Slide 1
Slide 1 text
OCIのセキュリティ
そしてISMAP
2021年9⽉28⽇
⽇本オラクル株式会社
テクノロジー営業推進
ソリューションディレクター
下道⾼志, Ph.D. , CISA, CISM
Slide 2
Slide 2 text
「情報セキュリティへの世間からの⽬」
の観点でOCI全体像を考察します。
2
Slide 3
Slide 3 text
ISMAP
3
Slide 4
Slide 4 text
OCIがISMAPに登録完了(6/22登録完了)
4
https://www.oracle.com/jp/corporate/pressrelease/jp20210622.html https://blogs.oracle.com/sec/oci-ismap-registered
Copyright © 2021, Oracle and/or its affiliate
プレスリリース Blog
Slide 5
Slide 5 text
NEW!!OCI PaaS, Exadata Cloud@Customer がISMAPに
追加登録(9/17登録完了)
5
https://www.oracle.com/jp/news/announcement/ismap-oci-paas-
exadata-cloud-at-customer-20210917/
Copyright © 2021, Oracle and/or its affiliate
https://blogs.oracle.com/sec/post/ismap_20210712
Slide 6
Slide 6 text
New!! 9/13更新!!!
6 Copyright © 2021, Oracle and/or its affiliate
https://www.ismap.go.jp/csm?id=cloud_service_list
Slide 7
Slide 7 text
OCIに加え、PaaSとExadata Cloud@Customer が追加登録︕︕
7 Copyright © 2021, Oracle and/or its affiliate
Slide 8
Slide 8 text
登録済みクラウドサービスリスト(OCI)
8
Announcements
API Gateway
Application Migration
Archive Storage
Audit
Block Volume
Cloud Shell
Compute
Container Engine for Kubernetes
Data Flow
Data Science
Data Transfer
Database*
Digital Assistant
Distributed Denial of Service (DDoS)
Protection
Email Delivery
Events
FastConnect
File Storage
Functions
Health Checks
Identity and Access Management (IAM)
Load Balancing
Marketplace
Monitoring
MySQL as a Service
Virtual Cloud Network (VCN)
Notifications
Object Storage
Oracle Cloud VMware Solution
Registry
Resource Manager
Streaming
Vault
Web Application Firewall (WAF)
*Autonomous Database及び、Exadata Cloud Serviceを含みます。
Copyright © 2021, Oracle and/or its affiliate
Slide 9
Slide 9 text
登録済みクラウドサービスリスト(PaaS/ExaCC)
9 Copyright © 2021, Oracle and/or its affiliate
Analytics Cloud
Application Performance Monitoring
Blockchain Platform
Cloud Guard
Content and Experience
Cost Analysis
Data Catalog
Data Integration
Data Safe
Integration
Logging
Logging Analytics
Management
Management Agent
Networking
Operations Insights
OS Management
Service Connector Hub
Tagging
Search
Exadata Cloud@Customer
Slide 10
Slide 10 text
2021.9.17現在 ISMAP登録サービス(14社20サービス)
10 Copyright © 2021, Oracle and/or its affiliate
クラウドサービス事業者の名称 クラウドサービスの名称
株式会社エヌ・ティ・ティ・データ OpenCanvas(IaaS)
富⼠通株式会社 FUJITSU Hybrid IT Service FJcloud
Google LLC Apigee Edge
Google Cloud Platform
Google Workspace
株式会社セールスフォース・ドットコム Salesforce Services
Heroku Services
Amazon Web Services,Inc. Amazon Web Services
⽇本電気株式会社 NEC Cloud laaS
KDDI株式会社 KDDIクラウドプラットフォームサービス
Oracle Corporation Oracle Cloud Infrastructure
Oracle Cloud Infrastructure Platform as a Service
Oracle Exadata Cloud@Customer
⽇本マイクロソフト株式会社 Microsoft Azure, Dynamics 365, and Other Online Services
Microsoft Office 365
株式会社⽇⽴製作所 エンタープライズクラウドサービス/エンタープライズクラウドサービ ス G2/フェデレーテッドポータルサービス
Cisco Systems, Inc. Cisco Webex
サイボウズ株式会社 クラウドサービス運⽤基盤cybozu.com 並びにcybozu.com 上で提供するGaroon及びkintone
Box, Inc. Box
エヌ・ティ・ティ・コミュニケーションズ株式会社 Smart Data Platform サービス
Slide 11
Slide 11 text
• ⽇本語名
•政府情報システムのためのセキュリティ評価制度
• 英語名
•Information system Security Management and
Assessment Program
• 通称
•ISMAP(イスマップ)
ISMAPとは︖
11 Copyright © 2021, Oracle and/or its affiliate
Slide 12
Slide 12 text
なぜISMAP︖
12
2018年6⽉より、政府調達においてクラウド・バイ・デフォルト原則を採⽤
政府情報システムにクラウドサービスが選定されるためには、ISMAPクラウ
ドサービスリストへの登録が事実上必須となります。
政府情報システムは、クラウドサービスの利⽤を第⼀候補として、その検討を⾏う⽅針となった。
Copyright © 2021, Oracle and/or its affiliate
Slide 13
Slide 13 text
⽶国のFedRAMP(*)を⽬指し、以下のガイドラインを参考に構成されています。
• JIS Q(ISO/IEC) 27001、27002、27014、27017
• 政府機関等の情報セキュリティ対策のための統⼀基準群
• NIST SP800-53
ISMAP管理基準の構成
* 連邦政府情報システム、および連邦組織のためのセキュリティ管理
策とプライバシー管理策。⽶国連邦政府の内部セキュリティ基準を⽰
すガイドライン。
世界で最も詳細な基準であり
ISMAPで多くのガイドラインを包含できる
Point
13 Copyright © 2021, Oracle and/or its affiliate
「 政府情報システムのためのセキュリティ評価制度(ISMAP)について(内閣官房・総
務省・経済産業省)」より
Slide 14
Slide 14 text
ISMAPについての
あるあるFAQ
14
Slide 15
Slide 15 text
Q ISMAPによって何が変わるの?
