋がる不正アクセ
    スの脅威からWebアプリケーションを保護
    • 保護されるサーバは、インターネットから隠蔽され、代
    わりにグローバルで展開されるエッジノードがトラフィック
    を処理
    • クロスサイト・スクリプティング、SQLインジェクション等の
    多岐にわたる攻撃に対応する保護ポリシーを提供
    • 判別の難しいBotトラフィックに対して、Botか人かの違
    いを検出し、ブロックできるチャレンジ機能やホワイトリ
    ストで制御
    • L7 DDoS攻撃への保護
    (※L2/3 DDoSは、OCIの標準機能)
    WAF
    Copyright © 2022, Oracle and/or its affiliates
    27
    データ中心の
    セキュリティ

    View full-size slide

  28. 28 Copyright © 2022, Oracle and/or its affiliates
    カテゴリ 機能 機能名 単価
    セキュリティ・
    バイ・デザイン
    強力、完全なテナント分離 Isolated Network Virtualization / Bare Meta 標準機能
    強制的な暗号化 Encryption by Default 標準機能
    階層型権限管理 Compartment 標準機能
    自動化された
    セキュリティ管理
    リスクのある設定を自動検知 Cloud Guard 無償
    ポリシーの自動適用 Security Zones 無償
    脆弱性スキャン Vulnerability Scanning 無償
    オンラインでのパッチ適用 Autonomous Database 無償 (*1)
    自動化されたログ分析 Logging Analytics 10GBまで無償
    データ中心の
    多層防御
    DBセキュリティ対策の自動化 Data Safe 無償~ (*2)
    特権ユーザー管理 Database Vault DBCS HP ~ (*3)
    多要素認証、リスクベース認証 IAM Identity Domains 無償 ~ (*4)
    ボット対策とWAF Web Application Firewall 無償 ~ (*5)
    *1 Autonomous Database 利用時に無償で利用可能
    *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償
    *3 DBCS High Performance以上で利用可能
    *4 無償で利用できるユーザー数や機能に制限あり
    *5 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥72 [1,000,000インカミングリクエスト/月]、¥600[インスタンス/月]

    View full-size slide

  29. 価格詳細:クラウドサービス (1)
    29 Copyright © 2022, Oracle and/or its affiliates
    * 監査記録の蓄積は、 100万監査レコード/ターゲット/月まで無償、その他の機能は無償
    ** 監査記録の蓄積は、 100万監査レコード/ターゲット/月まで利用可能、その他の機能は追加コストなく利用可能
    *** 税抜き価格
    • Oracle Data Safe
    サービス名 単価 単位
    Data Safe for Database Cloud Service (*) 無償
    Data Safe for Database Cloud Service - Audit Record Collection Over 1 Million Records ¥12 1万監査レコード/ターゲット/月
    Data Safe for On-Premises Databases & Databases on Compute (**) ¥24,000 ターゲットデータベース/月
    Data Safe for On-Premises Databases & Databases on Compute –
    10,000 Audit Records Per Target Per Month
    ¥12 1万監査レコード/ターゲット/月
    サービス名 単価 単位
    Oracle Cloud Guard 無償
    Oracle Security Zones 無償
    Oracle Vulnerability Scanning 無償
    Bastion 無償
    Certificates 無償
    • Oracle Cloud Guard / Security Zones / Vulnerability Scanning / Bastion

    View full-size slide

  30. 価格詳細:クラウドサービス (2)
    30 Copyright © 2022, Oracle and/or its affiliates
    • Oracle Cloud Infrastructure Identity and Access Management
    サービス名 単価 単位
    Oracle Cloud Infrastructure Identity and Access Management - Premium ¥384.00 ユーザー/月
    Oracle Cloud Infrastructure Identity and Access Management - External User ¥1.92 ユーザー/月
    Oracle Cloud Infrastructure Identity and Access Management - Oracle Apps Premium ¥30 ユーザー/月
    • Oracle Identity Cloud Service
    サービス名 単価 単位
    Oracle Identity Cloud Service - Enterprise User ¥384.00 ユーザー/月
    Oracle Identity Cloud Service - Consumer User ¥1.92 ユーザー/月
    • Oracle Cloud Infrastructure Identity and Access Management - Add-on Options
    サービス名 単価 単位
    Oracle Cloud Infrastructure Identity and Access Management - Replication ¥0.48 ユーザー/月
    Oracle Cloud Infrastructure Identity and Access Management - SMS
    ¥0 1,000 SMSメッセージまで/月
    ¥3.6 1 SMSメッセージ/月
    Oracle Cloud Infrastructure Identity and Access Management - Token
    ¥0 10,000 トークンまで/月
    ¥0.48 トークン/月

    View full-size slide

  31. 価格詳細:クラウドサービス (3)
    31 Copyright © 2022, Oracle and/or its affiliates
    • Oracle Cloud Infrastructure Web Application Firewall
    * 税抜き価格
    サービス名 単価 単位
    Web Application Firewall - Requests
    ¥0 10,000,000 リクエストまで/月
    ¥72 1,000,000 リクエスト/月
    Web Application Firewall - Instance
    ¥0 1 インスタンスまで/月
    ¥600 インスタンス/月
    • Oracle Cloud Infrastructure Logging Analytics
    サービス名 単価 単位
    Oracle Cloud Infrastructure Logging Analytics - Active Storage ¥60.0 Logging Analytics Storage Unit Per Hour
    Oracle Cloud Infrastructure Logging Analytics - Archival Storage ¥2.4 Logging Analytics Storage Unit Per Hour
    • 最初10GBは無料で利用可能。10GBを超えて利用した場合に課金が発生

    View full-size slide

  32. 価格詳細:クラウドサービス (4)
    32 Copyright © 2022, Oracle and/or its affiliates
    • Oracle Cloud Infrastructure - Key Management
    サービス名 単価 単位
    Oracle Cloud Infrastructure - Key Management ¥446.88 Virtual Private Vault/時
    Oracle Cloud Infrastructure - KMS Vault - Key Versions
    ¥0 20 キーバージョンまで/月
    ¥64.008 1 キーバージョン/月

    View full-size slide

  33. 参考資料
    33 Copyright © 2022, Oracle and/or its affiliates
    概要
    • オラクルセキュリティ サービス概要
    https://www.oracle.com/jp/security/
    • オラクルのクラウドセキュリティソリューション概要
    https://blogs.oracle.com/sec/cloud-security-overview
    • オラクルセキュリティ活用事例
    https://blogs.oracle.com/sec/case-oraclesecurity
    • クラウドセキュリティの最新情報:
    クラウドセキュリティナビ
    https://blogs.oracle.com/sec
    各サービスを詳しく知りたい
    • Oracle Cloud Infrastructure Web Application Firewall
    https://blogs.oracle.com/sec/introducing-the-oci-waf-jp
    • Oracle Data Safe
    https://blogs.oracle.com/sec/data-safe-overview
    • オラクルが提供するID管理ソリューション
    https://blogs.oracle.com/sec/oracleidm1-idm
    • Oracle Cloud :セキュリティとコンプライアンス
    https://blogs.oracle.com/sec/oracle-cloud-compliance
    セミナー情報
    • https://blogs.oracle.com/oracle4engineer/column_cloud_seminar

    View full-size slide