Security for OCI Season2

Transcript

1. Security for OCI Season2 OCI のセキュリティと前回からのアップデート OCIjp #32 2022年7月19日 株式会社野村総合研究所

   品質監理本部 情報セキュリティ部 佐古伸晃

2. 1 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. はじめに

   01 Security Architecture for OCI 02 Security Setting for OCI 03 まとめ 04

3. 2 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 自己紹介

   Security for OCI Season2 ◼野村総合研究所(NRI) 情報セキュリティ部 佐古伸晃(SAKO Nobuaki) ◼オフィスセキュリティ担当グループマネージャー ⚫ 委託先管理（セキュリティコントロール） ⚫ 社内OA・ネットワーク環境のセキュリティ対策 ⚫ 外部クラウドサービス利用時のセキュリティ対策 ◼クラウド関連のセキュリティガイドラインの整備、適合審査 ⚫ クラウドサービス • 共通ガイドライン：IaaS / PaaS / SaaS 全般 • 個別ガイドライン：OCI / AWS / Azure / Google Cloud (GCP) / Alibaba Cloud 向け詳細版 ⚫ Docker / Kubernetes ⚫ バージョン管理(GitHub他) など

4. 3 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. はじめに

   01 Security Architecture for OCI 02 Security Setting for OCI 03 まとめ 04

5. 4 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. そもそもセキュリティとは

   Security for OCI Season2 ◼セキュリティー【security】 ⚫ 安全、安心、防犯、保証、有価証券など ⚫ 第三者からの侵入、攻撃、情報漏洩、改竄といった不正利用を阻止し、機密性や安全性を保持すること ◼セキュリティは、次の三要素が存在する場合に必要になる。 ⚫ 守るべき資産 ⚫ それを脅かす脅威 ⚫ 脅威が突いてくる脆弱性 ◼Information Technology(IT) 企業・システム・エンジニアが扱い、守るべき資産は、情報である。 ➢ 脅威を想定し、脆弱性があることを前提に、セキュリティを考える。 ⚫ どのように脅威を想定し、どのような脆弱性があることを知るか？

6. 5 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 想定される脅威：セキュリティリスクの傾向を知る

   Security for OCI Season2 ◼OWASP (Open Web Application Security Project) Top 10 ⚫ Webアプリケーションのセキュリティ向上を目的とした非営利団体が公開する、最も重大な10のリスク ➢ 定期的に更新され、直近のセキュリティリスクの傾向を知ることができる ⚫ OWASPが公開するその他リソース • Mobile Top 10 、 OWASP API Top 10 • ZAP(脆弱性診断ツール)、Testing Guide(テストフレームワーク)、ASVS(セキュリティコントロールフレームワーク) 出典：OWASP Top Ten アクセス制御の不備 不適切な暗号化 インジェクション 安全でない設計 不適切なセキュリティ設定 脆弱で古くなったコンポーネント 不適切な識別と認証 ソフトウェアとデータの整合性不備 セキュリティログとモニタリングの不備 サーバーサイドリクエストフォージェリ (SSRF)

7. 6 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 想定される脅威：敵対者の戦術とテクニックを知る

   Security for OCI Season2 ◼MITRE ATT&CK(マイター・アタック: Adversarial Tactics, Techniques, and Common Knowledge) ⚫ MITRE社の管理する、現実の観測に基づく、敵対戦術とテクニック(脅威)のナレッジベース ⚫ 偵察、初期アクセス、攻撃実行、永続化、侵出などの各14プロセスで、どのような事が行われるかパターン化 出典：MITRE ATT&CK ➢ 敵対者の戦術とテクニックを知ることで、どのような脅威に対策をとるか想定し、具体的な対策に落とし込む

8. 7 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 脆弱性があることを知る

   Security for OCI Season2 ◼CVE(共通脆弱性識別子) ⚫ MITRE社が管理する一般公開されているセキュリティ脆弱性のリスト ⚫ 世界中のITベンダー、セキュリティ企業、リサーチ組織がCVE採番機関(CNA)として登録、報告 ➢ このリストや通知情報から、自組織の利用するプロダクトに該当する脆弱性を特定、対策を検討する 出典：MITRE | CVE Details

9. 8 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 情報セキュリティの特性

   Security for OCI Season2 ◼ISMS(情報セキュリティマネジメントシステム) の認証基準 ISO/IEC 27002 Information technology では、以下のように定めている。 ⚫ 情報セキュリティ(Information Security)とは、情報の以下を維持すること。(基本の三特性) • 機密性 (Confidentiality) ：情報が、許可されたものだけがアクセスできること • 完全性 (Integrity) ：情報が、正しい状態で保持されること • 可用性 (Availability) ：情報が、いつでも安全にアクセスできること ⚫ 更に、情報に以下のような特性を含めることができること。(追加の四特性) • 真正性 (Authenticity) • 責任追跡性 (Accountability) • 否認防止 (Non-Repudiation) • 信頼性 (Reliability) 出典：https://www.iso.org/standard/54533.html

10. 9 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. クラウドセキュリティの考え方

    Security for OCI Season2 ◼オンプレミスとクラウドでも、守るべき資産(情報)は変わらない。 ◼その管理主体・アクセス経路・外部接続点の違いから、脅威と脆弱性は異なってくる。 ⚫ オンプレミス • 利用者が管理し、物理的に閉じたネットワークでアクセスが限定され、外部接続点は専任チームで統制されることが多い。 • 物理ネットワーク内にいる者はなりすましが困難なため、脅威ではない信頼された存在として扱われてきた。 ⚫ クラウド • 提供者が管理し、世界中どこからでもアクセスでき、利用者の権限・設定次第で外部接続点はフルオープンになる。 • オンプレミス環境では、クラウド環境では、インターネット上にいるモノを物理的に信頼できる存在と証明するのは困難。 ➢クラウドにおけるセキュリティの考え方・役割分担も自ずと変わってくる。

