第15回しゃちほこオラクル俱楽部

攻めと守り両面を支える堅牢なセキュリティの
必要性と実現方法
2021年8月24日
日本オラクル株式会社
事業戦略統括事業開発本部
大澤清吾, CISSP

本日お伝えしたいこと
Copyright © 2021, Oracle and/or its affiliates
2
01
02
03
セキュリティ対策でのトレンドと日本が取り組むべき点
Oracle Cloud Infrastructureは、セキュリティは最初
から組み込まれ常にオン。コンプライアンスも遵守
クラウドセキュリティで課題となる人的ミスを
排除する自動化されたセキュリティ管理を提供

1. セキュリティトレンド
2. サイバーセキュリティモデルの変遷
3. オラクルのセキュリティへの取り組み
アジェンダ
3

日本の官民の情報セキュリティに対する考え方は、2ステップ遅れているのが現状
情報セキュリティに対する考え方の進化：
ステップ 1
専守防衛: 境界防御
ステップ 2
守りのDX: データ中心の縦深防御
ステップ 3
攻めのDX: 攻めの情報セキュリティ
主たる目的
主要施策（例）
• ネットワーク層でのアクセス管理
• 物理的な入退館管理
• セキュリティ・バイ・デザイン
• セキュリティ運用の自動化
• 管理者といえども、全データへのアク
セスができないような仕組みの具備
• データを行・列単位でアクセス管理
• 個人情報保護を担保した上での、
情報連携・共有の推進
• データが複製・連携された際の、
セル単位でのアクセス管理
価値を生み出せる資産
となるデータを堅牢に守る
データを守りつつ、部署・他社間で
情報連携し企業価値を向上する
不審者、攻撃者が自社内に
入り込まないよう、境界を防御
4
多くの日本企業が考える情報セキュリティ
▼
欧米先進企業が考える情報セキュリティ
▼

情報セキュリティにおける脅威は、外部脅威と内部脅威の2つに分類することが出来ます。標的型攻撃は起点となる
外部脅威の対策だけではなく、内部脅威に対するセキュリティ対策も重要となります。
情報セキュリティにおける脅威
5
外
部
脅
威
無差別型攻撃
 成功事例の多いシステムの脆弱性を利用し、無差
別に行う
 システムの脆弱性（パッチの未適応）を狙う
 “85% ”のセキュリティ侵害は、CVEの発表後に発生(*1)
 クラウドサーバーをネット接続から“約52秒後”にサイバー攻撃の標的(*2)
 Amazon S3バケットの設定ミスを悪用し、無差別にクレジット
カード情報を窃取するスクリプトがばら撒かれる(*3)
標的型攻撃
 組織の脆弱性を推定して、環境に応じて攻撃を行い、
成功するまで標的を繰り返し攻撃する
 Webアプリケーションの脆弱性をついた攻撃により内部に侵入(*4), インスタンスの資格情
報を盗み、ストレージから“暗号化されていないDBバックアップファイル”を奪取
 被害者のネットワークへのアクセスを取得し、偵察活動を行う、データを盗み出すための
ネットワークリソース、バックアップ、またはその他の機密ファイルを探し出し、 “攻撃者は人
手によりランサムウェアを展開し、被害者のデータを暗号化“する (*5)
内
部
脅
威
従業員による不正アクセス
 内部で権限を持つアカウントから重要な情報にアクセ
スし、外部に持ち出す
 従業員が“顧客サポート用のデータベースへ不正アクセス” (*6)し、顧客情報を不正に
持ち出し、第三者へ売却
 SNSから技術開発担当へ接触し営業秘密情報持ち出し、中国企業に情報を提供
(*7)
 ライバル企業に転職した技術者が、転職前の企業の営業秘密情報を不正に取得(*8)
*1 : CISA: Top 30 Targeted High Risk Vulnerabilities *2 : https://japan.zdnet.com/article/35135993/ *3 : https://gigazine.net/news/20190712-magecart-hack-amazon-s3-buckets/
*4 : https://searchsecurity.techtarget.com/news/252467901/Capital-One-hack-highlights-SSRF-concerns-for-AWS *5 : https://www.ipa.go.jp/files/000084974.pdf
*6 : https://blog.trendmicro.com/trend-micro-discloses-insider-threat-impacting-some-of-its-consumer-customers/ *7 : https://www.nikkei.com/article/DGXMZO64989980U0A011C2AC8Z00
*8 : https://www.nikkei.com/article/DGXZQODG1204J0S1A110C2000000
内
部
脅
威
対
策
が
必
要

