Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティとコンプライアンス対応、そしてISMAP

oracle4engineer
PRO
September 29, 2021
Technology
1
2.3k

 セキュリティとコンプライアンス対応、そしてISMAP

2021/9/28開催のOCIスキルアップセミナー #12の発表資料です。

OCIの様々なサービスを安全に提供するために、インフラには多大なセキュリティ対策が施されています。
その仕組みは一般的には公開されていませんが、各種ドキュメントやWebサイトを読み解くことにより、その実像が浮かび上がってきています。
この資料では、OCIインフラのセキュリティ対策を読み解くヒントとともに、OCIも登録したISMAPへの対応をご紹介します。

oracle4engineer
PRO

September 29, 2021
Tweet

More Decks by oracle4engineer

See All by oracle4engineer
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
29
13k
【Oracle Cloud ウェビナー】生成AI対応のデータベースが変える、業務アプリケーション構築のこれから
oracle4engineer
PRO
2
39
OCI Vault 概要
oracle4engineer
PRO
0
9.8k
Data Safeの機能詳細
oracle4engineer
PRO
0
4.8k
OCI Security サービス 概要
oracle4engineer
PRO
0
6.6k
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.9k

Other Decks in Technology

See All in Technology
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
140
Storybook との上手な向き合い方を考える
re_taro
5
2k
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
440
Zennのパフォーマンスモニタリングでやっていること
ryosukeigarashi
0
550
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
340
Flutterによる 効率的なAndroid・iOS・Webアプリケーション開発の事例
recruitengineers
PRO
0
140
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
1
480
生成AIが変えるデータ分析の全体像
ishikawa_satoru
0
190
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
210
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.8k
アジャイルでの品質の進化 Agile in Motion vol.1/20241118 Hiroyuki Sato
shift_evolve
0
190

Featured

See All Featured
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
What's in a price? How to price your products and services
michaelherold
243
12k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
The Language of Interfaces
destraynor
154
24k
Visualization
eitanlees
145
15k
Statistics for Hackers
jakevdp
796
220k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Faster Mobile Websites
deanohume
305
30k

Transcript

  1. OCIのセキュリティ そしてISMAP 2021年9⽉28⽇ ⽇本オラクル株式会社 テクノロジー営業推進 ソリューションディレクター 下道⾼志, Ph.D. , CISA,

    CISM

  2. 「情報セキュリティへの世間からの⽬」 の観点でOCI全体像を考察します。 2

  3. ISMAP 3

  4. OCIがISMAPに登録完了(6/22登録完了) 4 https://www.oracle.com/jp/corporate/pressrelease/jp20210622.html https://blogs.oracle.com/sec/oci-ismap-registered Copyright © 2021, Oracle and/or its

    affiliate プレスリリース Blog

  5. NEW!!OCI PaaS, Exadata Cloud@Customer がISMAPに 追加登録(9/17登録完了) 5 https://www.oracle.com/jp/news/announcement/ismap-oci-paas- exadata-cloud-at-customer-20210917/ Copyright

    © 2021, Oracle and/or its affiliate https://blogs.oracle.com/sec/post/ismap_20210712

  6. New!! 9/13更新!!! 6 Copyright © 2021, Oracle and/or its affiliate

    https://www.ismap.go.jp/csm?id=cloud_service_list

  7. OCIに加え、PaaSとExadata Cloud@Customer が追加登録︕︕ 7 Copyright © 2021, Oracle and/or its

    affiliate

  8. 登録済みクラウドサービスリスト(OCI) 8 Announcements API Gateway Application Migration Archive Storage Audit

    Block Volume Cloud Shell Compute Container Engine for Kubernetes Data Flow Data Science Data Transfer Database* Digital Assistant Distributed Denial of Service (DDoS) Protection Email Delivery Events FastConnect File Storage Functions Health Checks Identity and Access Management (IAM) Load Balancing Marketplace Monitoring MySQL as a Service Virtual Cloud Network (VCN) Notifications Object Storage Oracle Cloud VMware Solution Registry Resource Manager Streaming Vault Web Application Firewall (WAF) *Autonomous Database及び、Exadata Cloud Serviceを含みます。 Copyright © 2021, Oracle and/or its affiliate

  9. 登録済みクラウドサービスリスト(PaaS/ExaCC) 9 Copyright © 2021, Oracle and/or its affiliate Analytics

    Cloud Application Performance Monitoring Blockchain Platform Cloud Guard Content and Experience Cost Analysis Data Catalog Data Integration Data Safe Integration Logging Logging Analytics Management Management Agent Networking Operations Insights OS Management Service Connector Hub Tagging Search Exadata Cloud@Customer

  10. 2021.9.17現在 ISMAP登録サービス(14社20サービス) 10 Copyright © 2021, Oracle and/or its affiliate

