Exadata Database Service on Dedicated Infrastructure セキュリティ、ネットワーク、および管理について

Transcript

1. Exadata Database Service on Dedicated Infrastructure セキュリティ、ネットワーク、および管理について 日本オラクル株式会社 2025年1月14日

2. 2 Copyright © 2025, Oracle and/or its affiliates アジェンダ 1.

   Oracleセキュリティポリシー 2. 役割と責任 3. Architecture 4. Security Details 5. Management Tools

3. • お客様データの 機密性 (confidentiality)、完全性 (integrity)、可用性 (availability) を保護 • 下記のセキュリティを含む •

   人的資源、ネットワークとシステムへのアクセス制御、データ、 • サプライ・チェーン・マネージメント、ラップトップ、モバイル機器 • 下記のセキュリティ基準に準拠 • ISO/IEC 27002:2013 (以前のISO/IEC 17799:2005) • ISO/IEC 27001:2013 • NIST • お客様はオラクル社のポリシーとお客様のポリシーを以下から比較可能 • https://www.oracle.com/jp/corporate/security-practices/corporate/ • 技術的な詳細は、『Oracle Cloud Infrastructureセキュリティ・ガイド』を参照してください • https://docs.oracle.com/ja-jp/iaas/Content/Security/Concepts/security_guide.htm Oracle Security Policies Copyright © 2025, Oracle and/or its affiliates 5

4. Exadata Database Service での役割と責任 Copyright © 2025, Oracle and/or its

   affiliates 6 オラクル・クラウド・プラットフォーム お客様 / テナント・インスタンス オラクルクラウド オペレーション お客様 オラクルクラウド オペレーション お客様 監視 インフラストラクチャ, コントロー ル・プレーン, Exadata Database Server の障害, 可用性, 容量 なし お客様サービスのお客様モニタリ ングのためのインフラストラクチャの 可用性 お客様の OS, データベース、 アプリケーションの監視 インシデント管理、 解決 インシデント管理と改善 スペア・パーツとエンジニアのディ スパッチ なし プラットフォームに関連のあるイン シデントのサポート お客様アプリケーションの インシデント管理と解決 パッチ管理 ハードウエア、Iaas/PaaS コ ントロール・スタックへのプロアク ティブ・パッチ適用 計画インフラストラクチャ更新ウィ ンドウの承認に対応 適用可能なパッチのステージング (例；Oracle DB パッチセット) テナント・インスタンスへの パッチ適用/テスト バックアップと リストア インフラストラクチャ、コントロー ル・プレーン、Database Server のバックアップとリカバ リ なし 稼働していて、お客様アクセス可 能な VM の提供 オラクルまたはサード・パーティ のツールを用いた、お客様の IaaS およびPaaS データのス ナップショット/バックアップ・リカ バリ クラウド・サポート オラクルが管理するインフラスト ラクチャに関する事象の対応と 解決 なし お客様がアクセス可能なサービス の SR への対応と解決 お客様がアクセス可能なサー ビスの、サポート・ポータルを通 じた SR のファイル

5. • お客様とオラクルのスタッフは同じ筐体の隔離された環境で作業します • 仮想マシン、仮想ネットワーク、ハイパーバイザー • お客様はお客様のサービスを運用管理することが認可されています • VM, データベース, Grid

   Infrastructure, エージェント, etc. • お客様はお客様のポリシーと手順に従ってサービスをオペレートします • データベース・スキーマ管理、ユーザー管理、鍵管理 • データベースの自動化されたアップデート、バックアップ、リストアの実行 • データベースと OS の監査ログ、OCI の監査サービスの構成 • お客様は Oracle クラウド・オートメーションを起動して、通常の DBA タスクを実行します • データベース作成、TDE(Transparent Data Encryption)、パッチ適用、バックアップ、リストアなど • RAC と ASM の構成、VM 管理など • オラクルのスタッフは Exadata インフラストラクチャの管理のみが認可されています • Exadata Database Server および Storage Server、ストレージ・ソフトウエア、ネットワーク、ファームウエア、 ハイパーバイザーなど Exadata Database Service のセキュアなオペレーションと管理 Copyright © 2025, Oracle and/or its affiliates 7