A 政府情報システムの調達の効率化が⾒込まれます。
我々提案者側としては、セキュリティチェックリストの確認
作業がなくなり、要件としては「ISMAP登録サービスであ
ること」というシンプルな記載になり、追加要件のみ詳細
を確認すればよくなることを期待しています。
また、ISMAPは厳しい評価ですので、⺠間企業に対し
ても安全性をアピールすることができます。
15 Copyright © 2021, Oracle and/or its affiliate
Slide 16
Slide 16 text
Q セキュリティ基準の1,300項⽬ってどんな内容?
A 以下の3つの観点で確認され、下の表のような項⽬が
1,300並んでいます。
16 Copyright © 2021, Oracle and/or its affiliate
ガバナンス基準 : 経営陣による意思決定や指⽰等の継続的な実施
マネジメント基準: 管理者の的確なマネジメント
管理策基準 : 業務実施者のセキュリティ対策の実施
管理基準
ISO27002
+
政府統⼀基準
+
NIST SP800-53
ISO27002の実践
項⽬を分解して管
理策詳細としている
Slide 17
Slide 17 text
3. 情報セキュリティガバナンス
4. マネジメント基準
5. 情報セキュリティのための⽅針群
6. 情報セキュリティのための組織
7. ⼈的資源のセキュリティ
8. 資産の管理
9. アクセス制御
10. 暗号
11. 物理的及び環境的セキュリティ
12. 運⽤のセキュリティ
13. 通信のセキュリティ
14. システムの取得、開発及び保守
15. 供給者関係
16. 情報セキュリティインシデント管理
17. 事業継続マネジメントにおける情報セキュリティの側⾯
18. 順守
管理策基準の中での
データセンタの扱い
Copyright © 2021, Oracle and/or its affiliate
17
11.1.1 取扱いに慎重を要する⼜は重要な情報及び情報処理施設のある領域を保護する
ために、物理的セキュリティ境界を定め、かつ、⽤いる。
11.1.2 セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするた
めに、適切な⼊退管理策によって保護する。
11.1.3 オフィス、部屋及び施設に対する物理的セキュリティを設計し、適⽤する。
11.1.4 ⾃然災害、悪意のある攻撃⼜は事故に対する物理的な保護を設計し、適⽤する。
11.1.5 セキュリティを保つべき領域での作業に関する⼿順を設計し、適⽤する。
11.1.6
荷物の受渡場所などの⽴寄り場所、及び認可されていない者が施設に⽴ち⼊ること
もあるその他の場所は、管理する。また、認可されていないアクセスを避けるために、そ
れらの場所を情報処理施設から離す。
11.2.1
装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機
会を低減するように設置し、保護する。
11.2.2 装置は、サポートユーティリティの不具合による、停電、その他の故障から保護する。
11.2.3 データを伝送する⼜は情報サービスをサポートする通信ケーブル及び電源ケーブルの
配線は、傍受、妨害⼜は損傷から保護する。
11.2.4
装置は、可⽤性及び完全性を継続的に維持することを確実にするために、正しく保
守する。
11.2.5 装置、情報⼜はソフトウェアは、事前の認可なしでは、構外に持ち出さない。
11.2.6
構外にある資産に対しては、構外での作業に伴った、構内での作業とは異なるリスク
を考慮に⼊れて、セキュリティを適⽤する。
11.2.7
記憶媒体を内蔵した全ての装置は、処分⼜は再利⽤する前に、全ての取扱いに慎
重を要するデータ及びライセンス供与されたソフトウェアを消去していること、⼜はセ
キュリティを保って上書きしていることを確実にするために、検証する。
11.2.8 利⽤者は、無⼈状態にある装置が適切な保護対策を備えていることを確実にする
仕組みを整備する。
11.2.9
書類及び取外し可能な記憶媒体に対するクリアデスク⽅針、並びに情報処理設備
に対するクリアスクリーン⽅針を適⽤する。
Slide 18
Slide 18 text
Q 監査で確認した具体的な内容(対応した詳
細管理策の内容)を公開してくれますか︖
A 具体的な監査内容については公開できないことに
なっています。
ISMAP公式サイトにあるドキュメントが、公開できるすべ
ての情報となります。
また、具体的な監査法⼈名も⾮公開となっておりま
す。
18 Copyright © 2021, Oracle and/or its affiliate
Slide 19
Slide 19 text
Q
ISMAP登録したOCI上で稼働するアプリケーション
システムやSaaSを構築したら、そのアプリケーションシ
ステムやSaaSもISMAP対応していると⾔えますか︖
19 Copyright © 2021, Oracle and/or its affiliate
A
ISMAP制度では、あらかじめ登録対
象とする範囲を明確に規定した上で
監査を受け、監査報告書とともに、
サービスの対象と範囲を確定し、登録
申請し審査を受けた上での登録となり
ます。
したがって、OCI上に構築したアプリケー
ションシステムやSaaSはISMAP登録
対象となりません。アプリケーションシス
テムやSaaSは、個別にISMAP登録を
おこなわなければなりません。
OCI, PaaS,
ExaC@C
App
System
SaaS
ISMAP登録対象
Slide 20
Slide 20 text
ISMAP対応ができているということは、
「政府が求めるクラウドサービスの
情報セキュリティ基準を達成している」
ということ。
Copyright © 2021, Oracle and/or its affiliate
20
Slide 21
Slide 21 text
Information
Security
21
Slide 22
Slide 22 text
「情報セキュリティ」の定義
は何でしょうか︖
22
Slide 23
Slide 23 text
「”情報セキュリティ”はCIAのこと」と定義されている
Copyright © 2021, Oracle and/or its affiliate
23
Confidentiality
(機密性)
Integrity
(完全性)
Availability
(可⽤性)
資産の正確さ及び完全さを保護する特性
データの改ざん・破壊、システム停⽌
許可されていない個⼈、エンティティ⼜はプロセス