    クラウドサービス事業者の名称 クラウドサービスの名称 株式会社エヌ・ティ・ティ・データ OpenCanvas(IaaS) 富⼠通株式会社 FUJITSU Hybrid IT Service FJcloud Google LLC Apigee Edge Google Cloud Platform Google Workspace 株式会社セールスフォース・ドットコム Salesforce Services Heroku Services Amazon Web Services,Inc. Amazon Web Services ⽇本電気株式会社 NEC Cloud laaS KDDI株式会社 KDDIクラウドプラットフォームサービス Oracle Corporation Oracle Cloud Infrastructure Oracle Cloud Infrastructure Platform as a Service Oracle Exadata Cloud@Customer ⽇本マイクロソフト株式会社 Microsoft Azure, Dynamics 365, and Other Online Services Microsoft Office 365 株式会社⽇⽴製作所 エンタープライズクラウドサービス/エンタープライズクラウドサービ ス G2/フェデレーテッドポータルサービス Cisco Systems, Inc. Cisco Webex サイボウズ株式会社 クラウドサービス運⽤基盤cybozu.com 並びにcybozu.com 上で提供するGaroon及びkintone Box, Inc. Box エヌ・ティ・ティ・コミュニケーションズ株式会社 Smart Data Platform サービス

  11. • ⽇本語名 •政府情報システムのためのセキュリティ評価制度 • 英語名 •Information system Security Management and

    Assessment Program • 通称 •ISMAP(イスマップ) ISMAPとは︖ 11 Copyright © 2021, Oracle and/or its affiliate

  12. なぜISMAP︖ 12 2018年6⽉より、政府調達においてクラウド・バイ・デフォルト原則を採⽤ 政府情報システムにクラウドサービスが選定されるためには、ISMAPクラウ ドサービスリストへの登録が事実上必須となります。 政府情報システムは、クラウドサービスの利⽤を第⼀候補として、その検討を⾏う⽅針となった。 Copyright © 2021, Oracle

    and/or its affiliate

  13. ⽶国のFedRAMP(*)を⽬指し、以下のガイドラインを参考に構成されています。 • JIS Q(ISO/IEC) 27001、27002、27014、27017 • 政府機関等の情報セキュリティ対策のための統⼀基準群 • NIST SP800-53

    ISMAP管理基準の構成 * 連邦政府情報システム、および連邦組織のためのセキュリティ管理 策とプライバシー管理策。⽶国連邦政府の内部セキュリティ基準を⽰ すガイドライン。 世界で最も詳細な基準であり ISMAPで多くのガイドラインを包含できる Point 13 Copyright © 2021, Oracle and/or its affiliate 「 政府情報システムのためのセキュリティ評価制度(ISMAP)について(内閣官房・総 務省・経済産業省)」より

  14. ISMAPについての あるあるFAQ 14

  15. Q ISMAPによって何が変わるの? A 政府情報システムの調達の効率化が⾒込まれます。 我々提案者側としては、セキュリティチェックリストの確認 作業がなくなり、要件としては「ISMAP登録サービスであ ること」というシンプルな記載になり、追加要件のみ詳細 を確認すればよくなることを期待しています。 また、ISMAPは厳しい評価ですので、⺠間企業に対し ても安全性をアピールすることができます。

    15 Copyright © 2021, Oracle and/or its affiliate

  16. Q セキュリティ基準の1,300項⽬ってどんな内容? A 以下の3つの観点で確認され、下の表のような項⽬が 1,300並んでいます。 16 Copyright © 2021, Oracle

    and/or its affiliate ガバナンス基準 : 経営陣による意思決定や指⽰等の継続的な実施 マネジメント基準: 管理者の的確なマネジメント 管理策基準 : 業務実施者のセキュリティ対策の実施 管理基準 ISO27002 + 政府統⼀基準 + NIST SP800-53 ISO27002の実践 項⽬を分解して管 理策詳細としている

  17. 3. 情報セキュリティガバナンス 4. マネジメント基準 5. 情報セキュリティのための⽅針群 6. 情報セキュリティのための組織 7. ⼈的資源のセキュリティ

    8. 資産の管理 9. アクセス制御 10. 暗号 11. 物理的及び環境的セキュリティ 12. 運⽤のセキュリティ 13. 通信のセキュリティ 14. システムの取得、開発及び保守 15. 供給者関係 16. 情報セキュリティインシデント管理 17. 事業継続マネジメントにおける情報セキュリティの側⾯ 18. 順守 管理策基準の中での データセンタの扱い Copyright © 2021, Oracle and/or its affiliate 17 11.1.1 取扱いに慎重を要する⼜は重要な情報及び情報処理施設のある領域を保護する ために、物理的セキュリティ境界を定め、かつ、⽤いる。 11.1.2 セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするた めに、適切な⼊退管理策によって保護する。 11.1.3 オフィス、部屋及び施設に対する物理的セキュリティを設計し、適⽤する。 11.1.4 ⾃然災害、悪意のある攻撃⼜は事故に対する物理的な保護を設計し、適⽤する。 11.1.5 セキュリティを保つべき領域での作業に関する⼿順を設計し、適⽤する。 11.1.6 荷物の受渡場所などの⽴寄り場所、及び認可されていない者が施設に⽴ち⼊ること もあるその他の場所は、管理する。また、認可されていないアクセスを避けるために、そ れらの場所を情報処理施設から離す。 11.2.1 装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機 会を低減するように設置し、保護する。 11.2.2 装置は、サポートユーティリティの不具合による、停電、その他の故障から保護する。 11.2.3 データを伝送する⼜は情報サービスをサポートする通信ケーブル及び電源ケーブルの 配線は、傍受、妨害⼜は損傷から保護する。 11.2.4 装置は、可⽤性及び完全性を継続的に維持することを確実にするために、正しく保 守する。 11.2.5 装置、情報⼜はソフトウェアは、事前の認可なしでは、構外に持ち出さない。 11.2.6 構外にある資産に対しては、構外での作業に伴った、構内での作業とは異なるリスク を考慮に⼊れて、セキュリティを適⽤する。 11.2.7 記憶媒体を内蔵した全ての装置は、処分⼜は再利⽤する前に、全ての取扱いに慎 重を要するデータ及びライセンス供与されたソフトウェアを消去していること、⼜はセ キュリティを保って上書きしていることを確実にするために、検証する。 11.2.8 利⽤者は、無⼈状態にある装置が適切な保護対策を備えていることを確実にする 仕組みを整備する。 11.2.9 書類及び取外し可能な記憶媒体に対するクリアデスク⽅針、並びに情報処理設備 に対するクリアスクリーン⽅針を適⽤する。