11. 10 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. クラウドセキュリティの役割分担

    Security for OCI Season2 ◼代表例：AWSの責任共有モデル ⚫ 利用者の責任：クラウド ’における’ セキュリティ(Security ‘in’ the cloud) ⚫ 提供者の責任：クラウド ’の’ セキュリティ(Security ‘of’ the Cloud) ◼セキュリティだけではなく、予算・調達・契約 ・精算・ガバナンスなどその他の分野にも 及ぶ、クラウド利用の基本的な考え方。 ◼多くのクラウドサービスでも同じモデルを採用。 ⚫ 利用者側の責任は必ずある。 出典：Amazon Web Services ブログ 責任共有モデルとは何か、を改めて考える

12. 11 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. Oracle

    Cloud Infrastructure(OCI) におけるセキュリティの役割分担 Security for OCI Season2 ◼OCIでは共有セキュリティ・モデル ⚫ 利用者の役割：ユーザは自分達のワークロード保護と利用サービスの安全な構成設定を行う ⚫ 提供者の役割：Oracleは基礎となるインフラストラクチャのセキュリティ対策を行う ◼基本的な考え方は共通 ⚫ クラウドにおけるセキュリティ ⚫ クラウドのセキュリティ ➢自分達の責任範囲と やる事を把握すること。 出典：Oracle Cloud Infrastructureのセキュリティ・チェックリスト

13. 12 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 新たな責任共有モデル

    Security for OCI Season2 ◼IaaS / PaaS / SaaS 以外の as-a-Service が増え、クラウドネイティブが担うレイヤーが細分化 ➢ レイヤーが複数に渡るため、自ずとセキュリティ対策が難しくなる 出典：クラウドコンピューティングの進化と新たな責任共有モデル | CSA OS データ 仮想化 物理 オンプレ アプリ ミドル 従来モデル （NIST SP800-145) OS データ 仮想化 物理 PaaS アプリ ミドル OS データ 仮想化 物理 アプリ ミドル IaaS OS データ 仮想化 物理 SaaS アプリ ミドル (Cloud Security Alliance)

14. 13 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. データ中心型セキュリティモデル

    Security for OCI Season2 ◼複数のレイヤーに渡った対策は複雑になりがち ➢ オラクルは守るべき資産である情報（データ）に焦点をあてたセキュリティ対策の考え方を提唱 出典：オラクルのデータベースセキュリティへの取り組み | オラクル

15. 14 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. データを預ける「クラウドのセキュリティ」は信頼できるのか？

    Security for OCI Season2 ◼クラウド事業者の責任は果たされているか？ ⚫ 責任を共有するには、利用するクラウドサービスが信頼できるか、コンプライアンスの観点で判断する必要がある。 ⚫ 企業のセキュリティポリシーに合致するか、独自の質問票を用意するケースもあるが、クラウドサービス事業者と 一問一答をやり取りするのは非常に労力・時間がかかる。 ◼コンプライアンスに関しては、以下のような第三者基準の認証取得状況を確認する。 ⚫ ISO27001：情報セキュリティマネジメントシステム(ISMS) ⚫ ISO27017：クラウドベースの情報セキュリティの統制 ⚫ ISO27018：クラウド上での個人データ保護 ⚫ SOC1：財務報告に係る内部統制報告書 ⚫ SOC2：セキュリティや可用性等の内部統制報告書 ⚫ HIPPA、PCI-DSS、FISCなど：特定業界ごとの統制基準 ⚫ ISMAP、FedRAMP / SP800-53、NIST SP800-171、GDPR、マイナンバー法など：国ごとの統制基準 ➢ NRIではISO・SOC2・ISMAPの取得状 況に応じ、クラウド事業者のセキュリ ティ対策が実施済みと判断し、セキュ リティアセスメントを省略可としている

16. 15 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. (ご参考)主要パブリッククラウドの第三者認証取得状況

    Security for OCI Season2 ◼第三者認証は様々な観点でセキュリティ・プライバシーの管理・統制がなされていることの証明。 ⚫ 財務状況、サービス運営、情報セキュリティ対策、各国政府機関の要求水準(ISMAP認定が待たれる) ⚫ 従業員の権限管理・アクセスコントロール、データセンターの物理セキュリティ(監視カメラ、侵入防止など) ⚫ 個人情報、特定個人情報、医療情報、クレジットカード情報などの管理・保護 ➢ クラウドサービス利用する業務の業界基準、データの所在地域、個人情報の有無などによって使い分ける ◼主要パブリッククラウドの対応状況は以下(以下は認証の一部) 出典：Oracle Cloud Compliance 他 対象 グローバル 業界 地域 第三者認 証 ISO/IEC 27001 ISO/IEC 27017 ISO/IEC 27018 SOC1 SOC2 SOC3 CSA CCM / STAR HIPAA PCI-DSS FISC ISMAP FedRAM P / SP 800-53 NIST SP800- 171 Cyber Essential s UK C5 Germany GDPR Privacy Shield プライバ シーマーク マイナン バー法 概要 情報セ キュリティ マネジメン トシステム (ISMS) クラウド ベースの情 報セキュリ ティの統 制 クラウド上 での個人 データ保 護 財務報告 に係る内 部統制報 告書 セキュリ ティや可 用性等の 内部統制 報告書 セキュリ ティや可 用性等の 内部統制 簡易報告 クラウドの セキュリ ティ・統 制・リスク 管理 米国医療 業界の医 療情報機 密保持 グローバル なクレジッ トカード業 界基準 日本の金 融業界向 け安全対 策基準 日本政府 情報シス テムのため のセキュリ ティ評価 制度 米国政府 系セキュリ ティ／プラ イバシー管 理 米国政府 外の非格 付け情報 の保護 英国政府 のサイバー セキュリ ティ保護 手法 ドイツ政 府の運用 セキュリ ティ証明 EUの一般 データ保 護規則 EUと米国 への個人 情報移転 に関する 要件 日本国内 法人向け の個人情 報保護処 置 日本に住 民票を持 つ個人の 番号保護 AWS ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦ Azure ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦ Google ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦ ◦ ◦ - ◦ OCI ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦ - ◦