に対して、情報を使⽤不可⼜は⾮公開にする特
性
情報漏えい、不正アクセス
認可されたエンティティが要求したときに、
アクセス及び使⽤が可能である特性
システム停⽌
情報処理技術者試験に頻出︕
Slide 24
Slide 24 text
情報セキュリティは3要素ではなく、7要素なのでは︖
Copyright © 2021, Oracle and/or its affiliate
24
機密性(confidentiality)
完全性(integrity)
可⽤性(availability)
3要素 + 4要素
真正性(Authenticity)
責任追跡性(Accountability)
否認防⽌(non-repudiation)
信頼性(Reliability)
Slide 25
Slide 25 text
Copyright © 2021, Oracle and/or its affiliate
25
https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en
Slide 26
Slide 26 text
Copyright © 2021, Oracle and/or its affiliate
26
AICPA(⽶国公認会計⼠協会)における情報セキュリティの定義
Security
Availability
Processing Integrity
Confidentiality
Privacy
今⽇のシステム監査の世界的標準な位置付けであるSOC監査はこの基準
(2017 Trust Service Criteria)に基づいて実施される
Slide 27
Slide 27 text
セキュリティのフレームワークの位置付け(出所︓NRI SECURE)
Copyright © 2021, Oracle and/or its affiliate
27
https://www.nri-secure.co.jp/blog/nist-cybersecurity-framework
Slide 28
Slide 28 text
OCIの「情報セキュリティ」
28
Slide 29
Slide 29 text
OCI: A complete cloud infrastructure platform
Copyright © 2021, Oracle and/or its affiliate
29
Compute Storage Networking Oracle
Databases
Open Source
Databases
Operating Systems,
Native VMWare
Developer
Services
Containers and
Functions
Application
Integration
Data Lake
House
Machine Learning
and AI
Analytics and BI
Oracle Applications Custom Applications
Global Cloud Datacenter Infrastructure
Commercial and Government Public Cloud Regions | Hybrid Cloud: Cloud@Customer, Dedicated Regions, Roving Edge
Security | Observability and Management | Compliance
ISV Applications
Slide 30
Slide 30 text
September 2021: 30 Regions Live, 7+ planned by end of 2021, 8 Azure Interconnect Regions
Oracle Cloud Infrastructure Global Footprint
Copyright © 2021, Oracle and/or its affiliate
30
SAN JOSE, CA
PHOENIX
CHICAGO
ASHBURN
TORONTO MONTREAL
SANTIAGO
VINHEDO
SAO PAULO
NEWPORT
AMSTERDAM
FRANKFURT
ZURICH
LONDON
SWEDEN
ITALY
FRANCE
JEDDAH
ISRAEL
DUBAI
MUMBAI
HYDERABAD
SINGAPORE
CHUNCHEON
SEOUL TOKYO
OSAKA
JOHANNESBURG
SYDNEY
MELBOURNE
Commercial
Commercial Planned
Government
Microsoft Interconnect Azure
SAUDI 2
UAE 2
Slide 31
Slide 31 text
https://www.oracle.com/corporate/security-practices/corporate/
Copyright © 2021, Oracle and/or its affiliate
n 情報セキュリティに対する総合的なアプローチを採⽤
• Security-First 設計
• 多層防御セキュリティ戦略を実装
• 強⼒な内部統制、ガバナンス、および監視機能
n セキュリティに対する継続的な取り組み
• 継続的な投資
• セキュリティの制御と実践の強化および改善
オラクル クラウドのセキュリティ⽅針
オラクルは、お客様がセキュリティおよびコンプライアンスのニーズに的確に対応できるよう、
様々な⽀援を継続的に⾏っています。
31
Slide 32
Slide 32 text
セキュリティフレームワークのCIAとコンプライアンスの遵守性を加えた項⽬に対応
OCIのセキュリティ/コンプライアンス対応
Copyright © 2021, Oracle and/or its affiliate
n Confidentiality
n Integrity
n Availability
ü
1
ü
2
ü
3
ü
4
ü
6
7
ü
5 ü
n Compliance
ORACLE
32
Slide 33
Slide 33 text
Trusted Enterprise Cloud Platformの7柱(7 Pillar)
OCIのセキュリティ機能
Copyright © 2021, Oracle and/or its affiliate
, ,
( API )
, , ,
, CASB , WAF
ID , 3rd ,
VPN, FastConnect
Bare Metal , VM , VCN, IAM,
, DDoS , SLAs
, ,
/ ,
2
3
4