6. Exadata Database Service Dedicated アーキテクチャ Copyright © 2025, Oracle and/or

   its affiliates 8 Oracle Cloud Infrastructure Region Oracle Cloud Ops アプリケーション・ サーバーによる データベース・ アクセス Customer Tenancy お客様管理者 Multi-Factor Authentication Invoke Cloud UI REST APIs via https Oracle Service Tenancy Customer Auditing and Access Controls Oracle Auditing and Access Controls Oracle Admin VCN Cust VM Cloud API Access Database Access Integration with OCI Services Database/ExaDB-D Lifecycle Management Automation Delivery Infrastructure Maintenance Customer Client/Backup VCN Service Management VCN Oracle Admin VCN Oracle Operator SSH お客様データ・センター (オプション)

7. ExaDB-D @Azure ハイレベル・アーキテクチャ – Single AZ デプロイメントの場合 9 Copyright ©

   2025, Oracle and/or its affiliates 9

8. OD@AWS ハイレベル・アーキテクチャ Copyright © 2025, Oracle and/or its affiliates 10

   Application VPC Application subnet Database subnet Oracle Exadata Database Service Oracle Autonomous Database Oracle Database@AWS Application on EC2 OCI Region Object Storage OCI Vault Amazon S3) AWS Region Backups ODBNetwork OCI Managed Network Control Plane

9. • ネットワーク・ソースの制限 • お客様テナンシに対する認証を許可するIPアドレス(レイヤー3)を制御 • お客様ユーザー資格証明 • コンソール・パスワード、 API署名キー、認証トークン、顧客秘密キー、 Oauth

   2.0、 SNMP • マルチファクタ認証(MFA)とフェデレーテッド・アイデンティティ管理のサポート • コンパートメント • OCIリソースの論理的なセキュリティ・パーティション • ポリシー・ベースのアクセス制御 • お客様がコンパートメントの特定のリソースを適切な方法で作業するグループを定義 • お客様が職務に必要なグループにユーザーを割り当て • OCIロギング・サービスおよび監査サービス • お客様テナントのすべてのアクションの記録、SIEM (Security Information and Event Management) 統 合の API サポート 顧客テナンシのアクセスおよびロギング制御のハイライト Copyright © 2025, Oracle and/or its affiliates 11

10. • ExaDB-Dは、Oracleのパブリック・クラウド・インフラストラクチャを介して制御および管理される • 「テナンシ」がOCI上に作成され、テナンシを経由してOracleのすべてのパブリック・クラウド・サービス、 お客様サイトに存在するExaDB-Dにアクセス可能 • 該当のお客様テナンシ内では、ExaDB-Dは管理可能なリソースとして表示される • ユーザー・アカウントは、ExaDB-Dの管理および監視を担当するすべてのユーザーに対して作成が必要 •

    これらのアカウントは、OracleのIAM (Identity and Access Management)サービス、 またはOracle Identity Cloud ServiceなどのフェデレーテッドIAMを介して制御される • これらのアカウントは、お客様のオンプレミス・デプロイメント内の内部IAMとは異なる可能性がある Exadata Database Service Dedicated コントロール・プレーン Copyright © 2025, Oracle and/or its affiliates 13

11. • ExaDB-Dコントロール・プレーンにアクセスするには、ユーザーがOracle OCIコンソールにログオンが必要 • 複雑さ、エージングについての標準的なパスワード・ポリシーを適用でき、10回を超えるログイン試行の失敗 があると自動的にアカウントがブロックされる • マルチファクタ認証を構成可能で、使用はMFAのみのアカウントに制限することが可能 • ユーザーは、特定のリソースおよびアクションに利用を制限することが可能

    • ExaDB-D-Adminグループは、コンパートメント内に存在するExaDB-Dで構成することを推奨 Exadata Database Service Dedicated コントロール・プレーン – アクセス・セキュリティ Copyright © 2025, Oracle and/or its affiliates 14

12. • Oracle IAMでは、Oracle Cloud Identity Service、Microsoft ADSF、その他のSAML 2.0準拠プロバイダなど のフェデレーテッド・アイデンティティ・プロバイダのプロビジョニングもサポート •

    セキュリティ監査およびロギングの追加: • Oracle Cloud Infrastructure Auditサービスでは、すべてのAPIコールとログインが記録されるため、 すべてのユーザー・アクティビティを監視可能 • Oracle Cloud Access Security Broker Serviceは、すべてのOCIアクセスの強化されたAIベースの監視を 提供 • これらの主体の詳細は、 https://www.oracle.com/jp/a/ocom/docs/oracle-cloud-infrastructure- security-architecture-ja.pdf を参照 • ノート: このドキュメントには、OracleのOCIクラウド全体をカバーするセキュリティ原則が含まれる Exadata Database Service Dedicated コントロール・プレーン – アクセス・セキュリティ Copyright © 2025, Oracle and/or its affiliates 15