2020,21年：国内の情報漏洩事件(10万件以上 or 報道で大きく取り上げられたもの)
日付法人・団体名件数・人数漏洩原因
境界防御
で防げたか
漏洩内容
8/6 警視庁 26万件内部不正 ×
免許データを不正削除や捜査情報を無断で閲覧。仕事上のミスで叱られたことに反発し、上司のパソコン
でプログラムを実行
8/5 村田製作所 72,460件内部不正 × 会計システムの更新プロジェクトに携わっていた中国の再委託先の社員が、取引先情報などを不正に取得
4/1 ランドブレイン 200超の自治体不正アクセス自治体向けサービスのサーバーがランサムに感染し、取引先自治体の個人情報が流出した可能性
3/31 神奈川県警詳細調査中内部不正 × 捜査で知り得た情報を漏らす見返りに、現金を受け取っていた可能性がある
3/29 東急コミュニティー約5000件内部不正 × 元従業員が不正に顧客の氏名、住所、電話番号、マンション名、部屋番号を外部の法人へ持ち出し
3/29 松井証券 210名/総額2億円内部不正 × システム開発担当企業のSEが、顧客のID、パスワード、暗証番号を不正入手
2/12 マイナビ 21万2,816名不正アクセス不正ログインが発生し、サービス利用者21万2,816名分の履歴書情報が流出
1/21 DeNA 8件内部不正 × カスタマーサポート業務において、お客様の個人情報を不正に使用し、カードローンの不正申し込み
1/15 ソフトバンク 170の機密ファイル内部不正 × ライバル企業に転職した元社員の社外秘情報持ち出し
12/8 LDH JAPAN 4万4,663件不正アクセスオンラインショップがサイバー攻撃を受け、クレジットカード情報4万4,663名分が流出の可能性
12/7 PayPay 最大2007万件不正アクセス × PayPayに対し、約260万の加盟店情報と従業員やパートナー企業に関する情報へ不正アクセス
11/20 三菱電機 8,635件不正アクセスクラウドサービスへの攻撃により、取引先企業や個人事業主の金融口座情報について、情報が流出
11/17 peatix lnc. 677万件不正アクセスイベント管理サービスの677万件の氏名,メースアドレス,パスワード等の利用者情報が流出した可能性
11/16 カプコン合計約35万件不正アクセスサイバー攻撃により、保有する顧客・従業員等の情報合計約35万件に流出の可能性があると発表
9/8 NTTドコモ 120件/2,542万円不正利用ドコモ口座を悪用し、七十七銀行、東邦銀行、中国銀行など複数の銀行の口座で不正出金が発生。
7/22 みずほ総合研究所約250万件媒体の誤廃棄 × 顧客情報約66万9千件、顧客のサービス利用実績を記録した外部記憶媒体を誤って紛失(廃棄)
6/15 キタムラ最大40万件
パスワードリスト
型攻撃
× Webサイトへの不正アクセスにより、顧客情報最大40万件が流出と一部顧客でポイントの不正利用
4/24 任天堂約16万件
パスワードリスト
型攻撃
× 「ニンテンドーネットワークID」約16万件および、一部の「ニンテンドーID」について、外部からの不正ログイン
4/19 リジョブ最大20万6991件不正アクセステストサーバーのデータベースに2015/12/5以前に登録していた最大20万6991件の流出の可能性
4/13 Classi 最大122万件不正アクセス教育機関向けSaaS「Classi」の最大122万件の利用ID・暗号化されたパスワードが流出の可能性
1/20 三菱電機
個人情報8122件
その他機密情報
不正アクセス
ウイルス対策システムの脆弱性を突いた攻撃により、従業員・採用応募者の個人情報、技術・営業資料
などの機密情報が外部に流出した可能性。
6