5
1
6
7
OCIにおけるセキュリティの考え⽅は、次の7つの柱を⼟台にしています
33
Slide 34
Slide 34 text
OCIインフラのセキュリティ
34
Slide 35
Slide 35 text
Least Trust Design – Assumption of Compromise
(情報は漏洩する、信頼は最⼩に、との前提に基づいた設計思想)
Copyright © 2021, Oracle and/or its affiliate
Isolated
Servers
Tenants
(ユーザ)
Hypervisors
(含、管理機構⼀般)
35
Slide 36
Slide 36 text
OF THE CLOUD
Secure the Cloud Platform
ON THE CLOUD
Secure Identity, Apps. and Data
on the Cloud Platform
CROSS CLOUD
Protections and Monitoring
Between Clouds and Premises
OCIセキュリティのポートフォリオとストラテジー
Copyright © 2021, Oracle and/or its affiliate
36
Slide 37
Slide 37 text
安全なクラウドプラットフォームをゼロから設計
Copyright © 2021, Oracle and/or its affiliate
Platform
Defense-in-Depth from Bare
Metal Hardware to Customer
Apps & Data
Operations
Constant Software,
Hardware, and Process
Hardening
Compliance
Building Compliance in All
Regions for All Services
OF THE CLOUD ON THE CLOUD CROSS CLOUD
37
Slide 38
Slide 38 text
Copyright © 2021, Oracle and/or its affiliate
38
Slide 39
Slide 39 text
セキュアな設計: Stronger Tenant Isolation
Copyright © 2021, Oracle and/or its affiliate
Isolated Network
Virtualization
To / From Other Tenants To / From Other Tenants
1st Generation Clouds:
Most Prevalent Today
2nd Generation Cloud:
Oracle Cloud Infrastructure-Wide
Host OS/Kernel
Network Virtualization
Hypervisor
Server Virtualization
Separates
Network and
Tenant
Environment
Server Virtualization
Hypervisor
Network Virtualization
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
Host OS/Kernel
Network Virtualization
Host OS/Kernel
Hypervisor
Container (Optional)
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
39
Slide 40
Slide 40 text
Threat Containment & Reduced Risk
Copyright © 2021, Oracle and/or its affiliate
Host OS/Kernel
Network Virtualization
Hypervisor
Server Virtualization
Server Virtualization
Hypervisor
Network Virtualization
Host OS/Kernel
Isolated Network
Virtualization
Host OS/Kernel
Hypervisor
Container (Optional)
Server Virtualization
Hypervisor
Network Virtualization
Network Virtualization
Hypervisor
Server Virtualization
Server Virtualization
Hypervisor
Network Virtualization
Server Virtualization
Hypervisor
Network Virtualization
1st Generation Cloud Oracle 2nd Generation Cloud
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
Isolated Network
Virtualization Security
Prevents Lateral
Movement
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
Isolated Network
Virtualization
Host OS/Kernel
Hypervisor
Container (Optional)
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
40
Slide 41
Slide 41 text
Copyright © 2021, Oracle and/or its affiliate
41
Slide 42
Slide 42 text
他の顧客との深いレベルでの分離
Copyright © 2021, Oracle and/or its affiliate
Compute
Bare Metal Instances | VM Instances
Network
VCN and Subnets
Data
Data-at-rest and Data-in-Transit
encryption using customer-controlled
keys
Back-end Infrastructure
Secure isolation between customer