13. • クラウド・オートメーションによるお客様 VM とデータベースへのアクセス • お客様の VM とデータベースへのパッチ適用、バックアップ、リストア • ASM

    ストレージおよびお客様 VM のメモリの割当てとサイズ変更 • お客様 VM の SSH 鍵管理 • クラウド・オートメーションの、アクセスするコンポーネントに基づくセキュアなアクセス方法 • Database Cloud Services (DBCS) agent への、ストレージ・ネットワークにおける 7060/7070 番ポートによる mTLS を利用したセキュアな接続 • お客様 VM への、管理用ネットワークにおける 22 番ポートによるトークンベース ssh を利用したセキュアな接続 • お客様データベースへの、オラクル・ユーザー・アカウントからの OS 認証を利用したセキュアな接続 • オラクルとお客様のコントロールにより、アクセス方法を管理 • お客様テナンシーにはお客様の IAM によるコントロール • お客様データベースにはお客様データベースによるコントロール • お客様 VM にはお客様 VM によるコントロール • ssh 鍵、mTLS についてはオラクルによるコントロール Exadata Database Service のクラウド・オートメーションでのアクセス・セキュリティ Copyright © 2025, Oracle and/or its affiliates 16

14. 17 Copyright © 2025, Oracle and/or its affiliates Exadata Database

    Serviceのネットワーク・アーキテクチャ (1) クライアントネットワークのbondeth0 (2) バックアップネットワークのbondeth1 (3) 管理ネットワークの VNC (4) ストレージ/RACインターコネクトのre0 (VLAN分離) (5) ストレージ/RACインターコネクトのre1 (VLAN分離) VCN Network Hardware (共有) Exadata Storage Server (専有) Exadata DB Server (専有) Storage Network Switch (共有) Management Network Switch (共有) VCN Network Hardware (専有) 1 2 ExaDB-D Client Bond Backup Bond 管理ネットワーク ストレージ・ネットワーク Oracle Cloud Infrastructure コントロール・ プレーン 5 vNIC SR-IOV 3 vNIC NAT 4 Cust VM Admin VCN お客様 テナンシで の お客様の サービス お客様テナンシでの お客様の API/UIアクセス クライアントネットワーク バックアップネットワーク

15. • オラクルのスタッフはお客様の VM、サービス、データへのアクセスは認可されていない • お客様が VM、サービス、データへのアクセスをコントロール • お客様は、必要に応じてOracleがお客様のVM、サービス、データにアクセスすることを許可可能 • ExaDB-D管理サーバーへのMFAを含むsshトンネルを介した特定のユーザー・アクセス

    • FIPS 140-2 準拠のワンタイム・パスワード • 管理ネットワークを介したトークンベース ssh による特権アクセス • Exadata Database Server/Storage Server, Oracle Managed Infrastructure Exadata Database Service での オラクル社のリモート・オペレータ・アクセスのセキュリティ Copyright © 2025, Oracle and/or its affiliates 18 Exadata Storage Server Exadata Database Server Admin VCN ExaDB-D Management Server OCI Bastion ssh service account ssh OCNA VPN ssh service account ssh named account Named Account Access

16. • 職務分掌 • ExaDB-D サポート・ロールは、オラクル社のサポート・スタッフに踏み台サーバーへのアクセスを承認 • 踏み台サーバー・オペレーター・ロールは、踏み台サーバーへの管理アクセスを承認 • オラクル社の一人のスタッフが両方のロールをもつことは許可されていない（職務分掌） •

    踏み台サーバーのアクセス・セキュリティ • FIPS 140-2 準拠のワンタイム・パスワードを介した特定のユーザのみのアクセス • クラウド・テナンシー ID 監査により許可された接続を確認 • オラクル社は踏み台サーバーへのすべてのアクセスをログし監査 • Management Server へのアクセス・セキュリティ • FIPS 140-2 準拠のワンタイム・パスワードを介した特定のユーザのみのアクセス • オラクル社はコントロール・プレーン・サーバーへのすべてのアクセスをログし監査 Oracle Controls for Operator Access Copyright © 2025, Oracle and/or its affiliates 19