  18. Q 監査で確認した具体的な内容(対応した詳 細管理策の内容)を公開してくれますか︖ A 具体的な監査内容については公開できないことに なっています。 ISMAP公式サイトにあるドキュメントが、公開できるすべ ての情報となります。 また、具体的な監査法⼈名も⾮公開となっておりま す。

    18 Copyright © 2021, Oracle and/or its affiliate

  19. Q ISMAP登録したOCI上で稼働するアプリケーション システムやSaaSを構築したら、そのアプリケーションシ ステムやSaaSもISMAP対応していると⾔えますか︖ 19 Copyright © 2021, Oracle and/or

    its affiliate A ISMAP制度では、あらかじめ登録対 象とする範囲を明確に規定した上で 監査を受け、監査報告書とともに、 サービスの対象と範囲を確定し、登録 申請し審査を受けた上での登録となり ます。 したがって、OCI上に構築したアプリケー ションシステムやSaaSはISMAP登録 対象となりません。アプリケーションシス テムやSaaSは、個別にISMAP登録を おこなわなければなりません。 OCI, PaaS, ExaC@C App System SaaS ISMAP登録対象

  20. ISMAP対応ができているということは、 「政府が求めるクラウドサービスの 情報セキュリティ基準を達成している」 ということ。 Copyright © 2021, Oracle and/or its

    affiliate 20

  21. Information Security 21

  22. 「情報セキュリティ」の定義 は何でしょうか︖ 22

  23. 「”情報セキュリティ”はCIAのこと」と定義されている Copyright © 2021, Oracle and/or its affiliate 23 Confidentiality

    (機密性) Integrity (完全性) Availability (可⽤性) 資産の正確さ及び完全さを保護する特性 データの改ざん・破壊、システム停⽌ 許可されていない個⼈、エンティティ⼜はプロセス に対して、情報を使⽤不可⼜は⾮公開にする特 性 情報漏えい、不正アクセス 認可されたエンティティが要求したときに、 アクセス及び使⽤が可能である特性 システム停⽌ 情報処理技術者試験に頻出︕

  24. 情報セキュリティは3要素ではなく、7要素なのでは︖ Copyright © 2021, Oracle and/or its affiliate 24 機密性(confidentiality)

    完全性(integrity) 可⽤性(availability) 3要素 + 4要素 真正性(Authenticity) 責任追跡性(Accountability) 否認防⽌(non-repudiation) 信頼性(Reliability)

  25. Copyright © 2021, Oracle and/or its affiliate 25 https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en

  26. Copyright © 2021, Oracle and/or its affiliate 26 AICPA(⽶国公認会計⼠協会)における情報セキュリティの定義 Security

    Availability Processing Integrity Confidentiality Privacy 今⽇のシステム監査の世界的標準な位置付けであるSOC監査はこの基準 (2017 Trust Service Criteria)に基づいて実施される

  27. セキュリティのフレームワークの位置付け(出所︓NRI SECURE) Copyright © 2021, Oracle and/or its affiliate 27

    https://www.nri-secure.co.jp/blog/nist-cybersecurity-framework

  28. OCIの「情報セキュリティ」 28

  29. OCI: A complete cloud infrastructure platform Copyright © 2021, Oracle

    and/or its affiliate 29 Compute Storage Networking Oracle Databases Open Source Databases Operating Systems, Native VMWare Developer Services Containers and Functions Application Integration Data Lake House Machine Learning and AI Analytics and BI Oracle Applications Custom Applications Global Cloud Datacenter Infrastructure Commercial and Government Public Cloud Regions | Hybrid Cloud: Cloud@Customer, Dedicated Regions, Roving Edge Security | Observability and Management | Compliance ISV Applications