17. 16 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. OCIのセキュリティとコンプライアンスの考え方

    Security for OCI Season2 出典：OCIのセキュリティとコンプライアンス対応、そしてISMAP ◼OCIのクラウドサービス提供者としてのセキュリティとコンプライアンスの考え方は、 以下7つの柱を土台に、対応するサービス群・コンプライアンスで実装されている。 ➢利用するサービス群・コンプライアンスが、どのようなセキュリティ特性に対応するか押さえておく Trusted Enterprise Cloud Platformの7柱(7 Pillar) OCIの提供するサービス群・コンプライアンス

18. 17 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. ◼AWS、Azure、Google

    Cloud において、利用者が実施すべきベストプラクティスは5つの柱で 纏められている。考え方は共通。 ⚫ 運用上の優秀性 ⚫ セキュリティ ⚫ 信頼性 ⚫ パフォーマンス効率 ⚫ コスト最適化 「クラウドにおけるセキュリティ」のベストプラクティス Security for OCI Season2 出典：AWS Well-Architected 出典：アーキテクチャ フレームワークの最新ベスト プラクティスで Google Cloud のワークロードを強化 出典：Microsoft Azure Well-Architected Framework

19. 18 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. ◼OCIにおけるベストプラクティスは

    4つのビジネス目標とフォーカス領域 として纏められている。 ◼ コンプライアンスと耐障害性が追加 要素としてあるが、基本的な５つの 考え方は共通。 ➢各々のフォーカス領域ごとに、該当する サービスのセキュリティを考え、対策する。 OCIにおけるベストプラクティス Security for OCI Season2 ビジネス目標 主なフォーカス領域 セキュリティーとコンプライアンス •ユーザー認証 •リソースの分離とアクセス制御 •コンピュート・セキュリティ •データベース・セキュリティ •データ保護 •ネットワーク・セキュリティ 信頼性と耐障害性 •フォルト・トレラント・ネットワーク・アーキテクチャ •サービスの制限および割当て制限 •データのバックアップ •スケール パフォーマンスとコストの最適化 •コンピューティングのサイズ設定 •ストレージ戦略 •ネットワークの監視およびチューニング •コスト追跡と管理 動作効率 •デプロイメント・ストラテジ •ワークロードのモニタリング •OS管理 •サポート 出典：Oracle Cloud Infrastructureのベスト・プラクティスのフレームワーク

20. 19 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. クラウドセキュリティの考慮点と考え方

    Security for OCI Season2 ◼ クラウドサービスは、インターネット経由で利用する共同サービス。 ◼ クラウドサービスには、提供者の責任と、利用者の責任がある。 ◼ 提供者の「クラウドのセキュリティ」は、第三者認証の取得状況を確認する。 ⚫ 権威ある認証を借りる：ISO27017、SOC2、 PCI DSS、ISMAP、FISC など ◼ 利用者の「クラウドにおけるセキュリティ」は、公開ナレッジ、ベストプラクティスを活用する。 ⚫ 先人の知恵を借りる：OWASP、MITRE ATT&CK、CVE、各社セキュリティベストプラクティス など

21. 20 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. はじめに

    01 Security Architecture for OCI 02 Security Setting for OCI 03 まとめ 04

22. 21 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. ◼利用者としての対応方針は以下。

    1. 初期段階からセキュリティの観点を取り込む。(セキュリティのシフトレフト) 2. 利用するクラウドサービスごとに対策を行い、多層防御を行う。(セキュリティに銀の弾丸はない) 3. アカウント作成直後から、脅威・障害に備え、継続的に利用状況を注視する。(全てのフェーズで対応する) 4. 発生したインシデントに対応する体制・シナリオを用意、定期的に訓練する。(発生した場合に備える) ◼ 膨大なアップデートが行われるクラウスサービスで、セキュリティアップデートにどう追従するか？ 1. クラウドサービス横断でセキュリティ対策の大方針を定める 2. デファクトスタンダードのセキュリティフレームワークを活用する 3. 各クラウドサービスのベストプラクティスを利用する 4. セキュリティの傾向調査、発生インシデントの再発防止、定期棚卸での実態把握、ノウハウ化 セキュリティを実現するサービスでの対策と対応方針 Security for OCI Season2

23. 22 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. ◼各サービスごとに設定できる対策と想定される脅威は様々だが、大別して７つを設定。

    対策の大項目 想定される脅威 1. ネットワークによるアクセス制御・境界線防御 インターネットからのログイン施行、侵入・攻撃 2. アイデンティティによる認証・認可、MFA 不正アクセス、アカウント乗っ取り、過大権限による誤操作 3. 暗号化による保存データ・通信経路の保護 情報漏洩、盗聴、改ざん 4. 多重化・冗長化構成による可用性の向上 HW故障、SW障害、広域障害 5. バックアップ取得によるデータロストへの備え 運用ミス、データセンター被災、ランサムウェア 6. ロギング・モニタリングによる記録・監視 攻撃、不正行動 7. 分析・レポーティングによる可視化・監査 攻撃、障害、設定不備の見落とし ◼ セキュリティ以外の関連する観点も追加し、より包括的なガイドラインとしている。 8. 統制レベルに応じたアカウント分割 コンプライアンス違反、本番環境とその他環境の混同 9. 予算設定、利用金額超過アラート 使い過ぎ、不正利用 クラウドサービス横断のセキュリティ対策の大方針 Security for OCI Season2