17. • すべてのロールのアサインメントを承認プロセスで管理 • ExaDB-D 管理アクセスの適格性をジョブ・コードから決 定 • 自動ジョイン・移動・削除プロセス • 部署異動

    • 離職 • 必須トレーニング Oracle Identity Management Copyright © 2025, Oracle and/or its affiliates 20

18. ExaDB-Dオペレーション・アクセス管理・レビュー Copyright © 2025, Oracle and/or its affiliates 21

19. ロール例 Copyright © 2025, Oracle and/or its affiliates 22

20. • オラクル社ファシリティへの入場に電子フォト ID アクセスカードが必要 • セキュリティ・レベルの高いフロアと部屋へのアクセスには、より高度なアクセス許可が ID カードに必要 • ビル内のクローズドな監視モニター

    • 社員の入社・退社・異動プロセスは Oracle Identity Manager でコントロール • 資格付与は人事システムと部署ロールと統合 • オラクル・ファシリティ外からのアクセス • ExaDB-D リソースへのサービス提供のためにはオラクル社の企業 VPN アクセスが必要 • VPN アクセスのための多要素認証 オラクル社員のアクセス・セキュリティ Copyright © 2025, Oracle and/or its affiliates 23

21. お客様がDatabase Cloud ServicesへのOracle Accessを制御するためのソフトウェア • お客様はOracleスタッフがサービスにアクセスし、最小化できるタイミングを制御 • OracleスタッフがVMにアクセスできる時間 • VMにアクセスできるOracleスタッフの数

    • OracleスタッフがVMにアクセスする際の権限 • ソフトウェアによって最小限の特権アクセスを強制 • 非対話型リモートAPIおよび事前定義済のシェル・コマンドは、インタプリタで実行可能 • root以外の対話型シェルは、権限を制限するOracle Linux chroot jailによって制御 • ルート・シェル・アクセスは、必要に応じて承認した後、および名前付きユーザーとしてログインした後、suまたはsudo を介してのみ使用可能 • お客様はOracleスタッフが実行するキーストロークおよびコマンドを監視可能 • FIPS 140-2レベル3のハードウェアMFAを介して、特定のOracleスタッフを追跡可能 • Oracle Linux標準の監査サービス・コマンドおよびキーストローク・レコード • 任意のリモートsyslogサーバーおよびOCIロギング・サービスに転送可能 Delegate Access Control Copyright © 2025, Oracle and/or its affiliates 24

22. • セッションの分離、監視および記録 • 「Delegate Access Control」は、ユーザーセッションを分離するための一意で一時的なユーザー固有のssh資格を提供 • Oracle Linux での標準的な

    auditd デーモンがコマンドおよびキーストローク監視を提供 • syslogサーバーおよびOCIロギング・サービスにストリームしてログを記録 • 多要素認証(MFA) • FIPS 140-2レベル3準拠のハードウェアMFAで実装されたアクセス制御認証の委任 • Zero Standing Privilege（ZSP、特権ID無し）でのジャストインタイム・アクセス（JITアクセス、特権アク セス）を自動化および実装 • Delegate Access Control は、OCI IAM認可に応じて、一意の一時資格証明を生成およびデプロイ • エージェント無し、VPN無し、パスワード無し、ディレクトリ・サービスへのユーザーの追加無しでの実装 • Delegate Access Control は、パブリック・クラウド・エンドポイントを介してトンネリングされたsshを使用 • Delegate Access Control プロバイダの委任により、サブスクライバとは別にユーザーが管理 • FIPS 140-2レベル3ハードウェア MFAデバイス経由で確立されたssh IDへのヒューマンIDの親和性 • 特定の作業リクエストを処理する権限があるサービス・プロバイダ・ユーザーに対してのみデプロイされた資格証明 Oracle Cloudは業界のベストプラクティスを自動化、強化 Copyright © 2025, Oracle and/or its affiliates 25

23. Delegate Access Controlのアクセス要求処理フロー Copyright © 2025, Oracle and/or its affiliates

    26 Request Access Access Request Review Authorize/Revoke Web UI/API Temp Credential Chroot Jail Audit Logging Service Oracle Approve Reject Revoke Streaming Service Customer SIEM 2 3 4 5 7 6 Jira Ticket 1 Customer Syslog お客様 Deploy お客様 VM