システム開発等を担当するパート
ナーSEが、2017-2019年の間に、210
名分のID、パスワード、取引暗証番
号などを不正入手
課題
• システム管理担当者が顧客情
報にアクセスできてしまった
• 多要素認証が必須ではなかった
解決策
• 管理者へのアクセス制御の実現
• 厳格な本人確認:多要素認証
会計システムの更新プロジェクトに携
わっていた中国の再委託先の社員が、
取引先情報など約7万件を不正に
取得
課題
• 中国から個人情報にアクセスす
る業務を実施
• 個人情報を伏字化していない
解決策
• 業務委託先からのアクセス・
ルートの制限
• 開発データのマスキング
特権IDを不正利用し、捜査情報や
人事情報に不正アクセス。さらに、上
司のパソコンで不正プログラムを実行
し、26万件の運転免許データを削除
課題
• 管理者への権限過剰付与
• 改ざん対策ができていなかった
• 不正な操作を検知できなかった
解決策
• 管理者の職務分掌の実現
• データの改竄・消去の防止
• 異常操作の早期発見＆警告
昨今の事案
7
再委託先からの不正アクセスシステム担当による内部不正
パートナー企業による不正アクセス

セキュリティインシデントが与える経営への影響とクラウドセキュリティ対策の課題
8
60
%
重大な侵害を受けたことを公表した
中小・中堅企業の約60%は
6~12か月以内に倒産(*1)
企業の経営への影響
*1 出典：https://www.itpro.co.uk/security/data-breaches/357941/how-much-will-a-data-breach-really-damage-your-organisations
*2 出典： Oracle and KPMG Threat Report 2020
*3 出典： https://www.darkreading.com/operations/85--of-data-breaches-involve-human-interaction-verizon-dbir/d/d-id/1341012
設定ミスによるデータ損失の発生
51
%
人手を返した運用により
設定ミスに起因した、データ
の損失が51%発生 (*2)
85
%
データ漏洩の85%は
フィッシング、人的ミス、認
証情報の紛失・盗難など
人的要素を含む (*3)
データ漏洩における人的要素

アジェンダ
9

10 Copyright © 2021, Oracle and/or its affiliates
サイバーセキュリティモデルの変遷
1990 2000 2010 2020 …………
データ量
境界防御
（Perimeter Defense）
縦深防御
（Defense in Depth）
サイバーレジリエンス
（Cyber Resilience ）
ゼロトラスト又はデータドリブン防御
Zero Trust Defense or
Data-Driven Defense
Build Security Into Your
Network’s DNA: The Zero Trust
Network Architecture
Forrester 2010
Policy Decision Point(PDP)
Policy Enforcement Point(PEP)
X.500
電子ディレクトリ・サービス
情報機関改革及び
テロ予防法（2004）
Federal Identity, Credentialing
and Access Management (FICAM)
De-Perimeterization (非境界化)
- Jericho Forum 2007
NIST SP 800-207 Zero Trust Architecture, 2020
NCSC Zero trust principles – Beta Release, 2020
DoD Zero Trust Reference Architecture, 2021
Executive Order on Improving
the Nation’s Cybersecurity, 2021
DoDブラックコア
The Road to Zero Trust(Security):
DIB Zero Trust White Paper,
Defense Innovation Board, 2019
出所：Seigo Osawa & Hideki Matsuoka, Oracle Corporation Japan, 2021
エドワードスノーデン (2013)
アメリカ同時多発テロ事件 (2001) 重要インフラへの攻撃 (2021)
 セキュリティモデルは数年毎に大波を迎え、過去の思想を塗り替えて成長
 モデル変更の理由は、サイバー攻撃の高度化、組織化（国家支援型等）
 過去のモデルの全否定ではなく、境界防御をやりながらゼロトラストを目指す

ゼロトラスト・アーキテクチャの定義 (NIST SP 800-207)
リソースにアクセスしてくるすべてのセッションを
「信頼できないもの」とみなして毎回、認証・認可の
プロセスを実施することでセキュリティを確保する方式。
•認証：アクセス者がリソースにアクセスしてよいかを判断する
•認可：アクセス者がアクセスしてよいリソースの範囲を判断する。
従来のネットワーク境界型のセキュリティ確保方式の代わ
りに出てきた概念。
ゼロトラストセキュリティとは？
11 出典：NIST Special Publication 800-207 https://csrc.nist.gov/publications/detail/sp/800-207/final
内部アクセスでも無条件に
信頼せず毎回権限を確認
社内システム
にアクセス
業務に関わるNWの構成は年々複雑化
複雑化する企業NWや内部犯によるデータ漏洩等への対応を強化
内部からの不正アクセス
は防げない
一度境界を突破されると横断的に
他システムのデータも盗まれてしまう

