【Oracle Cloud ウェビナー】エンタープライズに求められるクラウドセキュリティの現実解～ ISMAP から読みとくセキュリティのCIA

Slide 1

Slide 1 text

エンタープライズに求められるクラウドセキュリティの現実解～ ISMAP から読みとくセキュリティのCIA Oracle Cloud ウェビナー日本オラクル株式会社事業戦略統括事業開発本部大澤清吾事業戦略統括事業開発本部クラウド・プログラム推進室下道高志

Slide 2

Slide 2 text

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

クラウドに関連したさまざまなセキュリティ基準 Copyright © 2023, Oracle and/or its affiliates 5 • ISO27001(27017+27018) • SOC1/SOC2/SOC3 • HIPAA • PCI-DSS • FedRAMP(NIST SP800-53) • Cyber Essentials Plus • CJIS, MARS-E • EU Cloud CoC(Code of Conduct) • Cyber Essentials • ENS • HDS • UAE ADISS • ISMAP • 3省ガイドライン • FISC安全対策基準 • 政府統一基準世界標準(基準)・業界標準米国標準欧州独自標準日本独自標準

Slide 6

Slide 6 text

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

CIAは情報セキュリティの考え方の普遍的なベース Copyright © 2023, Oracle and/or its affiliates 9 Confidentiality (機密性) Integrity (完全性) Availability (可用性) 資産の正確さ及び完全さを保護する特性データの改ざん・破壊、システム停止許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性情報漏えい、不正アクセス認可されたエンティティが要求したときに、アクセス及び使用が可能である特性システム停止、データ喪失

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

Slide 21

Slide 21 text

Slide 22

Slide 22 text

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

Slide 27

Slide 27 text

Slide 28

Slide 28 text

制度の目指す姿 Copyright © 2023, Oracle and/or its affiliates 28 • 評価済みであれば、一定のセキュリティ基準を充足可能 • 各省は追加要件のみを指定 • 提案者としては同じ要件について、一度の評価に共通化統一的なセキュリティ基準を明確化し、実効性・効率性のあるクラウドのセキュリティ評価制度を検討政府情報システムのためのセキュリティ評価制度（ISMAP）について（内閣官房・総務省・経済産業省）府省庁毎に異なっていたクラウドセキュリティ基準が統一化され省力化期待府省庁毎のセキュリティ対応の負荷が軽減されると期待将来的に重要インフラにも適用？調達（利用者）側のメリットクラウドベンダー側のメリット

Slide 29

Slide 29 text

Slide 30

Slide 30 text

Slide 31

Slide 31 text

Slide 32

Slide 32 text

ISMAP監査対象の「約1200項目のセキュリティ基準」とは Copyright © 2023, Oracle and/or its affiliates 32 以下の3つの基準で確認され、下の表のような項目が約1,200存在ガバナンス基準 :経営陣による意思決定や指示等の継続的な実施マネジメント基準:管理者の的確なマネジメント管理策基準 :業務実施者のセキュリティ対策の実施政府情報システムのためのセキュリティ評価制度（ISMAP）について（内閣官房・総務省・経済産業省）主にISO27014 主にISO27002/ 27017/27018

Slide 33

Slide 33 text

ISMAP監査の実際（1） Copyright © 2023, Oracle and/or its affiliates クラウドサービスの対応状況を整理 • ISMAPセキュリティ基準、約1,200項目を確認 • 採用した管理策をリスト化した詳細管理策を作成 • エビデンスとなるドキュメントの紐付けを実施監査人による詳細管理策実施状況チェック • 監査人からの質疑対応 • 要求された追加ドキュメントの収集、提示 • 技術的な項目としてログやソースコードの収集、提示 • [運用状況監査] • 実際のエビデンスの母集団を作成、サンプリングにより抽出されたエビデンスの確認を（監査機関が）行う • クラウド環境への実際のアクセスログ • H/W, S/W資産の配備・廃棄状況 • etc 詳細管理策ポリシードキュメント・・・・・・・・・・・・・・・・・・登録ISMAP監査機関により1.質問、2.閲覧、3.観察の技法で監査データセンターの現地監査(観察)だけが監査ではありません。 33

Slide 34

Slide 34 text

ISMAP監査の実際（2） Copyright © 2023, Oracle and/or its affiliates 34 本社人事へのインタビューを実施 • 雇用契約や社員教育、リスクマネジメントなどについて、本社人事とのインタビューを実施データセンター観察 • データセンター責任者へのインタビューにて、データセンターに関わる詳細管理策の実現方式について説明 • データセンターサプライヤーを含め、監査人をアテンドし現地監査を実施 • 入退室における認証装置の確認 • 二重化電源の稼働状況の確認 • データセンター敷地への不正侵入防止措置の確認 • etc.