24. • Database Cloud Service API Access • OCI Database Cloud

    Service APIの事前定義されたセットにアクセスして、パッチ適用やその他のデータベース操作を開始可能 • Virtual Machine Log Access • APIを介してVMクラスタ上のDBaaSツール、データベース・ログ、トレース・ファイルによって生成されたログをリモートで収集するため のアクセスを可能に • Virtual Machine Command Access • REST APIを使用してVMクラスタに対して事前定義されたコマンド・セットを実行するためのアクセスを有効に。SSHアクセスは提供 されない • Virtual Machine System Diagnostics • ログおよび診断ファイルへの読取りアクセス権を持つ顧客のVMクラスタへのSSHアクセスを有効に • 機密情報、システム構成の変更、システムの再起動、および監査システムへのアクセスを防止 • Virtual Machine System Maintenance • Service Providersが、権限が制限されているVMクラスタへのSSHアクセス、ルート・アクセスが指定されていないことを可能に • Virtual Machine Full Access • Service ProvidersがVMクラスタへの完全な(ルート)アクセスを取得 Delegate Access Control により6つのレベルの権限を提供 Copyright © 2025, Oracle and/or its affiliates 27

25. 監査ログ・コマンドおよびキーストローク・データの例 Copyright © 2025, Oracle and/or its affiliates 28

26. • 業界で実績のあるセキュリティ技術から構成 • Oracle Database、 Exadata、 OCI • 完全なライフサイクル・マネジメント •

    セキュアなデプロイメント、セキュアなメンテナンスとオペレーション、セキュアな環境削除 • エンド・ツー・エンドのデータ保護 • 通信中、処理中、格納中 • マルチレイヤーでのアプローチ • スタックを通じてポリシー・コントロールとテクニカル・コントロールを介して実装 • オラクル社のスタッフとお客様の職務分離 多層防御ストラテジー Copyright © 2025, Oracle and/or its affiliates 29

27. • Exadata は業界で最もセキュアなデータベース・プラットフォーム • 数千社のお客様、数百人の専門家、世界中のミッション・クリティカルなシステムでの利用 • 標準の設定 • 最小のパッケージと最小の稼働サービス •

    トークンベースの SSH アクセス • ローカルでの syslog 監査 • パスワード保護されたウォレットに格納されたローカル TDE キー • 職務分掌 • お客様がお客様 VM 、データベースおよびデータベースのデータへのアクセスをコントロール • オラクル社はインフラストラクチャへのアクセスをコントロール • FIPSのオプション • お客様は Oracle Linux のマニュアルに従ってお客様VMの Oracle Linux FIPS モードを設定可能 • お客様は Oracle データベースのマニュアルに従ってOracleデータベースの FIPS モードを設定可能 Exadata Database Service のセキュリティ概要 Copyright © 2025, Oracle and/or its affiliates 30

28. • お客様は root アクセスが可能で、root パスワードを管理 • root パスワードは Oracle クラウド・オペレーションと共有不要

    • お客様はエージェントのインストールが可能で、監査ログを設定可能 • お客様のローカル・プロセスとポリシーの実装が可能 • お客様の SIEM（Security Information and Event Management）サーバーにログを送信可能 • お客様は特定のユーザー認証の実装が可能 • お客様の既存のセキュリティ・ベスト・プラクティスの実装が可能 • お客様は VM にネットワーク・ファイアウオールを設定可能 • ただし、クラウド・オートメーション機能へのアクセスを許可すること Exadata Database Service の基本的なお客様のセキュリティコントロール Copyright © 2025, Oracle and/or its affiliates 31

29. • Oracle Native ネットワーク暗号化 • クライアントとデータベース間のデータ通信を暗号化で保護 • TDE 暗号化 •

    鍵はお客様管理のキーストアに保管可能（Oracle Key Vaultなど） • Data Masking • 特定のユーザーとロールのための、きめ細かいデータ・アクセス・コントロール • Database Vault • DBA特権ユーザーのデータ・アクセスを不可として、特定のユーザーにのみデータ・アクセス可能に • 先進のデータベース・セキュリティ機能 • Oracle Database Redaction、Oracle Data Masking and Subsetting、Oracle Label Security Exadata Database Service のさらなるお客様のセキュリティコントロール Copyright © 2025, Oracle and/or its affiliates 32

30. 33 Copyright © 2025, Oracle and/or its affiliates エンド・ツー・エンドのデータ保護 •

    通信中データの暗号化 • Oracle Native Network Encryption • ユーザーデータへのDBAのアクセス制御 • Oracle Database Vault • 格納中データの暗号化 • Oracle Transparent Data Encryption Server/OS VM/OS App Exadata Database Server Customer VM Instance Exadata Storage Network Exadata Storage Server DB Oracle Native Network Encryption Transparent Data Encryption Named User