24. 23 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. ◼利用するサービス毎に、権限設定や鍵管理などの保護対策を行う。

    ➢責任分界点、推奨事項、コンポーネント毎の設計・設定、初期と定期的タスクを押さえること。 OCIの各サービスごとのセキュリティ・ベストプラクティス Security for OCI Season2 出典：セキュリティのベスト・プラクティス ⚫ ブロック・ボリュームの保護 ⚫ クラウド・アドバイザの保護 ⚫ コンピュートの保護 ⚫ Container Engine for Kubernetesの保護 ⚫ データ・カタログの保護 ⚫ データ統合の保護 ⚫ データ転送の保護 ⚫ データベースの保護 ⚫ 電子メール配信の保護 ⚫ ファイル・ストレージの保護 ⚫ GoldenGateの保護 ⚫ IAMの保護 ⚫ 監視の保護 ⚫ ネットワーキングの保護: VCN、ロード・バランサおよび DNS ⚫ 通知の保護 ⚫ オブジェクト・ストレージの保護 ⚫ リソース・マネージャの保護 ⚫ サービス・コネクタ・ハブの保護 ⚫ 脆弱性スキャンの保護

25. 24 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. ◼セキュリティ・サービス群を利用して、顧客・内部データやコンポーネントを保護する対策を行う。

    ⚫ リージョンと可用性ドメイン (環境の分離) ⚫ Identity and Access Management (IAM) ⚫ Identity Cloud Service (IDプロバイダ) ⚫ Cloud Guard (監視・可視化・改善支援) ⚫ Vulnerability Scanning (脆弱性定期チェック) ⚫ Security Zones (ポリシー強制区画) ⚫ Vault (暗号鍵とシークレット資格情報) ⚫ Security Advisor (セキュア構成の作成支援) ⚫ Bastion (堅牢な踏み台サーバ) ⚫ Web Application Firewall (WAF、LB連携) ⚫ Audit (APIコールとコンソール操作の記録) ⚫ Certificates (プライベート認証局とTLS証明書) OCIのセキュリティ対策サービス Security for OCI Season2 出典：Oracle | セキュリティ・サービス(Security Services)

26. 25 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 代表的なセキュリティフレームワーク

    Security for OCI Season2 ◼デファクトスタンダードとなっているセキュリティフレームワークには以下のようなものがあり、それぞれ サイバー攻撃対策・内部不正対策、組織面・技術面の四象限で特長がある。 ⚫ NIST CSF： 米国立標準研究所(NIST) 発行のCyber Security Framework ⚫ CIS Controls：米インターネットセキュリティセンター(CIS) 発行のセキュリティ管理策 ⚫ ISMS： JISQ27001(ISO/IEC27001) に基づいた情報セキュリティ管理の仕組み ⚫ PCI DSS： クレジットカード業界セキュリティ団体(PCI SSC) 発行の対策基準 ◼クラウドサービス利用時のセキュリティ判断基準 ➢ サイバー攻撃対策に特化し、業界を問わず、 具体的な技術面での対策・設定に強みを持つ CISの提供するリソースを活用 出典：NRIセキュア | 【解説】NIST サイバーセキュリティフレームワークの実践的な使い方

27. 26 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. Center

    for Internet Security(CIS)の提供リソース Security for OCI Season2 ◼米国の政府・学術機関・企業がインターネット・セキュリティ標準化に取り組む団体。 ⚫ CIS Controls：サイバー攻撃に焦点を当てた具体的技術対策を示す18種類のフレームワーク ⚫ CIS Benchmarks：セキュリティ推奨事項・設定値を記載したドキュメント 出典：CIS Center for Internet Security 責任共有モデルのどのレイヤーをカバーするか

28. 27 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    Benchmarks の対象 Security for OCI Season2 ◼CIS Benchmarks は、非常に広範囲な製品・サービスを対象とするドキュメント群。 ⚫ パブリッククラウドの設定に関してはほぼ唯一の基準であり、デファクトスタンダートとなっている。 カテゴリ 対象の製品・サービス(例) Cloud Provider Alibaba Cloud, Amazon Web Services, Microsoft Azure, Google Cloud Platform, IBM Cloud, OCI Desktops & Web Browsers Apple Desktop OSX, Apple Safari Browser, Google Chrome, Microsoft Internet Explorer, Microsoft Windows Desktop 10/XP/NT, Mozilla Firefox Browser, Opera Browser, Mobile Devices, Zoom Mobile Devices Apple Mobile Platform iOS, Google Mobile Platform Network Devices Agnostic Print Devices, Check Point Firewall, Cisco Firewall Devices, Cisco Routers/Switches IOS, Cisco Wireless LAN Controller, Juniper Routers/Switches JunOS, Palo Alto Networks Server Software – Operating Systems Amazon Linux, CentOS, Debian Linux Server, IBM AIX Server, Microsoft Windows Server, Novell Netware, Oracle Linux, Oracle Solaris Server, Red Hat Linux Server, Slackware Linux Server, SUSE Linux Enterprise Server, Ubuntu LTS Server Server Software - Other Apache HTTP Server, Apache Tomcat Server, BIND DNS Server, FreeRADIUS, Microsoft IIS Server, IBM DB2 Server, Microsoft Exchange, Microsoft SharePoint Server, Microsoft SQL Server, MIT Kerberos, MySQL Database Server, Novell eDirectory, OpenLDAP Server, Oracle Database Server, PostgreSQL Database Server, Sybase Database Server Security Metrics Quick Start Guide, Security Metrics Virtualization Platforms Agnostic VM Server, Docker, Kubernetes, VMware Server, Xen Server Other Microsoft Access, Microsoft Excel, Microsoft Office, Microsoft Outlook , Microsoft PowerPoint, Microsoft Word 出典：CIS Benchmarks