Slide 35

Slide 35 text

Slide 36

Slide 36 text

Slide 37

Slide 37 text

対応すべき管理策の多さと監査 • 約1200の管理策に対して採用・非採用に関わらず何かしら対応が必須 • 管理策が広範囲のため、システム開発運用部門のみならず、契約関連部署・人事・役員等からさまざまな部門および役職者の協力が必須 • いわゆるリスクベース監査ではなく、ISMAP管理基準が想定する管理策に対して、準拠しているかが監査される（非公開のISMAP監査手続きに沿って監査が実施される） • 整備状況だけでなく運用状況監査も必要 • 母集団を作成し、サンプリング、エビデンスの確認（質問・閲覧・観察）が行われる • （例）第２第3四半期のOOへのすべてのアクセスログの母集団を作成し、当該母集団からN個無作為抽出し、閲覧確認を行う継続性 • 毎年監査が必要 • 監査費用が・・・ ISMAP対応作業の何が大変か？ Copyright © 2023, Oracle and/or its affiliates 37

Slide 38

Slide 38 text

Slide 39

Slide 39 text

Slide 40

Slide 40 text

Slide 41

Slide 41 text

Slide 42

Slide 42 text

Slide 43

Slide 43 text

「OCIはセキュアなクラウドサービス」はISMAP登録で証明 Copyright © 2023, Oracle and/or its affiliates 43 • ISMAP登録されたOCIの各サービスを安心して利用可能 • 登録されたセキュリティサービスを組み合わせることにより、顧客がシステムを安心して構築可能 • 登録されたリージョンを使用して災害対策構成(DR)を安心して構築可能 CIAを完備したセキュアなエンタープライズシステムをOCI上に構築可能

Slide 44

Slide 44 text

• OCI上に、アプリケーションシステムや、 SaaS/PaaS等のクラウドサービスをセキュアに構築可能 • データセンタの設備、通信、運用等、クラウド・インフラの安全性は確保されている • 「日本国政府お墨付きのクラウドサービス」 • OCI上に構築されるシステムは、OCIとはセキュリティ統制範囲が異なるため、個別にISMAP登録が必要政府レベルのセキュリティインフラを達成したISMAP登録OCI Copyright © 2023, Oracle and/or its affiliates 44 OCI App System SaaS ISMAP登録対象範囲

Slide 45

Slide 45 text

Slide 46

Slide 46 text

Slide 47

Slide 47 text

Slide 48

Slide 48 text

Slide 49

Slide 49 text

Slide 50

Slide 50 text

Slide 51

Slide 51 text

Oracle Cloud Security Practice Copyright © 2023, Oracle and/or its affiliates 51 https://www.oracle.com/jp/corporate/security-practices/cloud/ • Consensus Assessment Initiative Questionnaire（CAIQ）for Oracle Cloud Infrastructure • CSA規定のセキュリティ基準への回答。技術的な内容が多い • Oracle Cloud Infrastructure（OCI）アーキテクチャの概要 • OCIのセキュリティ実装の概要を記載 • Oracle Cloud Infrastructureのプライバシー機能 • 各国のプライバシー法制、個人上保護法制、GDPR等への対応の概要

Slide 52

Slide 52 text

Slide 53

Slide 53 text

Slide 54

Slide 54 text

Slide 55

Slide 55 text

多層のアプローチを採用 • ANSI/TIA-942-A Tier3/Tier4 以上のデータセンター施設 • 冗長化された電源と外部ネットワーク接続 • 建物は、耐久性を重視した鋼鉄とコンクリート、または同等の資材で建設 • サイトには、警備員が常駐。 24時間365日体制でインシデントに対応 • サイトの外側には侵入防止柵を設置し、警備員、監視カメラによる常時監視 • 常駐の警備員による入室時のセキュリティチェック • 身分証明バッジの常時携帯着用 • サーバー・ルーム全体をカバーするカメラ群による監視 • 2要素認証アクセス制御や侵入検知メカニズムによる厳重なアクセス管理 • 最小アクセス権の原則により承認、必要な時間だけ入室を許可 • アクセス状況の監査と定期的なレビューデータ・センターの物理セキュリティ対策 Copyright © 2023, Oracle and/or its affiliates 55

Slide 56

Slide 56 text

従業員の雇用 • 全従業員の犯罪歴チェック（雇用前のバックグラウンドチェック）等、法律で認められた範囲の雇用前スクリーニングの実施 • 業績評価プロセスによりセキュリティ標準に関する従業員のパフォーマンスを可視化トレーニング (定期的に実施) • 全従業員に対してセキュリティ/プライバシー基本トレーニング受講の義務化 • 最新のセキュリティ技術、エクスプロイト、方法論等の専門トレーニングの実施 • 雇用後の継続的な従業員教育パーソナル・セキュリティ（人的セキュリティ） Copyright © 2023, Oracle and/or its affiliates 56