  30. September 2021: 30 Regions Live, 7+ planned by end of

    2021, 8 Azure Interconnect Regions Oracle Cloud Infrastructure Global Footprint Copyright © 2021, Oracle and/or its affiliate 30 SAN JOSE, CA PHOENIX CHICAGO ASHBURN TORONTO MONTREAL SANTIAGO VINHEDO SAO PAULO NEWPORT AMSTERDAM FRANKFURT ZURICH LONDON SWEDEN ITALY FRANCE JEDDAH ISRAEL DUBAI MUMBAI HYDERABAD SINGAPORE CHUNCHEON SEOUL TOKYO OSAKA JOHANNESBURG SYDNEY MELBOURNE Commercial Commercial Planned Government Microsoft Interconnect Azure SAUDI 2 UAE 2

  31. https://www.oracle.com/corporate/security-practices/corporate/ Copyright © 2021, Oracle and/or its affiliate n 情報セキュリティに対する総合的なアプローチを採⽤

    • Security-First 設計 • 多層防御セキュリティ戦略を実装 • 強⼒な内部統制、ガバナンス、および監視機能 n セキュリティに対する継続的な取り組み • 継続的な投資 • セキュリティの制御と実践の強化および改善 オラクル クラウドのセキュリティ⽅針 オラクルは、お客様がセキュリティおよびコンプライアンスのニーズに的確に対応できるよう、 様々な⽀援を継続的に⾏っています。 31

  32. セキュリティフレームワークのCIAとコンプライアンスの遵守性を加えた項⽬に対応 OCIのセキュリティ/コンプライアンス対応 Copyright © 2021, Oracle and/or its affiliate n

    Confidentiality n Integrity n Availability ü 1 ü 2 ü 3 ü 4 ü 6 7 ü 5 ü n Compliance ORACLE 32

  33. Trusted Enterprise Cloud Platformの7柱(7 Pillar) OCIのセキュリティ機能 Copyright © 2021, Oracle

    and/or its affiliate , , ( API ) , , , , CASB , WAF ID , 3rd , VPN, FastConnect Bare Metal , VM , VCN, IAM, , DDoS , SLAs , , / , 2 3 4 5 1 6 7 OCIにおけるセキュリティの考え⽅は、次の7つの柱を⼟台にしています 33

  34. OCIインフラのセキュリティ 34

  35. Least Trust Design – Assumption of Compromise (情報は漏洩する、信頼は最⼩に、との前提に基づいた設計思想) Copyright ©

    2021, Oracle and/or its affiliate Isolated Servers Tenants (ユーザ) Hypervisors (含、管理機構⼀般) 35

  36. OF THE CLOUD Secure the Cloud Platform ON THE CLOUD

    Secure Identity, Apps. and Data on the Cloud Platform CROSS CLOUD Protections and Monitoring Between Clouds and Premises OCIセキュリティのポートフォリオとストラテジー Copyright © 2021, Oracle and/or its affiliate 36

  37. 安全なクラウドプラットフォームをゼロから設計 Copyright © 2021, Oracle and/or its affiliate Platform Defense-in-Depth

    from Bare Metal Hardware to Customer Apps & Data Operations Constant Software, Hardware, and Process Hardening Compliance Building Compliance in All Regions for All Services OF THE CLOUD ON THE CLOUD CROSS CLOUD 37

  38. Copyright © 2021, Oracle and/or its affiliate 38

  39. セキュアな設計: Stronger Tenant Isolation Copyright © 2021, Oracle and/or its

    affiliate Isolated Network Virtualization To / From Other Tenants To / From Other Tenants 1st Generation Clouds: Most Prevalent Today 2nd Generation Cloud: Oracle Cloud Infrastructure-Wide Host OS/Kernel Network Virtualization Hypervisor Server Virtualization Separates Network and Tenant Environment Server Virtualization Hypervisor Network Virtualization VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS Host OS/Kernel Network Virtualization Host OS/Kernel Hypervisor Container (Optional) VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS 39

  40. Threat Containment & Reduced Risk Copyright © 2021, Oracle and/or

    its affiliate Host OS/Kernel Network Virtualization Hypervisor Server Virtualization Server Virtualization Hypervisor Network Virtualization Host OS/Kernel Isolated Network Virtualization Host OS/Kernel Hypervisor Container (Optional) Server Virtualization Hypervisor Network Virtualization Network Virtualization Hypervisor Server Virtualization Server Virtualization Hypervisor Network Virtualization Server Virtualization Hypervisor Network Virtualization 1st Generation Cloud Oracle 2nd Generation Cloud VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS Isolated Network Virtualization Security Prevents Lateral Movement VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS Isolated Network Virtualization Host OS/Kernel Hypervisor Container (Optional) VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS VM/ Guest OS 40

  41. Copyright © 2021, Oracle and/or its affiliate 41

  42. 他の顧客との深いレベルでの分離 Copyright © 2021, Oracle and/or its affiliate Compute Bare

    Metal Instances | VM Instances Network VCN and Subnets Data Data-at-rest and Data-in-Transit encryption using customer-controlled keys Back-end Infrastructure Secure isolation between customer instances and back-end hosts Identity and Access Management Compartments and IAM policies • 部署を他の部署から分離したい – リソースの可視化とアクセスの区分が可能 • ⾃社のクラウドリソースを分離したい – 他のテナント、オラクル社員、外部の脅威から – セキュリティとコンプライアンスの要求を満たす 42