29. 28 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    Benchmarks の定める項目と内容 Security for OCI Season2 ◼CIS Benchmarks はドキュメント内で以下のように詳細な対策が記載されている。 ⚫ 手順はコンソール操作およびCLIと具体的な出力結果が記載されており、システマティックに判断が可能。 項目 内容 推奨事項 対象を堅牢化するための具体的な運営・設定 評価ステータス 自動化できるもの(Automated)、手動で行うもの(Manual) プロファイル定義 レベル1：基本的な対策、レベル2：拡張対策 説明 推奨事項の説明 論理的根拠 設定すべき理由 影響 設定する際に考慮すべき影響 監査 適切に設定されているかの確認する手順 修復 適切に設定するための手順 デフォルト値 関連する設定項目のデフォルト値 リファレンス 設定・方針の参考リンク CIS Control CIS Control で定義されている対策フレームワークとのマッピング MITRE/ATT&CK MITRE/ATT&CK で定義されている脅威パターンとのマッピング* ➢ 自動化できるもの(技術項目)と手 動で行うもの(運用・方針)と位置 づけ ➢ 適用レベルを細分化し、適用タイ ミングと機密性によって調整 1. アカウント作成後すぐ実施 2. サービス利用までに実施 3. 機密データ取扱い時に実施 4. 機密性が高い場合に検討 *AWS/Azureから順次対応中(2021/5～)

30. 29 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. (参考)CIS

    Benchmarks 本文 Security for OCI Season2 推奨事項 プロファイル 監査方法 コンソール 修復方法 CIS Control との対応 根拠 説明 監査方法 コマンドライン 参考URL *MITRE ATT&CKとのマッピング情報は別紙一覧表(Excel)に記載 出典：CIS Benchmarks

31. 30 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. AWS

    Security Hub - AWS独自、CIS v1.2.0、PCI DSS等に対応 Microsoft Defender for Cloud(旧Security Center) - Azure独自、CIS v1.1.0、NIST SP 800-53等に対応 Google Cloud Security Health Analytics - GCP CIS v1.1.0、NIST SP 800-53等に対応 OCI Cloud Guard - OCI独自、CIS v1.1.0等に対応 (参考)パブリッククラウドのCISベンチマーク準拠チェックサービス Security for OCI Season2

32. 31 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    Benchmarks の定めるセキュリティ対策 Security for OCI Season2 ◼各パブリッククラウドの CIS Benchmarks は共通的な対策方針となっている。 ⚫ 観点さえ押さえれば、他のパブリッククラウドでも応用可能 ⚫ OCI特有の考え方・サービス仕様として押さえるべき点は以下 • ネットワーク：VPC/VCN・セグメントの持ち方、GW・ピアリングの接続形態、FW・ACLの制御仕様が異なる。 • コンパートメント：OCI独特の概念。論理的な組織構成で、リソースアクセス、権限継承の設計ポイント。 • Cloud Guard：OCI独自のセキュリティ統合サービス。 ➢ そのまま利用する訳ではなく、組織の対応レベルに応じた調整、合意のうえでの代替策も必要 ◼概ね以下の章構成だが、サービスの設定単位での対応となるため対策の数・粒度は異なる。 1. Identity and Access Management(IAM) 2. Logging / Monitoring 3. Networking 4. VM / Storage / Database / Serverless ※ 5. Security / Compliance ※Kubernetes関連(AWS EKS/Google GKE/Oracle OKEなど)は別のベンチマークとして分離

33. 32 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. ◼

    主要なパブリッククラウド の CIS Benchmarks の項目数は以下。 ⚫ AWS は Monitoring(ログメトリック、アラーム)の設定項目が多い。 ⚫ Azure は Security(Azure AD、Microsoft Defender)関連の設定項目が多い。 ⚫ Google Cloud は Database(Cloud SQL、PostgreSQL、MySQL) の設定項目が多い。 ⚫ OCI はデフォルト有効化済みや設定機能がない(暗号化解除できないなど)ため設定項目が少ない。 CIS Benchmarks の推奨事項 Security for OCI Season2 AWS Azure Google Cloud OCI Version 1.4.0 1.4.0 1.3.0 1.2.0 最終更新 2021/5/28 2021/11/26 2022/3/31 2022/4/13 IAM 21 23 15 13 Networking 4 6 10 8 Logging / Monitoring 11+15 15 12 16 VM - 7 11 - Storage 7 11 2 6 Database - 18 30 - Serverless - 11 3 - Security / Compliance - 15+5 - 2 合計 58 111 83 45

34. 33 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    OCI Foundations Benchmark 主なアップデート Security for OCI Season2 ◼更新4項目 1. 方針参照：CIS Foundations Benchmark 項目に CIS Controls v8の方針をマッピング 2. 章立変更：4章 Object Storage を Storage に変更 3. 手順修正：ユーザーの変更に対して通知が構成されていることを確認 - CLI Audit step 3 4. 手順修正：IAM 管理者がテナント管理者グループを更新できないようにする - 修復セクション ◼追加10項目 1. OCI Instance、Cloud Database、および Functionが OCI リソースにアクセスするために、ダイナミックグループが使用されて いることを確認 2. ストレージのサービスレベル管理者が、自分が管理しているリソースを削除できないようにする 3. Oracle Integration Cloud (OIC) アクセスが、許可されたソースに制限されていることを確認 4. Oracle Analytics Cloud (OAC) へのアクセスが、許可されたソースに制限されているか、VCN内に展開されていることを確認 5. Oracle Autonomous Shared Databases (ADB) へのアクセスが、許可されたソースに制限されているか、VCN内に展開さ れていることを確認 6. Block Volume と File Storage Systems を追加、すべてのストレージサービスをサブセクション化 7. Object Storage バケットのバージョニングが有効であることを確認 8. Block Volume が顧客管理鍵 (CMK)で暗号化されていることを確認 9. ブートボリュームが顧客管理鍵 (CMK)で暗号化されていることを確認 10. File Storage Systems が顧客管理鍵 (CMK) で暗号化されていることを確認