31. Exadata Encrypt Redact Mask Subset 多層防御の例 Exadata DB Server Exadata

    DB Server Key Vault Audit Vault Database Vault Infra Adm Apps Storage Adm Test Dev Protect ZDLRA Infrastructure Admin Network Client and Backup Network People and Apps Data Infrastructure Platform Add Ons NFS Standby DB Object Store DB Firewall Encrypt DB ISE Exadata Storage Server Exadata Storage Server Exadata Storage Server Exadata Storage Net VM VM DBA SA 34 Copyright © 2025, Oracle and/or its affiliates

32. Exadata Database Service on ExaDB-D • 顧客スタッフが顧客VMのコンソール・ログインにアクセスする方法 • 顧客管理デバイスからVMコンソールへのログイン・プロンプトへのssh •

    OCIクラウド・シェルVMコンソールのログイン・プロンプトからのssh • 3ステップのプロセス: • コンソール・プロンプトへのSSHアクセス用にSSHトンネルおよび一時アカウントを構成するOCIクラウド API • sshトンネルを介したコンソール・プロンプトへの鍵ベースのssh認証 • コンソール・アクセスのVMコンソール・プロンプトでユーザー名/パスワードを指定 Customer Console Access to Customer VM Copyright © 2025, Oracle and/or its affiliates 35

33. オラクルが管理するインフラストラクチャ・ログ Copyright © 2025, Oracle and/or its affiliates 36 ILOM

    syslog はホストの syslog にリダイレクトされています ログは SR でリクエストすることでお客様が入手可能です ログは 13 ヶ月間保持されます Source Log Exadata Database Server, cell, IB /var/log/audit/audit.log Exadata Database Server, cell, IB /var/log/secure, /var/log/messages ILOM* syslog Exadata Database Server /var/log/xen/xend.log cell /var/log/oracle/diag/asm/cell/<hostname>/alert/log.xml /var/log/oracle/diag/asm/cell/<hostname>/trace/ms-odl*.log IB /var/log/opensm.log

34. • GUI ログ・ビューワ、Log4J パッケージのフィルター • ログされたイベントをリッスン、テーブル形式で表示 Infrastructure Log Analysis: Chainsaw

    Copyright © 2025, Oracle and/or its affiliates 37 37 Copyright © 2021, Oracle and/or its affiliates

35. • Elasticsearch • 検索解析エンジン • Logstash • ログ記録管理ツール • Kibana

    • データ可視化ツール • チャートとグラフ Infrastructure Log Analysis: ELK Copyright © 2025, Oracle and/or its affiliates 38 38 Copyright © 2021, Oracle and/or its affiliates

36. • rsyslog への構造化ロギング • syslog のストリングを JSON 形式に変換 • メッセージの検索、分析、相関

    • From • To Infrastructure Log Analysis: Lumberjack Copyright © 2025, Oracle and/or its affiliates 39 39 Copyright © 2021, Oracle and/or its affiliates

37. • リアルタイムでのログのキャプチャ、インデックス付け、相関分析 • 検索可能なレポジトリへ • グラフ化 • レポート • アラート通知

    • ダッシュボード • 可視化 Infrastructure Log Analysis: Splunk Copyright © 2025, Oracle and/or its affiliates 40 40 Copyright © 2021, Oracle and/or its affiliates

38. • オラクル社のスタッフはログを見ることが承認されています • Oracle Defect Assessment Review Team (DART) •

    Oracle Security Operations Center (SOC) • Oracle SIEM (Security Information and Event Management) にログが送付され 自動分析および警告を実行 • OCIへの接続が途切れた場合のローカルでのログ保存 • ローカルサーバーにログはキャッシュ • 保持期間は最小7日間 Infrastructure Log Analysis Copyright © 2025, Oracle and/or its affiliates 41 41 Copyright © 2021, Oracle and/or its affiliates