instances and back-end hosts
Identity and Access Management
Compartments and IAM policies
• 部署を他の部署から分離したい
– リソースの可視化とアクセスの区分が可能
• ⾃社のクラウドリソースを分離したい
– 他のテナント、オラクル社員、外部の脅威から
– セキュリティとコンプライアンスの要求を満たす
42
Slide 43
Slide 43 text
クラウドプラットフォームレベルでの環境隔離と暗号化
階層型権限管理
ü 部署ごとの権限設定を実現
ü コンパートメント間のリソースアクセ
スが可能、部署を跨いだシステム
構築も容易
ü コンパートメント毎のクオータ設定に
より 使い過ぎを抑⽌
強制的な暗号化
ü すべてのデータ・サービスはOracle
がフルマネージドで暗号化
ü データベースファイル,ストレージ
Block Volume, Boot Volume
ü すべてのネットワーク通信も暗号化
強⼒、完全なテナント分離
ü 分離された仮想ネットワークにより
情報漏洩のリスクを最⼩化
AD2
リージョン1
AD2
リージョン2
すべてのデータ
を暗号化
MACSec
⾼速・スケーラブルな
Layer2 暗号化
部署ごとにCompartment(サブアカウント)を作成
「コンパートメント」モデル
テナント
コンパートメント A コンパートメントB
ユーザー グループ ポリシー
ポリシー ポリシー
部署-A 部署-B
Hypervisor
VM VM VM
VM VM VM
ホストOS / カーネル
ネットワーク仮想化
物理サーバー
Copyright © 2021, Oracle and/or its affiliates
43
セキュリティ
・バイ・デザイン
Copyright © 2021, Oracle and/or its affiliate
43
Slide 44
Slide 44 text
多層のアプローチを採⽤
• 建物は、耐久性を重視した鋼鉄とコンクリート、または 同等の資材で建設
• サイトには、警備員が常駐。 24時間365⽇体制でインシデントに対応
• サイトの外側には侵⼊防⽌柵を設置し、警備員、監視カメラによる常時監視
• 常駐の警備員による⼊室時のセキュリティチェック
• ⾝分証明バッジの常時携帯着⽤
• サーバー・ルーム全体をカバーするカメラ群による監視
• 2要素認証アクセス制御や侵⼊検知メカニズムによる厳重なアクセス管理
• 最⼩アクセス権の原則により承認、必要な時間だけ⼊室を許可
• アクセス状況の監査と定期的なレビュー
データ・センターの物理セキュリティ対策
Copyright © 2021, Oracle and/or its affiliate
OCIはANSI/TIA-942 Tier3/Tier4 以上のデータセンター施設に構築されています。
44
Slide 45
Slide 45 text
従業員の雇⽤
• 全従業員の犯罪歴チェック等、法律で認められた範囲の雇⽤前スクリーニングの実施
• 業績評価プロセスによりセキュリティ標準に関する従業員のパフォーマンスを可視化
トレーニング (定期的に実施)
• 全従業員に対してセキュリティ/プライバシー基本トレーニング受講の義務化
• 最新のセキュリ ティ技術、エクスプロイト、⽅法論等の専⾨トレーニングの実施
パーソナル・セキュリティ
Copyright © 2021, Oracle and/or its affiliate
オラクルは、雇⽤前のバックグラウンドチェック、雇⽤後の継続的な従業員の教育に投資を続けて
います。
45
Slide 46
Slide 46 text
ネットワーク上のデータの保護
• 転送中のデータを暗号化し保護することによる中間者攻撃対策
• 電⼦署名によるお客様のサービス・コマンドの改ざん防⽌対策
サイバー攻撃対策
• 最先端のツールとメカニズムによるDDoS対策
• IDS(Intrusion Detection System)不正侵⼊検知
• アンチウィルス・ソフトウェア/脆弱性スキャン
• セキュアなソフトウェア開発
• セキュリティ・ログとモニタリング
ネットワーク セキュリティ対策
Copyright © 2021, Oracle and/or its affiliate
オラクルは、セキュアなネットワーク・インフラストラクチャの提供について責任を負います。⼀⽅で、仮想ネットワーク、ロード・バランシング、
DNS、ゲートウェイなどのネットワーク要素を安全に構成するのは、お客様の責任範囲です。
オラクルは複数のお客様に同時に悪影響を与えるようなOCI基盤への様々なサイバー攻撃に対して基本的な技術的対策を⾏っています。
46
Slide 47
Slide 47 text
Oracle Software Security Assurance(OSSA)
オラクル・ソフトウェア・セキュリティ保証
Copyright © 2021, Oracle and/or its affiliate
オラクルの⽬標は、お客様がオラクルの製品を活⽤してセキュリティ要件を満たすとともに、その製
品をコスト効率の最も⾼い⽅法で所有できるようにすることです。
n オラクル クラウド製品/サービスを含む、製品の設計、構築、テスト、保守にセキュリティを組み込む
オラクルの⽅法論
n 製品開発 ライフサイクルのあらゆる段階を網羅
n 下記の実現を⽬的に業界をリードする標準/テクノロジー/⼿法をまとめたもの
• セキュリティ・イノベーションを促進
• あらゆるオラクル製品においてセキュリティ上の脆弱性の発⽣件数 を低減
• リリースした製品に含まれるセキュリティ上の脆弱性がお客様に及ぼす影響を低減
47
Slide 48
Slide 48 text
以上の内容は下記のホワイトペーパーを読んでいただければ、想像できま
す。。
Copyright © 2021, Oracle and/or its affiliate
48
https://www.oracle.com/jp/security/cloud-security/
https://www.oracle.com/jp/security/cloud-security/isolated-network-virtualization/
Slide 49
Slide 49 text
複数の顧客に影響するようなOCIインフラに対するさまざまなサイバー攻撃には基本的な技術的対策を実施済み
• DDoS対策(基本Layer4以下)
• 不正検知(IDS (Intrusion Detection System))
• アンチウィルスSW
• SIEM , FIM , etc.