  43. クラウドプラットフォームレベルでの環境隔離と暗号化 階層型権限管理 ü 部署ごとの権限設定を実現 ü コンパートメント間のリソースアクセ スが可能、部署を跨いだシステム 構築も容易 ü コンパートメント毎のクオータ設定に

    より 使い過ぎを抑⽌ 強制的な暗号化 ü すべてのデータ・サービスはOracle がフルマネージドで暗号化 ü データベースファイル,ストレージ Block Volume, Boot Volume ü すべてのネットワーク通信も暗号化 強⼒、完全なテナント分離 ü 分離された仮想ネットワークにより 情報漏洩のリスクを最⼩化 AD2 リージョン1 AD2 リージョン2 すべてのデータ を暗号化 MACSec ⾼速・スケーラブルな Layer2 暗号化 部署ごとにCompartment(サブアカウント)を作成 「コンパートメント」モデル テナント コンパートメント A コンパートメントB ユーザー グループ ポリシー ポリシー ポリシー 部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネル ネットワーク仮想化 物理サーバー Copyright © 2021, Oracle and/or its affiliates 43 セキュリティ ・バイ・デザイン Copyright © 2021, Oracle and/or its affiliate 43

  44. 多層のアプローチを採⽤ • 建物は、耐久性を重視した鋼鉄とコンクリート、または 同等の資材で建設 • サイトには、警備員が常駐。 24時間365⽇体制でインシデントに対応 • サイトの外側には侵⼊防⽌柵を設置し、警備員、監視カメラによる常時監視 •

    常駐の警備員による⼊室時のセキュリティチェック • ⾝分証明バッジの常時携帯着⽤ • サーバー・ルーム全体をカバーするカメラ群による監視 • 2要素認証アクセス制御や侵⼊検知メカニズムによる厳重なアクセス管理 • 最⼩アクセス権の原則により承認、必要な時間だけ⼊室を許可 • アクセス状況の監査と定期的なレビュー データ・センターの物理セキュリティ対策 Copyright © 2021, Oracle and/or its affiliate OCIはANSI/TIA-942 Tier3/Tier4 以上のデータセンター施設に構築されています。 44

  45. 従業員の雇⽤ • 全従業員の犯罪歴チェック等、法律で認められた範囲の雇⽤前スクリーニングの実施 • 業績評価プロセスによりセキュリティ標準に関する従業員のパフォーマンスを可視化 トレーニング (定期的に実施) • 全従業員に対してセキュリティ/プライバシー基本トレーニング受講の義務化 •

    最新のセキュリ ティ技術、エクスプロイト、⽅法論等の専⾨トレーニングの実施 パーソナル・セキュリティ Copyright © 2021, Oracle and/or its affiliate オラクルは、雇⽤前のバックグラウンドチェック、雇⽤後の継続的な従業員の教育に投資を続けて います。 45

  46. ネットワーク上のデータの保護 • 転送中のデータを暗号化し保護することによる中間者攻撃対策 • 電⼦署名によるお客様のサービス・コマンドの改ざん防⽌対策 サイバー攻撃対策 • 最先端のツールとメカニズムによるDDoS対策 • IDS(Intrusion

    Detection System)不正侵⼊検知 • アンチウィルス・ソフトウェア/脆弱性スキャン • セキュアなソフトウェア開発 • セキュリティ・ログとモニタリング ネットワーク セキュリティ対策 Copyright © 2021, Oracle and/or its affiliate オラクルは、セキュアなネットワーク・インフラストラクチャの提供について責任を負います。⼀⽅で、仮想ネットワーク、ロード・バランシング、 DNS、ゲートウェイなどのネットワーク要素を安全に構成するのは、お客様の責任範囲です。 オラクルは複数のお客様に同時に悪影響を与えるようなOCI基盤への様々なサイバー攻撃に対して基本的な技術的対策を⾏っています。 46

  47. Oracle Software Security Assurance(OSSA) オラクル・ソフトウェア・セキュリティ保証 Copyright © 2021, Oracle and/or

    its affiliate オラクルの⽬標は、お客様がオラクルの製品を活⽤してセキュリティ要件を満たすとともに、その製 品をコスト効率の最も⾼い⽅法で所有できるようにすることです。 n オラクル クラウド製品/サービスを含む、製品の設計、構築、テスト、保守にセキュリティを組み込む オラクルの⽅法論 n 製品開発 ライフサイクルのあらゆる段階を網羅 n 下記の実現を⽬的に業界をリードする標準/テクノロジー/⼿法をまとめたもの • セキュリティ・イノベーションを促進 • あらゆるオラクル製品においてセキュリティ上の脆弱性の発⽣件数 を低減 • リリースした製品に含まれるセキュリティ上の脆弱性がお客様に及ぼす影響を低減 47

