Oracle Cloud のセキュリティ・コンプライアンス最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)

2020年7月16日
日本オラクル株式会社
テクノロジー事業戦略統括ビジネス推進本部
大澤清吾, CISSP
Oracle Cloud ウェビナー
ファンデーションシリーズ
Oracle Cloud のセキュリティ・コンプライアンス
最新情報

Safe harbor statement
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、
情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以
下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買
決定を行う際の判断材料になさらないで下さい。
オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊
社の裁量により決定され、変更される可能性があります。
Copyright © 2020, Oracle and/or its affiliates2

本日お伝えしたいこと
01
02
03
クラウドセキュリティ対策でのトレンドと日本が取り組むべき点
Oracle Cloud Infrastructureは、使いはじめた時から
セキュアで、コンプライアンスも遵守している
Oracle Cloud Infrastructureは、データ中心の
多層防御のソリューションを提供している

1. クラウドセキュリティのトレンド
2. オラクルが提供するセキュリティソリューション
3. Oracle Cloud Infrastructure コンプライアンス対応について
4. 活用事例
5. 価格
本日紹介する内容

4. 活用事例
5. 価格

多くの企業でクラウドの活用が進むが、クラウドの安全性に対する認識は遅れている
クラウドの利用状況とクラウドセキュリティへの理解
オンプレと比較して、クラウドは
十分に安全であると認識しているか？
40
%
IaaS
83%
76%
日本
グローバル
SaaS
89%
87%
日本
グローバル
クラウドを利用している割合
出典：Oracle and KPMG Cloud Threat Report 2020
グローバル日本
21
%

クラウドのセキュリティ対策において、クラウドのセキュアな設定、データ・セキュリティ対策が重視されている
クラウドセキュリティにおける課題
クラウド・セキュリティにおける課題
最大の課題は
クラウドのセキュアな設定
クラウド・サービスの設定ミスが
発生の結果、データ漏洩が発生
51
%
IT担当者が日々の業務の中で
多くの時間を割いている
サイバーセキュリティ
データ保護
データセキュリティ
データセンターのインフラ
コンプライアンス
①
③
④
②
⑤
①
②
③
④
⑤
日本海外

セキュリティ運用の自動化やAI/MLの活用している企業が多数
クラウドセキュリティの解決策
92
%
88
%
今後3年間でパッチ適用処理の
自動化を採用
不正、マルウェア、設定ミスなどへの対策を強化の
ために、AI/MLの活用を今後3年で行う企業

境界防御を中心とした対策からデータ層を中心とした多層防御対策が重要に
セキュリティ対策でのグローバルと日本の違い
グローバルでのセキュリティ対策：
データ層を中心とした多層防御
日本でのセキュリティ対策：
境界防御を中心とした対策
✔データ層：
アクセス制御 /監査・監視
暗号化
✔アクセス層：
認証 / 認可
✔アプリ層：
アクセス制御 /監査・監視/ 認証
✔ネットワーク層：
DNS / DDoS / WAF
✔エンドポイント：
端末のセキュリティ
✔データ層：
アクセス制御 / アクセス監査
暗号化
✔アクセス層：
認証 / 認可
✔アプリ層：
アクセス制御 /監査・監視/ 認証
✔ネットワーク層：
DNS / DDoS / WAF
✔エンドポイント：
端末のセキュリティ
データ層/
アクセス層の
対策に遅れ
9 Copyright © 2020, Oracle and/or its affiliates 出典：Oracle and KPMG Cloud Threat Report 2020

4. 活用事例
5. 価格

SECURITY
PART OF OUR DNA
Immediate Focus On SECURE DATA
• 1977 年からビジネス・スタート
• 最初の顧客は CIA
• 米国政府の要求に応えるセキュリティ技術
• 透過的暗号化, 特権の職務分掌機能
などをデータベースに初めて実装
11 Copyright © 2020 Oracle and/or its affiliates.