• これらはホワイトペーパーやNDAドキュメントに記載
Layer5以上のユーザ環境固有の対策は顧客の責任
• WAF等のサービスの追加購⼊
• マーケットプレイスからの導⼊
サイバー攻撃に対するOCIインフラの対策例
Copyright © 2021, Oracle and/or its affiliate
49
Slide 50
Slide 50 text
Blue vs Red Team
(最新のサイバー攻撃を内部で攻撃・防御を繰り返し演習)
Copyright © 2021, Oracle and/or its affiliate
50
Detect
Security
Analytics
Collect
Security
Infrastructure
Remediate
Vulnerability
Management
Respond
Incident
Response
Defensive Security Offensive Security
Hardware
Hacking
Security
Research
Red
Teaming
Penetration
Testing
Slide 51
Slide 51 text
インシデント発⽣︕︕の対処
51
Slide 52
Slide 52 text
“オラクルへのセキュリティ脆弱性の報告⽅法”に掲載
• https://www.oracle.com/jp/corporate/security-practices/assurance/vulnerability/reporting.html
• 契約済のお客様
• MyOracleからSRを上げる
• セキュリティインシデントとして記述
• 詳細はSRを上げた後、窓⼝・対応フローがきまります。
• 契約のないお客様
• 下記窓⼝に連絡ください。
• [email protected]
インシデントはどうするか︖
Copyright © 2021, Oracle and/or its affiliate
52
Slide 53
Slide 53 text
Copyright © 2021, Oracle and/or its affiliate
53
https://www.oracle.com/jp/corporate/security-practices/assurance/vulnerability/reporting.html
Slide 54
Slide 54 text
詳細は企業秘密なのでご紹介できません。
が・・・・・
とこで、OCI consoleってWAFとか何を使っているの︖
Copyright © 2021, Oracle and/or its affiliate
54
Slide 55
Slide 55 text
CISベンチマーク
55
Slide 56
Slide 56 text
⽶国のCIS(Center For Internet Security)が開発した、情報システムを安全に構成するためのベストプラクティスが記載
されたガイドライン
CIS対応
Copyright © 2021, Oracle and/or its affiliate
56
カテゴリ 対象の製品・サービス(例)
PC Windows XP/7/8/10
サーバ
Windows Server
2008/2012/2016/2019, Red Hat
Enterprise Linux, CentOS, Debian,
Ubuntu, Amazon Linux, Oracle Linux
ネットワーク機器 Cisco IOS, Palo Alto Networks, Juniper
モバイル機器 Apple iOS, Google Android
データベース
MySQL, PostgreSQL, Oracle Database,
IBM Db2, MongoDB
アプリケーション
Microsoft 365, Internet Explorer,
Tomcat
クラウドサービス AWS, Azure, GCP, OCI
項⽬ 内容
推奨事項
システムを堅牢化するための具体的な設定
内容
根拠 「推奨事項」を設定すべき理由
監査
「推奨事項」に従い設定されているか確認す
る⼿順
修復 「推奨事項」を設定するための⼿順
影響 「推奨事項」を設定する際に考慮すべき影響
デフォルト値
「推奨事項」に関連する設定項⽬のデフォル
ト値
CIS Benchmarksがカバーしている製品・サービスの例 CIS Benchmarksに記載されている項⽬とその内容
(出所︓NRI SECURE社資料。Oracleにて加筆)
Slide 57
Slide 57 text
Copyright © 2021, Oracle and/or its affiliate
57
https://www.cisecurity.org/benchmark/oracle_cloud/
Slide 58
Slide 58 text
Copyright © 2021, Oracle and/or its affiliate
58
Slide 59
Slide 59 text
Copyright © 2021, Oracle and/or its affiliate
59
https://www.cisecurity.org/cis-hardened-images/oracle/
Slide 60
Slide 60 text
Copyright © 2021, Oracle and/or its affiliate
60
https://cloudmarketplace.oracle.com/marketplace/en_US/listing/70901104
Slide 61
Slide 61 text
OCIインフラのセキュリティを
もっと知りたい︕
61
Slide 62
Slide 62 text
SOC2 reportを読もう︕︕
Copyright © 2021, Oracle and/or its affiliate
62
技術的なセキュリティ対策の宝庫︕例えば・・・
Data Erasure – Bare Metal Compute
........................ The provisioning workflow is an
automated process that connects to the Integrated
Lights Out Manager (ILOM) within the physical
hardware................Once the erasure process is
complete, the service commences a process to
“flash” the basic input/output system (BIOS), update
drivers, and return the hardware to the initial factory
state.....................
................................
Access to Individual Devices
Once a user has authenticated to the relevant
bastion server, .................., operators must also enter
a one- time password (OTP) that expires after 24
hours. Access to hosts is provisioned using a SSH
public/private key pairing.
............................................