39. ケース1: お客様がサービスにログインする前の顧客サービス例外 お客様がサービスにアクセスする前にカスタマ・サービスに例外がある場合、お客様は、サービス障害に関連するサービス・リクエスト(SR)でOracleのアクセス要 求に「Yes」と応答することで、Oracleスタッフがカスタマ・サービスにアクセスすることを許可できる この方法のユースケースには、クラウド自動化によって作成されるVMの障害が含まれる Oracleスタッフは、次の情報を入力して既存のSRで承認を要求する • As per the

    security policy associated with ExaCC service, Oracle personnel are prohibited to access customer DomU without customer’s explicit permission. For me to comply with this policy, I am required to get your permission to access DomU by asking the following question. • ExaCCサービスに関連付けられたセキュリティ・ポリシーに従って、Oracle担当者は、顧客の明示的な許可なくDomUにアクセスすることを禁止されて います。このポリシーに従うためには、次の質問をして、DomUにアクセスする権限を取得する必要があります。 • “In order for us to resolve the issue described in this SR, we need customer’s explicit permission allowing us to login to customer DomU. By giving us explicit permission to access DomU, you are confirming that there is no confidential data that is stored in customer DomU or associated databases and customer security team is authorizing Oracle to have access to customer DomU in order for Oracle to help fix this issue. Do I have your explicit permission to access DomU?” • 「本SRに記載されている問題を解決するためには、お客様DomUへのログインを許可する、お客様の明示的な許可が必要です。DomUにアクセスす る権限を明示的に付与することで、顧客DomUまたは関連するデータベースに格納されている機密データがないことを確認し、顧客セキュリティ・チー ムは、Oracleがこの問題の修正を支援するために、顧客DomUへのアクセス権をOracleに付与しています。DomUにアクセスするための明示的な権 限はありますか?」 顧客がSRで「Yes」と応答した場合、Oracleスタッフが顧客VMにアクセスできるように、Oracleプロセスおよびセキュリティ制御が調整されます。 例外ワークフロー–お客様VMへのOracleスタッフのアクセス 42 Feb 21, 2024 Copyright © 2021, Oracle and/or its affiliates Copyright © 2025, Oracle and/or its affiliates

40. Case 2: Customer service exception after the customer could logs

    into the service お客様がサービスにアクセスした後にカスタマ・サービスに例外がある場合、カスタマは、新しいSRを開いてアクセスを認可す ることで、Oracleスタッフがカスタマ・サービスにアクセスすることを許可できます。 この方法のユース・ケースは次のとおりです。 • VMの起動に失敗する原因となるエラー • VMへのお客様のSSHの失敗またはお客様の資格証明の消失の原因となるエラー • その他のサポートの必要なエラーの状況 お客様がOracleに顧客VMへのアクセスを許可するには、顧客は次の文言で新規SRをオープンする必要があります。: • As per the security policy associated with ExaCC service, Oracle personnel are prohibited to access customer DomU without customer’s explicit permission. For me to comply with this policy, I am required to ask you to open a new SR with exact language as shown below granting Oracle an explicit permission to access DomU. Please note any modification to the language below may delay resolution of your SR. • SR タイトル: SR granting Oracle explicit permission to access DomU of ExaCC with AK serial number AK99999999 • SR 本文: We are opening this SR to grant explicit permission to Oracle to access our DomU in order for support to help resolve issue described in SR# 1-xxxxxxxx. We acknowledge that by providing this permission, we understand that Oracle will have access to ALL FILES in DomU and agree that there are no confidential files stored in any of the file systems in DomU. In addition, we also agree that customer security team has authorized Oracle to have access to customer DomU in order to resolve the issue described in the above SR. 例外ワークフロー–顧客VMへのOracleスタッフのアクセス 43 Feb 21, 2024 Copyright © 2021, Oracle and/or its affiliates Copyright © 2025, Oracle and/or its affiliates

41. • オラクルまたはお客様のいずれかが不正なイベントがあったと疑う場合、サポートデータを収集し、 My Oracle Support にサービス・リクエストを記録してレビューを開始 • https://www.oracle.com/corporate/security-practices/corporate/security-incident-response.html • 両方のチームから提供されたすべてのデータを使用して、問題を切り分け、結論を導き、根本原因を

    突き止め、必要に応じて修正 • セキュリティ関連の Oracle のサービス・リクエストへのアクセスは厳しく制限されています (この件の関係者のみがアクセス可能) • 対象の SR に直接関与していないオラクル社員は、もし見ようとしてもアクセスが拒否される セキュリティ監視へのチームでのアプローチ Copyright © 2025, Oracle and/or its affiliates 44 Monitoring/Event Mgt Incident Mgt Problem Mgt Change Mgt Configuration Mgt Knowledge Base Service Reporting Cloud Operations System Management LOGS MOS LOGS Customer System Management Monitoring/Event Mgt Incident Mgt Problem Mgt Change Mgt Configuration Mgt Knowledge Base Service Reporting 44 Copyright © 2021, Oracle and/or its affiliates