アメリカ合衆国国防総省(DoD) ：ゼロトラストセキュリティを提供
12
出典：https://www.afcea.org/content/dod-offer-zero-trust-architecture-year
ネットワーク中心のセキュリティモデルからデータ中心の
セキュリティモデルへのこのパラダイムシフトは、
最初にデータと重要なリソースを保護する方法に重点を置き、
次にネットワークに重点を置く
すべてを許可して例外で拒否するのではなく、すべての
[ネットワークアクセス]を拒否して例外で許可するという
基本的な前提を変更
巧妙な攻撃者は私たちの資格情報を盗み、特権に昇格し、
データを盗み出します。だからこそ、データ侵害を防ぐために、
ゼロトラストを採用する

1．ユーザーの検証
[認証＃1]
2．デバイスの検証
[認証＃2]
3．アクセス権の検証
[認可]
ゼロトラストへの道：データを守るための対策
IDアクセス管理
(利用の都度)
ネットワーク及び
デバイスの管理
必要最小限の権限付与
（毎回実施）
出典：Kurt DelBene, Milo Medin, Richard Murray, The Road to ZeroTrust(Security): DIB ZeroTrustWhite Paper, Defense Innovation Board, 9JUL2019, p.4.
PE/NPE
ユーザ／プログラム
ロール、属性及び
ポリシー等の整理
情報システム,物理システム
モバイル端末

各省庁で保存時と転送時のデータ暗号化と他要素認証が必須に
国家サイバーセキュリティ向上に関する大統領令
セキュリティベストプラクテイスとしてゼロトラストを採用
• SaaS, PaaS, IaaS などの安全なクラウドへ移行
各省庁は「保存時と転送時のデータへの暗号化」と
「多要素認証」の採用
• 180日以内に各省庁は採用が必須
• 本命令から60日毎に採用状況報告と採用計画の
提出
• 180日以内に採用不可の場合には国土安全保障
長官に報告
2021年5月12日付サイバーセキュリティに関する大統領令
14

ゼロトラストの考え方：この1年でお客様が気が付いたこと
EDRの導入の敷居が高い ID管理と職務分掌ができていない
そもそも守るべき情報がわからない多くの機密情報はDBに入っている
内部不正対策が進んでいないゼロトラストは侵入前提で対策する
リモートワークではリモートデスクトップが
使いものにならない
インターネットブレイクアウトが
必要となり境界防御から脱却

ゼロトラストセキュリティのアプローチ（Framework）
16
Zero Trust Network主軸のアプローチ
ID管理・N/W対策が中心
オラクルのアプローチ
データ・セントリック・セキュリティ
セキュリティ
ポリシー
ID管理
Detection & Response
データ
アプリ N/W
分析・可視化
自動化
Security
Enforcement
Endpoint(端末)
データ
ユーザー
アプリ
N/W

データ中心のセキュリティ対策のメリット
1. 境界防御対策に偏った対策のため、内部に
侵入された攻撃や内部不正に対処できない
2. アプリケーションが乱立しており、ポリシー変更・
セキュリティ強化が個別での対応で高コスト
3. 管理者全てのデータにアクセス可能なため、
不正者が当該管理者になりすまし盗み出す
4. 他社はデータベース単位でしかセキュリティ設
定が行えず、分散する
境界防御における課題データ中心のセキュリティ対策
1. データベースを仮想統合・集約し、保護することで、
内部に侵入された攻撃や内部不正を防ぐ
2. アプリケーション改修なく、暗号化、アクセス制御
などDB側の設定のみで短期間・低コストで実装
3. 管理者ユーザーを含め、どんなユーザーも必要な
範囲でのデータにしかアクセスできない
4. レコード/セル単位で制御することで、DBインスタン
スを超えた情報共有が可能
1 1
2 2
3 3
4 4

今後求められるセキュリティ対策と日本の取り組むべき点
考慮点ゼロトラストセキュリティの考え方セキュリティ対策例日本企業の状況
ネットワーク
• 通信を監視し、未許可のクラウドサービスの
利用を制限
• CASB
• Cloud Proxy
• WAF
グローバルより
注力している
デバイス
• デバイスの認証を常に実施
• 全てのデバイスの保護を徹底
• EDR、EPP
• MDM
グローバルと同様
IDアクセス管理
• ID・ユーザを必ず検証
• 必要に応じて多要素認証(MFA)を実施
• IAM
• PAM
• MFA
対応が遅れている
アプリケーション • すべてのアクセスを制限し、不正操作を監視
• CASB、UEBA
• 標的型メール対策
• SIEM、SOAR
グローバルと同様
データ
• データが漏洩・改ざんされないように保護
• 必要最小限の権限付与
• 暗号化
• アクセス制御
対応が遅れている
18 出典: Oracle and KPMG Threat Report 2020
安全なクラウドセキュリティ環境を整備するためには、ネットワークセキュリティだけでなく、
ゼロ・トラスト・セキュリティな対策が必要となります。