12 Copyright © 2020, Oracle and/or its affiliates
Larry Ellison
“設計目標は、すべてを実行するセキュアな単一
プラットフォーム。セキュアなクラウドと言うのは簡
単だが、その構築はとても困難。クラウドの根本
的な再構築が必要だった”

セキュリティ・ファーストで設計されたクラウド
より堅牢なセキュリティの実現
強力なテナント分離
デフォルトでの暗号化
脆弱性自動修復
Oracle Cloud Infrastructure
= Security First Cloud
データ中心の
セキュリティ
自動化された
セキュリティ
管理
セキュリティ
バイ
デザイン

Maximum Security Zone (*)
利用開始直後から強固に保護され、安心して利用できる
Oracle Cloud Infrastructureのセキュリティ
監査・監視
格納データ
暗号化
データ
Hardware Root of Trust 構成の監視
Cloud Guard (*)
通信を暗号化クラウド運用者から
顧客データへのアクセスを
保護
（Database Vault）
データベースセキュリティ対策
の可視化・自動化
(Data Safe)
データセンターネットワーク
* 今後提供予定
セキュリティ・
バイ・デザイン
強力なテナント分離

Oracle Autonomous Database
自動化された
セキュリティ管理
49%
19%
32%
セキュリティアセスメント
High Risk: 33
Medium Risk: 22
Low Risk: 13
68
Risks
18%
28%
24%
15%
15%
Data Discovery
Employee Basic Data: 27
Public Identifier: 49
Address: 42
Compensation data: 31
Oraganization Data: 32
179
Columns
56%
11%
31%
ユーザーアセスメント
Critical Risk: 47
High Risk: 9
Medium Risk: 2
Low Risk: 26
84
Users
Compensation data: 27.
自動パッチ適用アップグレード
管理者は顧客データにアクセス不可
通信と格納データのデフォルト暗号化

オラクルのデータ中心のセキュリティ
データ層も含む多層防御による保護
データ中心の
セキュリティ

人的ミスを排除によりデータ漏洩から保護
機密性の高い情報を保護するデータ・セキュリティ
発見的対策
予防的対策
凡
例
1. 監査証跡の記録
✓ 情報システムに対するサイバー攻撃を予兆検知
2. セキュリティ設定ミス、特権ユーザーの利用を監視
✓ 無差別型攻撃で狙われる構成ミスや管理者権限の利用状況を監視
3. データの暗号化
✓ 個人データが漏えいした際、二次的被害（社内外の影響）を最小限に
4. データのアクセス制御 / 権限分掌
✓ 悪意のある攻撃者よりデータの閲覧、改変、破壊などを防ぐ
5. セキュリティ運用の自動化
✓ パッチを自動に適用することで、脆弱性対策と運用効率化を実現
✓Data Safe による構成・ユーザの
アセスメントと機密データの発見
✓Data Safeによる監査ログの管理
✓デフォルトで暗号化
✓Database Vaultによる権限分掌
✓Autonomous Databaseによる
自動パッチ適用アップグレード
Database Security

Oracle デフォルト
暗号化
• デフォルトで全データに透過的暗号化を実施
• バックアップも自動暗号化
アクセス制御: Database Vault
• DB管理者やその成りすましによる不正閲覧・改竄、
監査証跡削除を抑止し、情報漏えいリスクを最小化
データの暗号化/アクセス制御
保護領域
表
- Customer
- Order
索引
プロシージャ
Database Vaultのポリシー
ユーザ：ユーザA
IP Address: 192.168.1.XXX
Time: 9:00 – 17:00
ユーザーA
運用管理者
✔
ポリシーに合致
アクセス許可
✖
Database Vaultの
ポリシーにより
アクセス不可
DBサーバ
権限：DBAロール
権限： SELECT ANY TABLE権限
CPU
メモリーSSD/HDD
Encrypted
DB
TDE
Master key
Customer
DB queries
Customer
code
OS
Core Core
Core
DB
agent
Database Security

クラウドで利用するデータベースをよりセキュアに
✓ 統合されたデータベースセキュリティ管理サービス
1. 機密データの発見（Sensitive Data Discovery ）
2. データ・マスキング（Data Masking）
3. アクティビティの監査（Activity Auditing）
4. セキュリティ構成の評価（Security Assessment）
5. ユーザーのリスク評価（User Assessment）
✓ 多層防御における重要なデータ・セキュリティ対策
✓ 短時間でセキュリティ・リスクを軽減
✓ Oracle Cloud Databaseの利用でData Safeを無償サービス提供 ※
Oracle Data Safe
Database Security
※ 監査機能は100万レコード/月まで無償、その他の機能は無償
Oracle Cloud上のデータベース
∞