OCIユーザなら⼊⼿可能︕︕
Slide 63
Slide 63 text
データセンターセキュリティの要求仕様はSupplier Co-Location
Security Standardに記載
Copyright © 2021, Oracle and/or its affiliate
63
https://www.oracle.com/corporate/suppliers.html
Slide 64
Slide 64 text
OCIのコンプライアンス対応
64
Slide 65
Slide 65 text
OCIにおける主なコンプライアンス対応
Copyright © 2021, Oracle and/or its affiliate
65
Global
Government
Industry
Regional
27001 : 27017 : 27018
27701
SOC 1 : SOC 2 : SOC 3 Self-Assessment
PIPEDA -
Canada
DoD DISA
SRG IL2
Moderate – Agency
ATO
VPAT – Section
508
G-Cloud 11 -
UK
Model Clauses -
EU
US Privacy Shield
HIPAA
Level 1
PCI DSS FISC - Japan IG Toolkit - UK
My Number -
Japan
Cyber Essentials
Plus - UK
TISAX - Germany
BSI C5 - Germany
GDPR - EU
C5
FINMA -
Switzerland
Cloud Security
Principles - UK
DoD DISA
SRG IL5
3 Ministries
Healthcare - Japan
Slide 66
Slide 66 text
コンプライアンス対応状況をWebサイトで公開
オラクル クラウドのコンプライアンス対応
Copyright © 2021, Oracle and/or its affiliate
https://www.oracle.com/cloud/cloud-infrastructure-compliance/
66
Slide 67
Slide 67 text
各国・各地域の法制度への対応を重視
• 個⼈情報保護・プライバシー等重視の流れに対応
• GDPR, CCPA, マイナンバー(番号法)等にも対応しOracle社内を整備
• 官⺠学のさまざまな機関・コミュニティと協調
グローバル対応の認証を中⼼に必要に応じて各国独⾃の認証取得や制度対応
• Oracle Corporation 本社と密に連携し、各地域・各国の現地Oracle法⼈が各種活動を⾏なっていきます
セキュリティやコンプライアンス情報の積極的な公開
• Webサイトやホワイトペーパーによる情報発信
国際的なコンプライアンスに対するオラクルの姿勢
Copyright © 2021, Oracle and/or its affiliate
67
Slide 68
Slide 68 text
⽇本企業や官公庁が気にするOCIの主なコンプライアンス対応⼀覧
区分 基準 適⽤業種 OCI
国際基準
ISO/IEC 27001認証 官⺠学全て ○
ISO/IEC 27017認証 官⺠学全て ○
ISO/IEC 27018認証 官⺠学全て ○
ISO/IEC 27701認証 官⺠学全て ○
ISO/IEC 20000-1認証 官⺠学全て ○
SOC1, 2, 3レポート 官⺠学全て ○
PCI-DSS認証 クレジットカード ○
HIPAA ⽶国ヘルスケア ○
FedRAMP High ⽶国政府機関 ○
国内基準
業界固有
FISCガイドライン第9版 ⾦融 ○
NISC 政府統⼀基準 ⽇本国官公庁 ○
3省3ガイドライン ヘルスケア(含製薬) ○
ISMAP ⽇本国官公庁 ○
その他 プライバシーマーク 官⺠学全て ○
2021年9⽉現在
Copyright © 2021, Oracle and/or its affiliate
68
Slide 69
Slide 69 text
オラクルの⾒解に加え、第三者として三菱総合研究所(MRI)様に調査いただいた結果、全ての項⽬(⼀
部、ベンダー側の対応が不要な項⽬を除く)で「適合可能」と判定されています
株式会社三菱総合研究所 クラウド対応セキュリティリファレンス情報
Copyright © 2021, Oracle and/or its affiliate
下記ガイドラインの各項⽬に対する「Oracle Cloud」の対応状況をまとめた
セキュリティリファレンスを提供しています。
n ⾦融機関向け(⾦融機関等コンピュータシステムの安全対策基準(第9版)対応)
n 政府機関向け(政府機関の情報セキュリティ対策のための統⼀基準群(平成30年度版))
n 医療機関向け(3省3ガイドライン*)
*厚⽣労働省「医療情報システムの安全管理に関するガイドライン 第5版」(平成29年5⽉)
経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」(平成24年10⽉)
総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン 第1版」(平成30年7⽉)
OCIの主な国内基準への対応(ISAMP以外)
69
Slide 70
Slide 70 text
コンプライアンスレポートを実
際に取得してみよう︕
70
Slide 71
Slide 71 text
Copyright © 2021, Oracle and/or its affiliate
71
Slide 72
Slide 72 text
Copyright © 2021, Oracle and/or its affiliate
72
Slide 73
Slide 73 text
データの廃棄
法制度
73
Slide 74
Slide 74 text
OCIにおける顧客データの消去および廃棄ポリシー
74
Copyright © 2021, Oracle and/or its affiliate
• データ消去について
• 廃棄証明は出さない
• メディア上でのデータ消去に関してはNIST800-88に準じる
• サービス終了時
• サービス環境と、その環境内に置かれているコンテンツを削除
• コンテンツは、アクセスや読み取りが簡単にはできなくなるような⽅法で削除
• (オラクルに法的義務が課されている場合を除く)。
• オラクルはクラウド・サービス契約の終了から60⽇間、お客様のコンテンツを安全なプロトコル経由でダウンロー
ドできるように保持
• (書⾯による別途の指定がない限り)
Slide 75
Slide 75 text
ISMAP管理基準における「データ消去」
75
Copyright © 2021, Oracle and/or its affiliate
第1章
1.1 ISMAP 管理基準の⽬的
本管理基準の主な特徴は次の通りである。
(1) クラウドサービス事業者を実施主体とした管理基準としている。
(2) 政府において最も多く扱われる情報の格付けの区分である機密性 2 の情報を扱うことを想定して策定している。
(3) 論理的消去もデータの消去(もしくは抹消)の⽅法の⼀つと定義している。
1.3 ⽤語及び定義
1.3.14消去(もしくは抹消)
消去には、媒体を物理的に破壊する物理的消去、媒体を消磁装置により抹消する電磁的消去に加え、論