ID・アクセス管理(IAM)で日本企業が苦労している点発見された設定ミス：
グローバルと差が大きいTOP3
IDアクセス管理・データセキュリティの対応状況について：調査結果
19
1位
2位
セキュリティグループの誤設定
3位
機密情報が暗号化されていない
過剰な権限付与
37% 45%
33% 40%
25% 32%
IDアクセス管理・データセキュリティ対策に関して、日本企業は認証に加えて利用者に必要となる
最小権限の実現と誤設定の早期検知、暗号化に課題があり、改善が必要となっています。
アクセス
制御
暗号化
出典: Oracle and KPMGThreat Report 2020
① 人事イベントとの連携
② クラウドサービスへのIAMによる制御
③ アプリケーション/モバイル利用の制御
④ 権限管理
⑤ 多要素認証
太字：グローバルとの差が多いもの

ゼロトラスト時代の情報保護における課題と解決策
アカウント乗っ取りへの対策
1. アイデンティティによる認証・認可
• 認証・認可の一元化
• 多要素認証、リスクベース認証
格納データの暗号化
2. 保存状態でのデータ不可視化
• データベースの暗号化：
OSが不正侵入時の耐性強化
最小権限の実現
3.職務分掌の実現
• データベース管理者の職務分掌
• DB管理者の業務データ・アクセスを遮断
IDアクセス
管理
保存状態
利用状態
監査・検知
4. 操作ログの取得・保全、設定ミスの検知と是正
• 異常操作の発見＆警告、ログの改竄・消去の防止
• リスクのある設定を自動検知
モニタリング

アジェンダ
21

共有責任 = クラウド業者は仕組みを提供、お客様は管理作業に責任
共有責任モデルではお客様が管理するセキュリティは幅広い
アプリがアクセスするデータ
アプリケーション
Middleware
データベース
OS
Virtual Machine
サーバー・ストレージ
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
IaaS
PaaS
SaaS
ユーザー管理
クラウド
事業者管理
共有責任
22

共有責任モデル：Oracle Cloud Infrastructure の場合
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
IaaS
PaaS
SaaS
ユーザー管理
クラウド
事業者管理
共有責任
お客様側でツールの活用や
セキュリティ構成の管理を実施
SECURITY ON
THE CLOUD
SECURITY OF
THE CLOUD
オラクルはセキュアなクラウド・インフラ
とサービスを提供
23
Oracle が力を入れて
取り組んでいるところ

SECURITY
PART OF OUR DNA
Security is not Optional, it is FOUNDATION.
• 1977 年からビジネス・スタート。最初の顧客は CIA
• 米国政府の要求に応えるセキュリティ技術を提供
• セキュリティは追加できると考えず、組み込むべきもの
• オラクルの製品とクラウド・サービスでは、セキュリティは
最初から組み込まれ、常にオン。

オラクルが実現する堅牢なセキュリティ
データ中心の
セキュリティ
自動化された
セキュリティ
管理
セキュリティ
・バイ・デザイン
SECURITY ON THE CLOUD
SECURITY OF THE CLOUD
＋
強力、完全なテナント分離
強制的な暗号化
(DB/Storage/Network)
階層型権限管理
ボット対策とWAF(*)
セキュリティポリシーの自動有効
リスクのある設定を自動検知
25
Defense
In
Depth
重要情報の隠蔽セキュリティ構成
機密データ発見アクティビティ監査
DBセキュリティ対策の自動化
* WAF: Web Application Firewall
脆弱性スキャン
自動化されたログ分析
脆弱性自動修復
多要素認証とリスクベース認証
特権ユーザーのアクセス制御