35. 34 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. パブリッククラウドサービスの三大構成要素

    Security for OCI Season2 ◼パブリッククラウドのサービス群を大別すると、以下３つの構成要素に分類できる。 ① コンピューティング：仮想サーバ、ストレージ、ネットワーク等、システム構築に利用する機能 ② 運用／監視 ：１．が正常に稼働するためシステムの運用状態を監視する機能 ③ 認証／認可 ：サービス提供されるクラウドの機能に対し、適切なユーザに適切な権限を与える機能 コンピューティング 認証／認可 運用／監視 Subnet C 10.0.30.0/24 Subnet D 10.0.30.0/24 Subnet B 10.0.30.0/24 ORACLE CLOUD INFRASTRUCTURE (REGION) Availability Domain 1 Availability Domain 2 AD3 Subnet A 10.0.30.0/24 Bastian Server Primary Database Loaded Balanced Web Servers Standby Database Database System Object Storage Identity & Access Management VPN Bare Metal Compute Database System Dynamic Routing Gateway VCN Load Balancer Virtual Machine Virtual Machine Cloud Guard Notifications Alarming Monitoring Healthcheck Compartments Tagging Auditing Logging Secur ity Lists Policies Groups

36. 35 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. ◼CIS

    OCI Foundations Benchmark が定める５対策領域の適用範囲は以下。 1. IAM 2. ロギング／モニタリング 3. ネットワーキング 4. ストレージ ※ 5. 資源管理 ※VM、データベース暗号化は デフォルト実施のため項目なし CIS OCI Foundations Benchmark の適用範囲 Security for OCI Season2 4. スト レージ 3. ネットワーキング 5. 資源管理 1. IAM 2. ロギング／ モニタリング Subnet C 10.0.30.0/24 Subnet D 10.0.30.0/24 Subnet B 10.0.30.0/24 ORACLE CLOUD INFRASTRUCTURE (REGION) Availability Domain 1 Availability Domain 2 AD3 Subnet A 10.0.30.0/24 Bastian Server Primary Database Loaded Balanced Web Servers Standby Database Database System Object Storage Identity & Access Management VPN Bare Metal Compute Database System Dynamic Routing Gateway VCN Load Balancer Virtual Machine Virtual Machine Cloud Guard Notifications Alarming Monitoring Healthcheck Compartments Tagging Auditing Logging Secur ity Lists Policies Groups

37. 36 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    OCI Foundations Benchmark‐Identity and Access Management Security for OCI Season2 1.1 特定サービスでリソース管理するためのサービスレベル管理者を作成すること Manual Level 1 1.2 全てのリソースに対する権限がテナント管理者グループにのみ与えられていること Manual Level 1 1.3 IAM管理者がテナント管理者グループを更新できないこと Manual Level 1 1.4 IAMパスワード・ポリシーで14文字以上のパスワード長を必要とすること Manual Level 1 1.5 IAMパスワード・ポリシーでパスワードが365日以内に期限切れになること Manual Level 1 1.6 IAMパスワード・ポリシーでパスワードの再使用を防止すること(24世代) Manual Level 1 1.7 コンソール・パスワードを持つすべてのユーザーに対してMFAが有効になっていること Automated Level 1 1.1 サービスレベル管理者を作成する ⚫ サービスへのアクセスを厳密に制御し、最小権限の原則を実現する 1.2-1.3 テナント管理者グループに権限を設定し、変更できないこと ⚫ グループで管理者権限を制御 1.4-1.6 パスワードポリシーを適切に ⚫ パスワード長(12→14文字)、期限切れ(120日→365日)、再使用防止(5世代→24世代)に変更 ⚫ PCI DSS v4.0（2022/3/31公開）に従うならば、MFAやってれば1.5 パスワード有効期限は不要？ 1.7 MFAは必須

38. 37 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    OCI Foundations Benchmark‐Identity and Access Management Security for OCI Season2 1.8 ユーザーのAPIキーが90日以内にローテーションされること Automated Level 1 1.9 ユーザーの顧客秘密鍵が90日以内にローテーションされること Automated Level 1 1.10 ユーザー認証トークンが90日以内にローテーションされること Automated Level 1 1.11 テナント管理者ユーザ用にAPIキーが作成されていないこと Automated Level 1 1.12 すべてのOCI IAMユーザーアカウントに有効かつ最新の電子メールアドレスがあること Manual Level 1 1.13 OCI Instance、Cloud Database、および Functionが OCI リソースにアクセスするために、 ダイナミックグループが使用されていること Manual Level 1 1.8-1.10 クレデンシャルのローテーションを行う ⚫ 90日以内にローテーションし、関連付けられたユーザーと同じレベルのアクセスを行う(異動などを考慮) 1.11 管理者権限でAPIキーを実行しない 1.12 メールアドレスは組織管理されたものを使い、個人のものを使わないこと ⚫ 異動・組織改正や退職時に問題になることが多い。 1.13 動的グループを使用すると、 OCIのサービス群を(ユーザー・グループと同様に)プリンシパルのアクターとしてグ ループ化でき、ポリシーを作成して、インスタンスがAPIコールを実行できる。