理的消去も含む。論理的消去とは、元のデータを暗号化した後、暗号鍵を消去し、元のデータの復号を不可能にする⽅
法を指す。
Slide 76
Slide 76 text
セキュリティの重要事項は契約関係書類に記載がある。
Copyright © 2021, Oracle and/or its affiliate
76
Slide 77
Slide 77 text
準拠法
• ⽇本国法律。Cloud Service Agreementには以下の通り記載
14. 準拠法と管轄裁判所
本契約は⽇本国の法律が適⽤され、両当事者は、本契約から⽣じる⼜は関連する紛争につい
ては東京地⽅裁判所を第⼀審の専属的合意管轄裁判所とすることに合意します。
監査権
• 顧客による監査の権利を認める。Data Processing Agreement に以下の通り記載
(参考訳)
7. 監査権、及びお客様とお客様の監督機関との協⼒
7.1お客様は、1年につき1回まで、オラクルが、本データ処理契約にづいたオラクルの義務を遵守し ていることを監査することができま
す。さらに、該当データ保護法により要求される範囲で、お客様⼜ はお客様の監督機関は、監査の回数を増やすことができます。
Oracle Cloud の法制度対応の基本的考え⽅
Copyright © 2021, Oracle and/or its affiliate
77
「監査=DC⽴ち⼊り」ではないです。「現物観察」は監査⼿法の1つです。
Slide 78
Slide 78 text
セキュリティや運⽤のポリシー
78
Slide 79
Slide 79 text
Oracle Cloud Hosting and Delivery
Policies
79
Copyright © 2021, Oracle and/or its affiliate
「サービス仕様書」の1つ
オラクルが提供するクラウドサービスが対象
• セキュリティや運⽤のポリシー
• SLA
• サポートのポリシー
• Etc.
Slide 80
Slide 80 text
Cloud Service Agreement にOracle Cloud Hosting and
Deliveryの位置付けを記載
80 Copyright © 2021, Oracle and/or its affiliate
Slide 81
Slide 81 text
OCIのセキュリティ等のポリシーは、契約関係3種のドキュメントから
81
Copyright © 2021, Oracle and/or its affiliate
Oracle Cloud Service Agreement
• https://www.oracle.com/corporate/contracts/cloud-services/contracts.html#ct07tabcontent3
Oracle Cloud Hosting and Delivery Policies
• https://www.oracle.com/corporate/contracts/cloud-services/hosting-delivery-policies.html#hd
Data Processing Agreement
• https://www.oracle.com/corporate/contracts/cloud-services/contracts.html#data-processing
•
Slide 82
Slide 82 text
まとめ
82
Slide 83
Slide 83 text
「情報セキュリティへの世間からの⽬」
の観点でOCI全体像を考察しました。
83
Slide 84
Slide 84 text
本⽇ご紹介した内容は、
(公開ドキュメント+ユーザ⼊⼿
可能ドキュメント)に記載、もしく
は推測可能な内容です。
84
Slide 85
Slide 85 text
あとは、掘るのみ︕
85
Slide 86
Slide 86 text
Copyright © 2021, Oracle and/or its affiliate
n OCIサイト
https://www.oracle.com/jp/cloud/
https://www.oracle.com/cloud/
n オラクルのクラウドセキュリティ
https://www.oracle.com/jp/security/
https://www.oracle.com/security/
n オラクルのコーポレートセキュリティ
https://www.oracle.com/jp/security/
https://www.oracle.com/corporate/security-practices/corporate/
n オラクル・クラウドのセキュリティ・プラクティス
https://www.oracle.com/corporate/security-practices/cloud/
n セキュリティ ホワイトペーパー
https://docs.oracle.com/cd/E97706_01/Content/General/Reference/aqswhitepapers.htm#security
https://docs.cloud.oracle.com/en-us/iaas/Content/General/Reference/aqswhitepapers.htm#security
(参考)その他リンク⼀覧
86
Slide 87
Slide 87 text
Copyright © 2021, Oracle and/or its affiliate
n OCIセキュリティ概要
https://docs.oracle.com/cd/E97706_01/Content/Security/Concepts/security_overview.htm
https://docs.cloud.oracle.com/en-us/iaas/Content/Security/Concepts/security_overview.htm
n コンプライアンス
https://www.oracle.com/cloud/cloud-infrastructure-compliance/
n ソフトウェア・セキュリティ保証 /Oracle Software Security Assurance(OSSA)
https://www.oracle.com/jp/corporate/security-practices/assurance/
https://www.oracle.com/corporate/security-practices/assurance
n オラクルのセキュリティ敢⾏
https://www.oracle.com/jp/corporate/security-practices/
n Oracle Cloud Infrastructureセキュリティ・ガイド
https://docs.oracle.com/ja-jp/iaas/Content/Security/Concepts/security_guide.htm
n オラクルセキュリティ サービス概要
https://www.oracle.com/jp/security/
n クラウドセキュリティの最新情報︓クラウドセキュリティナビ
https://blogs.oracle.com/sec
(参考)その他リンク⼀覧
87
Slide 88
Slide 88 text
No content