クラウドプラットフォームレベルでの環境隔離と暗号化
階層型権限管理
 部署ごとの権限設定を実現
 コンパートメント間のリソースアクセ
スが可能、部署を跨いだシステム
構築も容易
 コンパートメント毎のクオータ設定に
より使い過ぎを抑止
強制的な暗号化
 すべてのデータ・サービスはOracleが
フルマネージドで暗号化
 データベースファイル,ストレージ
BlockVolume, BootVolume
 すべてのネットワーク通信も暗号化
強力、完全なテナント分離
 分離された仮想ネットワークにより
情報漏洩のリスクを最小化
AD2
リージョン1
AD2
リージョン2
すべてのデータ
を暗号化
MACSec
高速・スケーラブルな
Layer2 暗号化
部署ごとにCompartment（サブアカウント）を作成
「コンパートメント」モデル
テナント
コンパートメント A コンパートメントB
ユーザーグループポリシー
ポリシーポリシー
部署-A 部署-B
Hypervisor
VM VM VM
VM VM VM
ホストOS / カーネル
ネットワーク仮想化
物理サーバー
26
セキュリティ
・バイ・デザイン

多層防御によるデータ中心のセキュリティ
外部からの攻撃
» ボットによる攻撃
» 標的型攻撃
» ランサムウェア
» DDoS
内部からの攻撃
» バックドア
» 内部不正
» 不正アクセス
特権ユーザー
管理
ネットワーク
IDアクセス
管理
インフラ
ストラクチャ
データベース
Web
Application
Firewall
Identity
Cloud Service
Data Safe
強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理
27
データ
Observability and Management / Management Cloud
強制的な
暗号化
Autonomous Linux Autonomous Database
Vulnerability Scanning
Cloud Guard/
Security Zones
監査証跡
行・列レベルの
アクセス制御
データ中心の
セキュリティ
設定ミスの
検知・是正
多要素認証

リスクのある設定を自動検知
• 構成とアクティビティを監視
• 問題の特定、脅威を検出
• 問題の是正、顧客通知
セキュリティポリシーの自動有効
• ベスト・プラクティスを強制的に適用
• 初期段階からリソースの
セキュリティを確保
脆弱性自動修復
• Oracle Autonomous Databaseにお
ける脆弱性自動修復
• Oracle Data Safeによる
セキュリティ・リスク軽減
自動化されたEnd-to-Endのセキュリティで人的ミスを排除
パブリックアクセス不可
自動パッチ適用
アップグレード
Oracle Cloud Guard Oracle Security Zones
Oracle
Autonomous
Database
Oracle Data Safe
28
•セキュリティ構成評価
•ユーザーのリスク評価
•アクティビティの監査
•機密データの発見
•データ・マスキング
自動化された
セキュリティ
管理

Oracle Cloud Guard
29
Oracle Cloud Infrastructureの様々なサービス設定や
アクティビティを監視し、通知・是正することで安全なクラウド
の利用をサポート
• Oracle Cloudを設定する際、脆弱な設定になりがちな
項目をチェックする検出ルールをOracleマネージドで提供
• ユーザーの疑わしいアクティビティを監視
• 検出された問題の修正方法の提供
• すべてのリージョン、コンパートメントは
一元的なビューから管理・監視が可能
• ルートコンパートメントに適用できるため、
グローバル全体かつ新しいリソースも監視可能
• 無償で提供
自動化された
セキュリティ管理

Azureは現在の対策状況を提示してくれますが、
OCI Cloud Guardは対策状況を提示し、問題を自動的に対処して
くれるので、対処までの時間と復旧までの時間を短縮できます。
AWSでは、対策状況を把握するのにはるかに多くの労力を必要とします
米国政府の最高情報セキュリティ責任者
30
引用: Dao Research “Securing Data and Applications in theCloud”

「お客様からの評価から見る」Cloud Guardの強み
標準機能で提供
セキュリティサービスとして標準で提供されている事が評価できる
他社では複数サービスが必要で、開発工数とサブスクリプション価格で高コストになる
優れた使い勝手
ユーザーインターフェースや設定の考え方などが分かりやすい
監視項目が広く、監視項目も詳細まで確認でき有効性が高い。他社サービスは大雑把な
サマリー情報の把握にとどまる
異常を発見後のアクションが設定できる「レスポンダー」機能は良く、拡張性もある
容易な導入
導入作業が楽、セットアップがすぐ終わる。他社サービスでは設定チェックの仕組みを手組で
開発していた
事前に検出ルール(レシピ)が設定してあり手間がかからない
導入直後に実際に危険な設定を見つけてくれた (ネットワーク通信が無制限だったのを発見)
リスクの高いObject Storage設定の発見&自動対処をすぐ実装できた