Cloudプラットフォームでの環境隔離
階層型アカウント管理
✓ 部署ごとの権限設定を実現
✓ コンパートメント間のリソースアクセスが可能な
為、部署を跨いだシステム構築も容易
✓ コンパートメントのQuota設定により使い過
ぎを抑止
Hardware Root of Trust
✓ ファームウエアの更新が勝手に行われないか
監視
✓ 利用終了後は強制的に再インストール
ベアメタルインスタンスの提供
✓ コンピュートリソース（CPU、メモリー）を占
有する物理サーバー環境
CPU
メモリSSD/HDD
DB Data &
Control files
Customer
TDE keys
Customer
DB queries
Customer
code
OS
Hypervisor
Core Core
Core
Tenant
Compartment A Compartment B
Users Groups Policy
Policy Policy
部署ごとにCompartment（サブアカウント）を作成
部署-A 部署-B
「コンパートメント」モデル
Off-box
virtualization deviceDatacenter Network
Off-box virtualization
CPU
メモリSSD/HDD
DB Data &
Control files
Customer
TDE keys
NIC ILOM
Core Core
Core
CPU/
BIOS
Cloud Infrastructure Security

分離された仮想ネットワークにより情報漏洩のリスクを最小化
Host OS/Kernel
Network
Virtualization
Hypervisor
Server Virtualization
Hypervisor
Network
Virtualization
Host OS/Kernel
Isolated Network
Virtualization
Host OS/Kernel
Hypervisor
Container (Optional)
Hypervisor
Network
Virtualization Network
Virtualization
Hypervisor
Hypervisor
Network
Virtualization
Hypervisor
Network
Virtualization
これまでのクラウド Oracle Cloud Infrastructure
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
Hypervisorがハイジャックされるとクラウドが構成する
すべてのホスト/VMからデータ漏えいのリスク
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
Isolated Network
Virtualization
Host OS/Kernel
Hypervisor
Container (Optional)
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
VM/
Guest
OS
Hypervisorからネットワーク分離されているので
ホスト内のリスクに限定

Oracle Identity Cloud Service
権限管理とアクセスコントロール
IDとアクセス制御
✓ コンパートメントとグループ、ポリシーを組み合わ
せた柔軟かつ強力な設定
多要素認証も含めた厳密なID管理
✓ SMSを用いたワンタイムパスワード
✓ iPhone、Android用アプリの提供
✓ ワンタイムパスワード
✓ 通知への応答（許可/拒否)
✓ 事前登録質問への回答（秘密の質問）
ワンタイムパスワード通知への応答
柔軟なアクセス制御設定
✓ アプリケーション単位でアクセスの許可や拒
否、再認証や二要素認証の要求をポリ
シーとして指定
✓ 使用したIdP
✓ ユーザー名
✓ 所属グループ
✓ IPアドレス
イントラネットからのアクセ
スはID/PWのみ
インターネットからのアクセ
スには二要素認証を要求
Users
User1
User2
Instances
Instance1
Instance2
Groups
GroupX
GroupY
Dynamic
Groups
GroupZ
CompartmentBCompartmentA
PolicyA PolicyB2PolicyB1
Policies
PolicyA: allow group GroupX
PolicyB1: allow group GroupY
PolicyB2: allow dynamic-group
GroupZ

ログ管理・監視・分析
ログ分析の効率化、機械学習
✓ 機械学習による自動分類、異常値検出、アラート
✓ 事前定義済みのログ収集テンプレート
✓ 様々なログフォーマットに対応し、DB監査ログ、ID管理ログやOSログ
などあらゆるログを投入して監査工数の削減に活用
クラスタ分析によるパターン検出・例外検出
✓ 類似パターンを持つログを自動的に認識しグルーピング
✓ 膨大なイベントログをパターン毎に集約
✓ 注意すべき情報をハイライトし、能動的な分析を支援
✓ 「Error」などのキーワードを含むクラスタ
✓ 例外的なメッセージ（件数の少ないクラスタ）

Cloud Guard
✓ Cloud Guardは、Audit/Data Safe/OS Management/Logging/Network
Flow Logs Servicesよりデータを収集して監視を行う
✓ 収集したデータを基に分析し、セキュリティ上の脅威や設定ミスなどを自動検知・通知し、
当該脅威を修復する
➢ これまでのクラウドでは、問題が起きてからのアラート通知のみで、脅威の排除作業を
自身で行う必要があった
提供予定