42. • オラクルのフォレンジック調査による 2 つの主要なセキュリティ違反の理由 • 特権アカウントへの脆弱なパスワード • 既知の脆弱性へのパッチの未適用 • オラクルのクラウド・オートメーションで以下を実行

    • 特権ユーザーへの強固なパスワードへの強制 • データベースを最もセキュアな状態に維持 鍵を玄関マットの下に隠さないでください Copyright © 2025, Oracle and/or its affiliates 45

43. 今日の DBA はオートメーションが必要 DBA と IT の課題に関する数字 データベース管理に関するワークロードは転換点に近づいている。 データベース管理者へのオラクルによる調査によると、39% の

    DBA が 50 以上のデータベースを管理、95% の IT プロフェッショナルが手動で データベースを作成およびアップデートを実施している。 多くの DBA は、非計画停止を経験しており、 複数の管理および バックアップ・ツールを利用していくことに苦労している。 保守 vs イノベーション IT 予算の 72% が単に既存の IT システムの保守費用に使用され、 残り 28% がイノベーションに使用されている。 Copyright © 2025, Oracle and/or its affiliates 46 DBA のワークロードは増加: 39% の DBA が 50 以上 のデータベースを管理 自動化の欠如: 95% の DBA が手動でデータベースを 作成およびアップグレード 78% の DBA がテストをし ていないデータベースの変更 により非計画停止を経験 DBA と IT スタッフは完全な保護 を提供するのに苦労: 2/3 の組織が複数ツールを利用し て１つのデータベースをバックアップ の IT 予算が保守費用で 残りがイノベーション 基幹業務からのサービス需要 に対応 パフォーマンス SLA、 セキュリティ、コンプライアンス、 可用性の確保

44. • Database および Grid Infrastructure • 作成、削除、起動、停止、再起動 • バックアップ、リストア •

    パッチ適用とロールバック • Oracle ホームの共有 • 異なる Oracle ホームへの DB の移動 • DB の同期 • Data Guard セットアップ、スイッチオーバー、 スイッチバック • Data Guard フェイルオーバーとフェイルバック • Transparent Data Encryption • Oracle Native Network Encryption • RAC ノード・データベース・サブセッティング (CLI ツールによる) • 仮想マシン (VM) クラスタ • ExaDB-D インフラごとの複数 VM クラスタ • 作成、削除、起動、停止、再起動 • メモリー、ローカル・ストレージ、 Exadata Storage のスケーリング • OCPU スケーリング • SSH アクセス・トークンのインストール • ライセンス・モデルの変更 • ExaCLI でのストレージ構成・情報取得 • パッチ適用、ロールバック、アップグレード (CLI ツールによる) ExaDB-D の 主なクラウド・オートメーション機能 Copyright © 2025, Oracle and/or its affiliates 47

45. • Oracle Cloud Infrastructure コンソール • https によるブラウザ・アクセス (ワンタイム・アクションやアドホックなタスクに最適) •

    Software Development Kit (SDK) • OCI サービスに統合するアプリケーションの開発とデプロイ • Java, Python SDK, Ruby SDK, Go SDK, Ansible SDK • OCI Command Line Interface (OCI CLI) • コンソール機能を拡張 • GUI よりも CLI を好む開発者などの方にとって便利 • Oracle Cloud Shell • OCI コンソールから利用可能なOCI CLI • Terraform • お客様の IT インフラストラクチャをコードとして管理 管理インタフェース Copyright © 2025, Oracle and/or its affiliates 48

46. • Exadata Database Service on Dedicated Infrastructure のデプロイメントの標準化 • インフラ、VM、データベースのセキュア化、管理、アップデート

    • 自動での TDE と MAA ベストプラクティスの実装 • バックアップ、リストア、およびパッチ適用 • DBA リソースを解放し、ビジネスを促進 • データを用いて競合優位となる戦略的なアドバイザー • アプリケーションと SQL チューニング、レポートの最適化 • Oracle Database と Exadata 機能のすべてを活用することでのアドバンテージ クラウド・オートメーションによる標準化 Copyright © 2025, Oracle and/or its affiliates 49

47. Questions and Discussion Copyright © 2025, Oracle and/or its affiliates

    50