Oracle Security Zones
32
• 重要な資産を非常に安全場所に配置
• セキュリティは選択ではなく、常時オン
• 初期段階からリソースの安全性を確保することで、
セキュリティ問題を軽減
• 機密性の高いワークロードのための厳格な
セキュリティ対策を実施
• 無償で提供
事前定義のルール
パブリックアクセス不可、
安全でないストレージなし
軽減
セキュリティの問題;
リソース作成時にルールを強制的に適用
他社クラウドにはない、Oracle Cloud Infrastructureが業界初で提供した機能
自動化された

ハイブリットクラウドで利用するデータベースをよりセキュアに
 統合されたデータベースセキュリティ管理サービス
1. 機密データの発見（Sensitive Data Discovery ）
2. データ・マスキング（Data Masking）
3. アクティビティの監査（Activity Auditing）
4. セキュリティ構成の評価（Security Assessment）
5. ユーザーのリスク評価（User Assessment）
 特別なセキュリティの専門知識
 多層防御における重要なデータ・セキュリティ対策
 短時間でセキュリティ・リスクを軽減
 Oracle Cloud Databaseの利用でサービスを無償提供 ※1
 オンプレミス、他社クラウド上のオラクルDBへも対応
- 24,000円 /ターゲット/月
Oracle Data Safe
33
※ 監査機能は100万レコード/月まで無償、その他の機能は無償 Oracle Cloud上の
データベース
監査
ユーザー発見
アセスマスク
オンプレミス
のデータベース
自動化された
Data Safe
AWS, Azure上の
オラクルデータベース

「政府情報システムのため
のセキュリティ評価制度」
(ISMAP)
Oracle Cloud Infrastructureが
ISMAPに登録完了
監査法人による厳格な監査、IPAによる審査を経て登録
• 1200以上のISMAP管理項目に対するセキュリティ評価
Exadata を使ったサービスを含んだOCIのサービスが登録対象
• 国が認定する「安全・安心なクラウドサービス」を利用した
システム構築が可能
https://www.oracle.com/jp/corporate/pressrelease/jp20210622.html
• OCI ... Oracle Cloud Infrastructure
34

• 設定や運用上の問題によって発生するセキュリティ
リスクを自動検知し、インフラの安定的な運用に寄与
• 他社のクラウドサービスと比べて監視できる項目が広く、
UI含め使い勝手が優れているため、効率的な運用が
可能
• 「Oracle Cloud Infrastructure」は、クラウドプラッ
トフォームレベルで環境隔離と強制的な暗号化がされ
ており、「Oracle Cloud Guard」と組みあわせること
で、お客様に安心して利用頂けるサービスを提供
ワークスアプリケーションズ様
35
ERPマネージド・サービスHUE Classic Cloud
で「Oracle Cloud Guard」を活用し、
セキュリティリスクを軽減

① ユーザーのミス、ソフトウェアの構成エラー、パッチの適用忘れ、アカウントの
乗っ取りなどから生じたトップダウン攻撃
② クラウドリソースの再割り当てや、ネットワーク層でのテナント間攻撃を可能に
するなど、ファームウェア書き換えの成功によって生じるボトムアップ攻撃
Oracle Cloud Infrastructure
IDCによるラボ検証ペーパー:自動運用に基づいたテナントデータ保全とプライバシー重
視
36
Oracle Cloud Infrastructure (OCI) の主要なコンポーネントに適用され
ている、下記の項目についての安全性を保つために有効性を検証。
 クラウドアーキテクチャ：
信頼の起点(Root of Trust)、ネットワーク仮想化の分離
 自律型ソフトウェア：
ホストプラットフォームの健全性、簡略化されたデータセキュリティ対策
 高度なセキュリティサービスコントロール：
クラウドセキュリティポスチャ管理、ユーザー設定エラーの削減
本調査によるIDCの見解：以下の防御対策を提供し、「OCIプラット
フォームは、テナントおよびデータに対して最終的に管理し、独自の管理
が適切と考えるセキュリティチームにとって特に最適」
詳細はこちら ⇒ https://go.oracle.com/LP=109222?elqCampaignId=291082