39. 38 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    OCI Foundations Benchmark‐Networking Security for OCI Season2 2.1-2.4 SSH(22)とRDP(3389)のインターネット向け全開放を、セキュリティリストとNSGで防止 ⚫ セキュリティリスト：セグメント単位で設定(ネットワークチーム) ⚫ ネットワークセキュリティグループ(NSG)：VNIC単位で設定(サーバチーム) ⚫ 公式はNSG推奨だが、CISは併用運用を想定。 ※ホワイトリスト形式であり、どちらかが許可すると有効化 ⚫ SSHとRDPを使いたい場合は、デフォルトポートから変更する 2.5 デフォルトセキュリティリストではICMPのみ許可 ⚫ デフォルトでポート22が全開放されているので削除 2.6-2.8 IaaS内からSaaSを利用する際に、許可されたソースに制限すること ⚫ 「どこからでも安全なアクセスを許可する」で限定か、「仮想クラウドネットワーク」を選択 2.1 0.0.0.0/0からポート22への入力を許可するセキュリティリストがないこと Automated Level 1 2.2 0.0.0.0/0からポート3389への入力を許可するセキュリティリストがないこと Automated Level 1 2.3 0.0.0.0/0からポート22への入力を許可するネットワークセキュリティグループがないこと Manual Level 1 2.4 0.0.0.0/0からポート3389への入力を許可するネットワークセキュリティグループがないこと Manual Level 1 2.5 すべてのVCNのデフォルトセキュリティリストがICMPを除くすべてのトラフィックを制限すること Automated Level 1 2.6 Oracle Integration Cloud (OIC) アクセスが、許可されたソースに制限されていること Manual Level 1 2.7 Oracle Analytics Cloud (OAC) へのアクセスが、許可されたソースに制限されているか、VCN内に展開されていること Manual Level 1 2.8 Oracle Autonomous Shared Databases (ADB) へのアクセスが、許可されたソースに制限されているか、またはVCN 内に展開されていること Manual Level 1

40. 39 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    OCI Foundations Benchmark‐Logging and Monitoring Security for OCI Season2 3.1 Auditログの保存期間が365日に設定されていること Automated Level 1 3.2 リソースでデフォルトタグが使用されていること Manual Level 1 3.1 Auditログの保存期間を90日→365日に変更する ⚫ ログ・リテンションは、アクティビティ・ログをどのくらいの期間保持するかを制御。 ⚫ 調査によると、サイバー侵害を検知するまでの平均時間(MTTD)は、一部の分野では30日、その他の分野で は206日。最低でも365日以上のログを保持することで、インシデントへの対応が可能に。 ⚫ 365日は最大値。それ以上のログ保存をする場合は、エクスポートしての保存を検討する。 3.2 デフォルトタグを使用し、タグをサポートするすべてのリソースが作成時にタグ付けさせる ⚫ タグは Compartment に適用され、子 Compartment にも継承される。 ⚫ "CreatedBy "のようなデフォルトタグを Root Compartment レベルで作成することを推奨。 ⚫ 監査ログを検索しなくても、誰がリソースを作成したかという情報を得ることができる。 ⚫ タグのNamespaceが IAM ポリシーによって保護されていること(ユーザーによるタグ変更の防止)。 変更なし

41. 40 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    OCI Foundations Benchmark‐Logging and Monitoring Security for OCI Season2 3.3 監視アラートを受信するための通知トピックとサブスクリプションを少なくとも1つ作成 Manual Level 1 3.4 アイデンティティ・プロバイダ の変更の通知が構成されていること Manual Level 1 3.5 IdPグループ・マッピング 〃 Manual Level 1 3.6 IAMグループ 〃 Manual Level 1 3.7 IAMポリシー 〃 Manual Level 1 3.8 ユーザー 〃 Manual Level 1 3.9 VCN 〃 Manual Level 1 3.10 ルートテーブル 〃 Manual Level 1 3.11 セキュリティ・リスト 〃 Manual Level 1 3.12 ネットワークセキュリティグループ 〃 Manual Level 1 3.13 ネットワーク・ゲートウェイ 〃 Manual Level 1 3.3 OCIの設定変更を管理者に通知するためのトピックを作成する ⚫ Notificationの通知方法としてEメール、HTTP、PagerDuty、Slack、OCI Functionを検討。 3.4 – 3.13 IAM/ネットワーク関連の設定変更を検知する ⚫ 意図しない変更が行われていないか、管理者が把握し、適切なアクションを行うこと。 変更なし

42. 41 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    OCI Foundations Benchmark‐Logging and Monitoring Security for OCI Season2 3.14 すべてのサブネットでVCNフローロギングが有効になっていること Manual Level 2 3.15 テナントのルートコンパートメントでCloud Guardが有効になっていること Manual Level 1 3.16 作成したカスタマーマネージドキー(CMK)が少なくとも年1回ローテーションされていること Manual Level 1 3.17 すべてのバケットで書き込みレベルのオブジェクトストレージのロギングが有効になっていること Manual Level 2 3.14 仮想ネットワーク内を流れるトラフィックを監視し、異常なトラフィックを検出 3.15 Cloud Guard はテナントの最上位で有効化し、テナント内の全てを監視する ⚫ 安全でない方法で設定されたリソースや、危険なネットワークアクティビティを自動的に監視する。 3.16 鍵をローテーションし、万が一、鍵が漏洩した場合のリスクを軽減する ⚫ 鍵を毎年ローテーションすることで、1つの鍵バージョンで暗号化されるデータが制限される。 3.17 Object Storage の書き込みログを有効化する ⚫ `requestAction` プロパティに `PUT`, `POST`, `DELETE` のいずれかの値が格納されるようになる。 変更なし