  48. 以上の内容は下記のホワイトペーパーを読んでいただければ、想像できま す。。 Copyright © 2021, Oracle and/or its affiliate 48

    https://www.oracle.com/jp/security/cloud-security/ https://www.oracle.com/jp/security/cloud-security/isolated-network-virtualization/

  49. 複数の顧客に影響するようなOCIインフラに対するさまざまなサイバー攻撃には基本的な技術的対策を実施済み • DDoS対策(基本Layer4以下) • 不正検知(IDS (Intrusion Detection System)) • アンチウィルスSW

    • SIEM , FIM , etc. • これらはホワイトペーパーやNDAドキュメントに記載 Layer5以上のユーザ環境固有の対策は顧客の責任 • WAF等のサービスの追加購⼊ • マーケットプレイスからの導⼊ サイバー攻撃に対するOCIインフラの対策例 Copyright © 2021, Oracle and/or its affiliate 49

  50. Blue vs Red Team (最新のサイバー攻撃を内部で攻撃・防御を繰り返し演習) Copyright © 2021, Oracle and/or

    its affiliate 50 Detect Security Analytics Collect Security Infrastructure Remediate Vulnerability Management Respond Incident Response Defensive Security Offensive Security Hardware Hacking Security Research Red Teaming Penetration Testing

  51. インシデント発⽣︕︕の対処 51

  52. “オラクルへのセキュリティ脆弱性の報告⽅法”に掲載 • https://www.oracle.com/jp/corporate/security-practices/assurance/vulnerability/reporting.html • 契約済のお客様 • MyOracleからSRを上げる • セキュリティインシデントとして記述 •

    詳細はSRを上げた後、窓⼝・対応フローがきまります。 • 契約のないお客様 • 下記窓⼝に連絡ください。 • [email protected] インシデントはどうするか︖ Copyright © 2021, Oracle and/or its affiliate 52

  53. Copyright © 2021, Oracle and/or its affiliate 53 https://www.oracle.com/jp/corporate/security-practices/assurance/vulnerability/reporting.html

  54. 詳細は企業秘密なのでご紹介できません。 が・・・・・ とこで、OCI consoleってWAFとか何を使っているの︖ Copyright © 2021, Oracle and/or its

    affiliate 54

  55. CISベンチマーク 55

  56. ⽶国のCIS(Center For Internet Security)が開発した、情報システムを安全に構成するためのベストプラクティスが記載 されたガイドライン CIS対応 Copyright © 2021, Oracle

    and/or its affiliate 56 カテゴリ 対象の製品・サービス(例) PC Windows XP/7/8/10 サーバ Windows Server 2008/2012/2016/2019, Red Hat Enterprise Linux, CentOS, Debian, Ubuntu, Amazon Linux, Oracle Linux ネットワーク機器 Cisco IOS, Palo Alto Networks, Juniper モバイル機器 Apple iOS, Google Android データベース MySQL, PostgreSQL, Oracle Database, IBM Db2, MongoDB アプリケーション Microsoft 365, Internet Explorer, Tomcat クラウドサービス AWS, Azure, GCP, OCI 項⽬ 内容 推奨事項 システムを堅牢化するための具体的な設定 内容 根拠 「推奨事項」を設定すべき理由 監査 「推奨事項」に従い設定されているか確認す る⼿順 修復 「推奨事項」を設定するための⼿順 影響 「推奨事項」を設定する際に考慮すべき影響 デフォルト値 「推奨事項」に関連する設定項⽬のデフォル ト値 CIS Benchmarksがカバーしている製品・サービスの例 CIS Benchmarksに記載されている項⽬とその内容 (出所︓NRI SECURE社資料。Oracleにて加筆)

  57. Copyright © 2021, Oracle and/or its affiliate 57 https://www.cisecurity.org/benchmark/oracle_cloud/

  58. Copyright © 2021, Oracle and/or its affiliate 58

  59. Copyright © 2021, Oracle and/or its affiliate 59 https://www.cisecurity.org/cis-hardened-images/oracle/

  60. Copyright © 2021, Oracle and/or its affiliate 60 https://cloudmarketplace.oracle.com/marketplace/en_US/listing/70901104

  61. OCIインフラのセキュリティを もっと知りたい︕ 61

  62. SOC2 reportを読もう︕︕ Copyright © 2021, Oracle and/or its affiliate 62

    技術的なセキュリティ対策の宝庫︕例えば・・・ Data Erasure – Bare Metal Compute ........................ The provisioning workflow is an automated process that connects to the Integrated Lights Out Manager (ILOM) within the physical hardware................Once the erasure process is complete, the service commences a process to “flash” the basic input/output system (BIOS), update drivers, and return the hardware to the initial factory state..................... ................................ Access to Individual Devices Once a user has authenticated to the relevant bastion server, .................., operators must also enter a one- time password (OTP) that expires after 24 hours. Access to hosts is provisioned using a SSH public/private key pairing. ............................................ OCIユーザなら⼊⼿可能︕︕