Oracle Cloud Infrastructure
セキュリティのプロもSaaS基盤としてOCIを選択
37
世界最大のコンピュータ
ネットワーク機器ベンダー
ハードウェアやソフトウェアセンサーから
テレメトリー情報を収集し、データを高度な
機械学習技術によって分析するSaaS
(Cisco Tetration) でOCIを採用
数千コア以上の大規模アプリケーションを
2ヶ月で稼働
インテリジェンス主導型の
セキュリティ企業
なりすまし攻撃、フィッシング、スパムによる
Eメール脅威の対策を提供するSaaSで
OCIを採用
高度なリアルタイム分析をベアメタル・
インスタンスを活用することでクラウドで実現
業界をリードする
サイバーセキュリティ企業
脅威の識別、調査、解決を行うクラウドベースの
SIEMソリューション(McAfee ESM Cloud)で
OCIを採用
他社クラウドに比べ1/4のコストで実現
60万データソースにおける1秒当たり
50万イベントをサポート

価格概要
カテゴリ機能機能名単価
セキュリティ・
バイ・デザイン
強力、完全なテナント分離 Isolated Network Virtualization / Bare Meta 標準機能
強制的な暗号化 Encryption by Default 標準機能
階層型権限管理 Compartment 標準機能
自動化された
リスクのある設定を自動検知 Cloud Guard 無償
ポリシーの自動適用 Security Zones 無償
脆弱性スキャン Vulnerability Scanning 無償
オンラインでのパッチ適用 Autonomous Database 無償 (*1)
自動化されたログ分析 Logging Analytics 10GBまで無償
データ中心の
多層防御
DBセキュリティ対策の自動化 Data Safe 無償～ (*2)
特権ユーザー管理 Database Vault
DBCS HP ～
(*3)
多要素認証、リスクベース認証 Identity Cloud Service 384 ～ (*4)
ボット対策とWAF Web Application Firewall 90 ～ (*5)
*1 Autonomous Database 利用時に無償で利用可能
*2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償
*3 DBCS High Performance以上で利用可能
*4 価格単位：384 [ユーザー/月]
*5 価格単位 : 72 [1,000,000インカミングリクエスト/月] + 18 [グッドトラフィックのギガバイト/月]

本日お伝えしたこと
39
01
02
03
セキュリティ対策でのトレンドと日本が取り組むべき点
• ゼロトラストは、境界防御をやりながらデータセントリックなセキュリティ対策を目指す
• 日本は境界防御に偏っているため、IDアクセス管理とデータセキュリティ対策が必要
Oracle Cloud Infrastructureは、セキュリティは最初から組み込まれ常にオン。
コンプライアンスも遵守
• 全リージョン、全インスタンスでセキュリティバイデザインのサービスを提供
• ISMAPをはじめ、業界で求められるコンプライアンス要件に対応済み
人的ミスを排除する自動化されたセキュリティ管理を提供
• Cloud Guard (無償) : リスクのある設定を自動検知、デフォルトで活用がおすすめ
• Data Safe (無償～): データ漏洩から保護を効率的に実現、DB活用時に有効
• Security Zones (無償): 機密データを格納するシステムをよりセキュアな運用が可能

参考資料
概要
• オラクルセキュリティサービス概要
https://www.oracle.com/jp/security/
• オラクルのクラウドセキュリティソリューション概要
https://blogs.oracle.com/sec/cloud-security-overview
• オラクルセキュリティ活用事例
https://blogs.oracle.com/sec/case-oraclesecurity
• クラウドセキュリティの最新情報：
クラウドセキュリティナビ
https://blogs.oracle.com/sec
各サービスを詳しく知りたい
• Oracle Cloud Infrastructure Web Application Firewall
https://blogs.oracle.com/sec/introducing-the-oci-waf-jp
• Oracle Data Safe
https://blogs.oracle.com/sec/data-safe-overview
• オラクルが提供するID管理ソリューション
https://blogs.oracle.com/sec/oracleidm1-idm
• Oracle Cloud ：セキュリティとコンプライアンス
https://blogs.oracle.com/sec/oracle-cloud-compliance
セミナー情報
• https://blogs.oracle.com/oracle4engineer/column_cloud_seminar

第15回しゃちほこオラクル俱楽部

第15回しゃちほこオラクル俱楽部

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a 第15回しゃちほこオラクル俱楽部

Similar a 第15回しゃちほこオラクル俱楽部 (20)

Más de オラクルエンジニア通信

Más de オラクルエンジニア通信 (20)

Último

Último (9)

第15回しゃちほこオラクル俱楽部

Notas del editor