Slide 57

Slide 57 text

ネットワーク上のデータの保護 • 転送中のデータを暗号化し保護することによる中間者攻撃対策 • 電子署名によるお客様のサービス・コマンドの改ざん防止対策サイバー攻撃対策 • 最先端のツールとメカニズムによるDDoS対策 • IDS(Intrusion Detection System)不正侵入検知 • 検知システム構成は24時間毎に更新 • アンチウィルス・ソフトウェア/脆弱性スキャン • セキュリティ・ログとモニタリングネットワークセキュリティ対策 Copyright © 2023, Oracle and/or its affiliates 57

Slide 58

Slide 58 text

Oracle Software Security Assurance(OSSA) OSSAとは • オラクルクラウド製品/サービスを含む、製品の設計、構築、テスト、保守にセキュリティを組み込むオラクルの方法論 • 製品開発ライフサイクルのあらゆる段階を網羅 • 製品開発におけるセキュリティ・リーダの設置 • 暗号レビューボードの運営 OSSAの目的 • セキュリティ・イノベーションを促進 • あらゆるオラクル製品においてセキュリティ上の脆弱性の発生件数を低減 • リリースした製品に含まれるセキュリティ上の脆弱性がお客様に及ぼす影響を低減オラクル・ソフトウェア・セキュリティ保証 Copyright © 2023, Oracle and/or its affiliates 58

Slide 59

Slide 59 text

Slide 60

Slide 60 text

Slide 61

Slide 61 text

OS アプリケーションセキュリティ統制を実現オラクルクラウドの共同セキュリティ・モデル Copyright © 2023, Oracle and/or its affiliates 61 対象クラウドクラウド種別サービス形態責任範囲 Oracle Cloud パブリッククラウド IaaS PaaS SaaS データセンター設備物理サーバー・ネットワークミドルウェアアプリケーションデータデータセンター設備物理サーバー・ネットワークミドルウェア OS アプリケーションデータデータセンター設備物理サーバー・ネットワーク OS ミドルウェアデータセキュリティ対策例物理環境セキュリティ人的セキュリティネットワーク・セキュリティ監視 OSの構成セキュリティ・パッチアクセス制御脆弱性対策データの分類/保護：お客様責任範囲：Oracle責任範囲

Slide 62

Slide 62 text

OS アプリケーションセキュリティ統制を実現オラクルクラウドの共同セキュリティ・モデル Copyright © 2023, Oracle and/or its affiliates 62 対象クラウドクラウド種別サービス形態責任範囲 Oracle Cloud パブリッククラウド IaaS PaaS SaaS データセンター設備物理サーバー・ネットワークミドルウェアアプリケーションデータデータセンター設備物理サーバー・ネットワークミドルウェア OS アプリケーションデータデータセンター設備物理サーバー・ネットワーク OS ミドルウェアデータセキュリティ対策例物理環境セキュリティ人的セキュリティネットワーク・セキュリティ監視 OSの構成セキュリティ・パッチアクセス制御脆弱性対策データの分類/保護：お客様責任範囲：Oracle責任範囲お客様側でツールの活用やセキュリティ構成の管理を実施 SECURITY ON THE CLOUD Oracle が力を入れて取り組んでいるところ SECURITY OF THE CLOUD オラクルはセキュアなクラウド・インフラとサービスを提供

Slide 63

Slide 63 text

セキュリティの考え方 CIAのセキュリティの考え方とオラクルの取り組み Copyright © 2023, Oracle and/or its affiliates 63 Confidentiality (機密性) Integrity (完全性) Availability (可用性) オラクルのサイバーレジリエンスへの取り組みデータの改ざん・破壊への対策システム停止への対策高可用性ベストプラクティスを提供 (Maximum Availability Architecture) 目標復旧時点を限りなくゼロにできる (Backup and Recovery) 情報漏洩・不正アクセスへの対策データ層でデフォルト暗号化、権限分掌 (Maximum Security Architecture)