  63. データセンターセキュリティの要求仕様はSupplier Co-Location Security Standardに記載 Copyright © 2021, Oracle and/or its

    affiliate 63 https://www.oracle.com/corporate/suppliers.html

  64. OCIのコンプライアンス対応 64

  65. OCIにおける主なコンプライアンス対応 Copyright © 2021, Oracle and/or its affiliate 65 Global

    Government Industry Regional 27001 : 27017 : 27018 27701 SOC 1 : SOC 2 : SOC 3 Self-Assessment PIPEDA - Canada DoD DISA SRG IL2 Moderate – Agency ATO VPAT – Section 508 G-Cloud 11 - UK Model Clauses - EU US Privacy Shield HIPAA Level 1 PCI DSS FISC - Japan IG Toolkit - UK My Number - Japan Cyber Essentials Plus - UK TISAX - Germany BSI C5 - Germany GDPR - EU C5 FINMA - Switzerland Cloud Security Principles - UK DoD DISA SRG IL5 3 Ministries Healthcare - Japan

  66. コンプライアンス対応状況をWebサイトで公開 オラクル クラウドのコンプライアンス対応 Copyright © 2021, Oracle and/or its affiliate

    https://www.oracle.com/cloud/cloud-infrastructure-compliance/ 66

  67. 各国・各地域の法制度への対応を重視 • 個⼈情報保護・プライバシー等重視の流れに対応 • GDPR, CCPA, マイナンバー(番号法)等にも対応しOracle社内を整備 • 官⺠学のさまざまな機関・コミュニティと協調 グローバル対応の認証を中⼼に必要に応じて各国独⾃の認証取得や制度対応

    • Oracle Corporation 本社と密に連携し、各地域・各国の現地Oracle法⼈が各種活動を⾏なっていきます セキュリティやコンプライアンス情報の積極的な公開 • Webサイトやホワイトペーパーによる情報発信 国際的なコンプライアンスに対するオラクルの姿勢 Copyright © 2021, Oracle and/or its affiliate 67

  68. ⽇本企業や官公庁が気にするOCIの主なコンプライアンス対応⼀覧 区分 基準 適⽤業種 OCI 国際基準 ISO/IEC 27001認証 官⺠学全て ◦

    ISO/IEC 27017認証 官⺠学全て ◦ ISO/IEC 27018認証 官⺠学全て ◦ ISO/IEC 27701認証 官⺠学全て ◦ ISO/IEC 20000-1認証 官⺠学全て ◦ SOC1, 2, 3レポート 官⺠学全て ◦ PCI-DSS認証 クレジットカード ◦ HIPAA ⽶国ヘルスケア ◦ FedRAMP High ⽶国政府機関 ◦ 国内基準 業界固有 FISCガイドライン第9版 ⾦融 ◦ NISC 政府統⼀基準 ⽇本国官公庁 ◦ 3省3ガイドライン ヘルスケア(含製薬) ◦ ISMAP ⽇本国官公庁 ◦ その他 プライバシーマーク 官⺠学全て ◦ 2021年9⽉現在 Copyright © 2021, Oracle and/or its affiliate 68

  69. オラクルの⾒解に加え、第三者として三菱総合研究所(MRI)様に調査いただいた結果、全ての項⽬(⼀ 部、ベンダー側の対応が不要な項⽬を除く)で「適合可能」と判定されています 株式会社三菱総合研究所 クラウド対応セキュリティリファレンス情報 Copyright © 2021, Oracle and/or its

    affiliate 下記ガイドラインの各項⽬に対する「Oracle Cloud」の対応状況をまとめた セキュリティリファレンスを提供しています。 n ⾦融機関向け(⾦融機関等コンピュータシステムの安全対策基準(第9版)対応) n 政府機関向け(政府機関の情報セキュリティ対策のための統⼀基準群(平成30年度版)) n 医療機関向け(3省3ガイドライン*) *厚⽣労働省「医療情報システムの安全管理に関するガイドライン 第5版」(平成29年5⽉) 経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」(平成24年10⽉) 総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン 第1版」(平成30年7⽉) OCIの主な国内基準への対応(ISAMP以外) 69

  70. コンプライアンスレポートを実 際に取得してみよう︕ 70

  71. Copyright © 2021, Oracle and/or its affiliate 71

  72. Copyright © 2021, Oracle and/or its affiliate 72

  73. データの廃棄 法制度 73

  74. OCIにおける顧客データの消去および廃棄ポリシー 74 Copyright © 2021, Oracle and/or its affiliate •

    データ消去について • 廃棄証明は出さない • メディア上でのデータ消去に関してはNIST800-88に準じる • サービス終了時 • サービス環境と、その環境内に置かれているコンテンツを削除 • コンテンツは、アクセスや読み取りが簡単にはできなくなるような⽅法で削除 • (オラクルに法的義務が課されている場合を除く)。 • オラクルはクラウド・サービス契約の終了から60⽇間、お客様のコンテンツを安全なプロトコル経由でダウンロー ドできるように保持 • (書⾯による別途の指定がない限り)