43. 42 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. CIS

    OCI Foundations Benchmark‐Object Storage Security for OCI Season2 出典：https://docs.oracle.com/ja-jp/iaas/Content/Object/Tasks/managingbuckets.htm 4.1 Object Storage 4.1.1 Object Storageのバケットがパブリックに公開されないようにすること Manual Level 1 4.1.2 Object Storage BucketsがCustomer Managed Key (CMK)で暗号化されていること Manual Level 2 4.1.3 Object Storageバケットのバージョニングが有効であること Automated Level 2 4.2 Block Volumes 4.2.1 Block Volume が顧客管理鍵 (CMK)で暗号化されていること Manual Level 2 4.2.2 ブートボリュームが顧客管理鍵 (CMK)で暗号化されていること Manual Level 2 4.3 File Storage Service 4.3.1 File Storage Systems が顧客管理鍵 (CMK) で暗号化されていること Manual Level 2 4.1.1 必要がない場合、パブリック・バケットを作成しない ⚫ (想定外の公開による)企業のデータ損失のリスクを低減する。 ⚫ BUCKET_CREATE もしくは BUCKET_UPDATE 権限を不特定多数に与えないこと。 ⚫ バケットをパブリックにできないセキュリティ・ゾーン利用も検討する。 4.1.2、4.2.1、4.2.2、4.3.1 利用者自身で管理する暗号化キーを利用する ⚫ デフォルトの Oracle Managed Key ではなく、ユーザーが管理するCMKを使う。 ⚫ バケットの暗号化キーのライフサイクル管理を独自に行うことができ、データのセキュリティレベルを向上させる。 4.1.3 バージョニングを有効化し、データ誤削除に備える

44. 43 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. 5.1

    テナント内にクラウドリソースを保存するためのコンパートメントを少なくとも1つ作成すること Manual Level 1 5.2 ルートコンパートメントにリソースが作成されていないこと Manual Level 1 CIS OCI Foundations Benchmark‐Asset Management Security for OCI Season2 5.1 コンパートメントを作成する ⚫ クラウドリソースを経営資源(アセット)ととらえ、組織的に管理する。 ⚫ コンパートメントは論理的なグループで、隔離、組織化、権限付与のレイヤーを追加する。 ⚫ 権限のないユーザーがOCIリソースにアクセスすることを困難にし、統制レベルを上げる。 5.2 リソースは個別のコンパートメントに分けて作成する ⚫ ルート直下に作らず、個別コンパートメントにレベル分けしてリソース配置する。 ⚫ リソースを整理し、より詳細なアクセスコントロールを行う。 出典：https://docs.oracle.com/ja-jp/iaas/Content/Identity/Tasks/managingcompartments.htm 変更なし

45. 44 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. (参考)CIS

    OCI Foundations Benchmark を満たすランディングゾーン Security for OCI Season2 出典：Oracle | Deploy a secure landing zone that meets the CIS Foundations Benchmark for Oracle Cloud ◼CISベンチマークのセキュリティガイダンスを満たす構成 ⚫ Terraform ベースのテンプレートが公開 ⚫ ネットワーク、セキュリティ、アプリ開発等の管理者が 各々アクセスできる対象をコンパートメントで規定 ⚫ 推奨構成 • 重複しないCIDRでネットワークを構成 • Cloud Guard によるセキュリティの監視 • セキュリティで保護されたプロビジョニング ⚫ 考慮事項 • コンパートメントによるアクセス許可 • ネットワーク構成(スタンドアロン / ハブ&スポーク) • コード再利用とテンプレートのカスタマイズ

46. 45 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. ◼セキュリティ対策の可視化と自動化サービス

    ⚫ Cloud Guard • OCIのセキュリティに関する設定状況を可視化、アクティビティの監視、是正。無料。 ⚫ Data Safe • データベースセキュリティ対策の可視化と自動化 ◼セキュリティポリシーの適用サービス ⚫ コンパートメント • 利用リソースを論理的にグルーピングする機能、ポリシーの適用をリソース範囲を指定して柔軟に設定できる ⚫ デフォルト暗号化 • 暗号化しない、という選択肢がそもそもない ➢デフォルトや標準機能として対策がなされている項目が多く、利用者が設定する項目が少ない セキュリティ観点からみたOCIの特長 Security for OCI Season2

47. 46 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. はじめに

    01 Security Architecture for OCI 02 Security Setting for OCI 03 まとめ 04

48. 47 Copyright(C) Nomura Research Institute, Ltd. All rights reserved. まとめ

    Security for OCI Season2 ◼ 提供者と利用者の責任範囲を把握し、外部リソースを活用する。 ⚫ 提供者の「クラウドのセキュリティ」は、第三者認証の取得状況、ホワイトペーパーを確認 ⚫ 利用者の「クラウドにおけるセキュリティ」は、公開ナレッジ、ベンチマーク、ベストプラクティスを活用 ◼ 「クラウドにおけるセキュリティ」は共通する考え方で対処できることが多い。 ⚫ IAM・認証認可、ネットワーク保護、ロギング・モニタリングの３つが基本 ⚫ 暗号化、多重化・冗長化、バックアップ、分析・レポーティングでより強固にする ⚫ 統制レベルによるアカウント分割、予算設定なども保護対策として必要 ⚫ 固有サービスごとの保護設定 ＋ セキュリティツール・サービスの利用 ◼ 初期設計・設定に加え、継続監視・改善を行うことが重要。 ⚫ 初期段階からセキュリティを取り込む（シフトレフト：早い段階から相談を） ⚫ ツール・サービス活用により継続監視・改善を省力化・自動化
49. None