Slide 64

Slide 64 text

“当社が重要なシステムに対し、Oracle Data Safeの採用を決めた理由は、データが我々にとって最も重要な資産であると考えているからである。” Emil Podwysocki, Head of the Laboratory of Databases and Business Analytics Systems, National Information Processing Institute セキュリティリスクを自動的に検知・修復します設定ミス、ポリシー違反、疑わしい挙動、他を持続的に検査しますセキュリティに関する問題を自動的に修復、もしくはお客様の確認後に修復しますデータベースとデータを自律的に保護します停止時間を要さず、自動的にセキュリティパッチを適用しますデータベースの設定やデータ種別を精査し、修正・改善を提案しますランサムウェアに対する耐性を高めますファイルを不可視化し、盗難を防止します。完全性が担保されたリアルタイムバックアップにより、感染直前までのリカバリーを可能にします。網羅的なセキュリティ機能を基本機能として提供しますセキュリティに関する初期設定がセットアップ時における人的ミスを抑制します全てのデータは保存時、転送時において必ず暗号化されます OCIは強固にお客様データを保護し、事業継続リスクを最小化します軍用レベルのセキュリティ技術が情報漏洩リスクを最小化します Copyright © 2023, Oracle and/or its affiliates 64

Slide 65

Slide 65 text

セキュリティの考え方 CIAのセキュリティの考え方とオラクルの取り組み Copyright © 2023, Oracle and/or its affiliates 65 Confidentiality (機密性) Integrity (完全性) Availability (可用性) オラクルのサイバーレジリエンスへの取り組みデータの改ざん・破壊への対策システム停止への対策高可用性ベストプラクティスを提供 (Maximum Availability Architecture) 目標復旧時点を限りなくゼロにできる (Backup and Recovery) 情報漏洩・不正アクセスへの対策データ層でデフォルト暗号化、権限分掌 (Maximum Security Architecture)

Slide 66

Slide 66 text

ランサムウェアへの耐性を究極に高めるフルマネージド型データ保護サービス Zero Data Loss Recovery Appliance ランサムウェアに対する耐性を高めます • ファイルを不可視化し、盗難を防止 • リアルタイムバックアップにより、感染直前までのリカバリーを可能 • 完全性が担保されたバックアップにより、確実に復旧可能バックアップにおける、本番環境への影響を極小化します • 週次フル・バックアップは不要- 本番データベースのオーバーヘッドを排除 • 永久に増分戦略でバックアップ期間を短縮 • すべてのバックアップに対する影響のないデータベース・リカバリ検証隔離保存など更なるデータ保護要件に柔軟に対応 • ネットワークに隔離保存により災害・サイト障害への対応が可能 • さらに、テープやクラウドのストレージに保管も可能 • お客様サイトで管理するためコンプライアンスに対応可能 Copyright © 2023, Oracle and/or its affiliates 66

Slide 67

Slide 67 text

セキュリティの考え方 CIAのセキュリティの考え方とオラクルの取り組み Copyright © 2023, Oracle and/or its affiliates 67 Confidentiality (機密性) Integrity (完全性) Availability (可用性) オラクルのサイバーレジリエンスへの取り組みデータの改ざん・破壊への対策システム停止への対策高可用性ベストプラクティスを提供 (Maximum Availability Architecture) 目標復旧時点を限りなくゼロにできる (Backup and Recovery) 情報漏洩・不正アクセスへの対策データ層でデフォルト暗号化、権限分掌 (Maximum Security Architecture)

Slide 68

Slide 68 text

米国国防のセキュリティ基準を制定しているNSA(National Security Agency)では、 2003年にNet-Centric Data Strategyという文書の中でデータの状態を3つに分類 • Data at Rest(保存状態) • Data in Transit(転送状態) • Data in Use(利用状態) そもそも「データ」保護はどのように対策を考えればよいか Copyright © 2023, Oracle and/or its affiliates 68 保存状態/ 転送状態「暗号化」を指示利用状態「最小権限(Least Privilege)」の原則という考えに乗っ取った対策を指示 NSAで示された対策 100％暗号化を実施済みゼロトラストセキュリティ対策として実装中現在の米国政府での対応格納データと通信でデフォルト暗号化を実施済み特権の職務分掌, データレコード・レベルのセキュリティを提供 Oracle Cloud Infrastructure

Slide 69

Slide 69 text

Maximum Security Architecture データ中心型セキュリティモデルにおける対策の鳥瞰図 Copyright © 2023, Oracle and/or its affiliates 69 ユーザーアプリケーションイベントログ監査証跡& イベントログアラートレポートポリシーテスト開発表示データの伏字化通信暗号化管理者職務分掌機密情報の発見アカウントのリスク評価セキュリティアセスメント不正問合せ遮断監査証跡管理ラベルベースアクセス制御データの暗号化暗号鍵集中管理データの秘匿化データの改竄防止アクセス制限改竄・破壊防止データ暗号化バックアップ Data Safe Transparent Data Encryption Database Vault Transparent Data Encryption Data Safe Data Safe

Slide 70

Slide 70 text