  75. ISMAP管理基準における「データ消去」 75 Copyright © 2021, Oracle and/or its affiliate 第1章

    1.1 ISMAP 管理基準の⽬的 本管理基準の主な特徴は次の通りである。 (1) クラウドサービス事業者を実施主体とした管理基準としている。 (2) 政府において最も多く扱われる情報の格付けの区分である機密性 2 の情報を扱うことを想定して策定している。 (3) 論理的消去もデータの消去(もしくは抹消)の⽅法の⼀つと定義している。 1.3 ⽤語及び定義 1.3.14消去(もしくは抹消) 消去には、媒体を物理的に破壊する物理的消去、媒体を消磁装置により抹消する電磁的消去に加え、論 理的消去も含む。論理的消去とは、元のデータを暗号化した後、暗号鍵を消去し、元のデータの復号を不可能にする⽅ 法を指す。

  76. セキュリティの重要事項は契約関係書類に記載がある。 Copyright © 2021, Oracle and/or its affiliate 76

  77. 準拠法 • ⽇本国法律。Cloud Service Agreementには以下の通り記載 14. 準拠法と管轄裁判所 本契約は⽇本国の法律が適⽤され、両当事者は、本契約から⽣じる⼜は関連する紛争につい ては東京地⽅裁判所を第⼀審の専属的合意管轄裁判所とすることに合意します。 監査権

    • 顧客による監査の権利を認める。Data Processing Agreement に以下の通り記載 (参考訳) 7. 監査権、及びお客様とお客様の監督機関との協⼒ 7.1お客様は、1年につき1回まで、オラクルが、本データ処理契約にづいたオラクルの義務を遵守し ていることを監査することができま す。さらに、該当データ保護法により要求される範囲で、お客様⼜ はお客様の監督機関は、監査の回数を増やすことができます。 Oracle Cloud の法制度対応の基本的考え⽅ Copyright © 2021, Oracle and/or its affiliate 77 「監査=DC⽴ち⼊り」ではないです。「現物観察」は監査⼿法の1つです。

  78. セキュリティや運⽤のポリシー 78

  79. Oracle Cloud Hosting and Delivery Policies 79 Copyright © 2021,

    Oracle and/or its affiliate 「サービス仕様書」の1つ オラクルが提供するクラウドサービスが対象 • セキュリティや運⽤のポリシー • SLA • サポートのポリシー • Etc.

  80. Cloud Service Agreement にOracle Cloud Hosting and Deliveryの位置付けを記載 80 Copyright

    © 2021, Oracle and/or its affiliate

  81. OCIのセキュリティ等のポリシーは、契約関係3種のドキュメントから 81 Copyright © 2021, Oracle and/or its affiliate Oracle

    Cloud Service Agreement • https://www.oracle.com/corporate/contracts/cloud-services/contracts.html#ct07tabcontent3 Oracle Cloud Hosting and Delivery Policies • https://www.oracle.com/corporate/contracts/cloud-services/hosting-delivery-policies.html#hd Data Processing Agreement • https://www.oracle.com/corporate/contracts/cloud-services/contracts.html#data-processing •

  82. まとめ 82

  83. 「情報セキュリティへの世間からの⽬」 の観点でOCI全体像を考察しました。 83

  84. 本⽇ご紹介した内容は、 (公開ドキュメント+ユーザ⼊⼿ 可能ドキュメント)に記載、もしく は推測可能な内容です。 84

  85. あとは、掘るのみ︕ 85

  86. Copyright © 2021, Oracle and/or its affiliate n OCIサイト https://www.oracle.com/jp/cloud/

    https://www.oracle.com/cloud/ n オラクルのクラウドセキュリティ https://www.oracle.com/jp/security/ https://www.oracle.com/security/ n オラクルのコーポレートセキュリティ https://www.oracle.com/jp/security/ https://www.oracle.com/corporate/security-practices/corporate/ n オラクル・クラウドのセキュリティ・プラクティス https://www.oracle.com/corporate/security-practices/cloud/ n セキュリティ ホワイトペーパー https://docs.oracle.com/cd/E97706_01/Content/General/Reference/aqswhitepapers.htm#security https://docs.cloud.oracle.com/en-us/iaas/Content/General/Reference/aqswhitepapers.htm#security (参考)その他リンク⼀覧 86

  87. Copyright © 2021, Oracle and/or its affiliate n OCIセキュリティ概要 https://docs.oracle.com/cd/E97706_01/Content/Security/Concepts/security_overview.htm

    https://docs.cloud.oracle.com/en-us/iaas/Content/Security/Concepts/security_overview.htm n コンプライアンス https://www.oracle.com/cloud/cloud-infrastructure-compliance/ n ソフトウェア・セキュリティ保証 /Oracle Software Security Assurance(OSSA) https://www.oracle.com/jp/corporate/security-practices/assurance/ https://www.oracle.com/corporate/security-practices/assurance n オラクルのセキュリティ敢⾏ https://www.oracle.com/jp/corporate/security-practices/ n Oracle Cloud Infrastructureセキュリティ・ガイド https://docs.oracle.com/ja-jp/iaas/Content/Security/Concepts/security_guide.htm n オラクルセキュリティ サービス概要 https://www.oracle.com/jp/security/ n クラウドセキュリティの最新情報︓クラウドセキュリティナビ https://blogs.oracle.com/sec (参考)その他リンク⼀覧 87
  88. None