Maximum Security Zones
最大級のセキュリティを容易に活用常にON
• Oracle Maximum Security Zoneはお客様環境内の
ゾーンでありセキュリティが常にON
• このゾーン内で起動したリソースは最高レベルのデータ暗号
化とネットワークセキュリティをもつ専有環境上で稼働
• これまでのCloudはセキュリティツールが提供する長いリストを
提供。
これらは非常に煩雑であり、容易に破綻
提供予定

Web Application Firewall
Webアプリケーションのセキュリティ強化
Edge Security

4. 活用事例
5. 価格

• 言葉の定義
• 法律や社会的な通念を守ること。法令順守と訳されることが多い。
• クラウドサービス利用者の懸念
• オンプレミスと違いデータを他社(クラウドベンダー)に預け運用を委託することになるためデータやシステム
の安全性や信頼性が心配されています。
• クラウドベンダーの対応
• グローバル各国の法制度に準拠するようなシステム/運用設計を行っています。
• 第三者機関の認定取得により、安全性を証明しています。
コンプライアンスとは

各種認定・ガイドラインはそれぞれ目的が異なっており、業界によっても重視されるものが異なっています。
• グローバル標準
• ISO27001
• 情報セキュリティのリスクアセスメントおよびリスク対応を目的とした規格。
近年クラウドサービスに特化した27017/27018なども登場。
• SOC
• セキュリティやプライバシーに関する内部統制について、監査法人が監査を実施した結果の報告書。
• 業種特化ガイドライン
• 金融機関向け：FISC安全対策基準
• 政府機関向け：政府機関等の情報セキュリティ対策のための統一基準(NISC)
• ヘルスケア向け：3省3ガイドライン
第三者認定、ガイドラインの例

コンプライアンス対応
各種認証取得済み
27001 : 27017 :
27018
Level 1
BSI C5
グローバル日本
3省3ガイドライン
(金融機関)
(政府機関)
(ヘルスケア)
https://www.oracle.com/cloud/cloud-infrastructure-compliance/

区分基準適用業種 OCI
国際基準
ISO/IEC 27001認証官民学全て ○
SOC1, 2, 3レポート官民学全て ○
PCI-DSS認証クレジットカード ○
HIPAA 米国ヘルスケア ○
FedRAMP 米国政府機関 ○
国内基準 - 業界固有
FISCガイドライン第9版金融 ○
NISC 政府統一基準日本国官公庁 ○
3省3ガイドラインヘルスケア（含製薬） ○
国内基準 – その他プライバシーマーク官民学全て ○
最新の対応状況： https://www.oracle.com/jp/cloud/cloud-infrastructure-compliance/
コンプライアンス関連のホワイトペーパー：https://docs.oracle.com/cd/E97706_01/Content/General/Reference/aqswhitepapers.htm

4. 活用事例
5. 価格

信頼を集めるクラウド・セキュリティ
セキュリティのプロがSaaS基盤としてOracle Cloud Infrastructureを選択
世界最大のコンピュータ
ネットワーク機器ベンダー
ハードウェアやソフトウェアセンサーからテレ
メトリー情報を収集し、データを高度な機
械学習技術によって分析するSaaS
(Cisco Tetration) でOCIを採用
数千コア以上の大規模アプリケーションを
2ヶ月で稼働
インテリジェンス主導型の
セキュリティ企業
なりすまし攻撃、フィッシング、スパムによ
るEメール脅威の対策を提供するSaaSで
OCIを採用
高度なリアルタイム分析をベアメタル・イン
スタンスを活用することでクラウドで実現
業界をリードする
サイバーセキュリティ企業
脅威の識別、調査、解決を行うクラウド
ベースのSIEMソリューション(McAfee
ESM Cloud)でOCIを採用
他社クラウドに比べ1/4のコストで実現
60万データソースにおける1秒当たり50万
イベントをサポート

顧客事例：クラブネッツ様
～ Oracle CloudでSNSマーケティング統合基盤のセキュリティおよび拡張性を向上
▪ 従来の課題と採用ポイント
• アクセスのピーク時のパフォーマンスを向上し、SNSユーザーに“よ
りセキュアな利用環境を提供
• 他社クラウドと比較検証で、IOPS性能で約30倍*、データ転送
速度では約20倍*と高い性能を発揮しながら、価格でも高い
優位性
• 「Oracle Cloud Infrastructure」のセキュアな環境設計とボット
攻撃などのWEBアプリケーションへの攻撃からの保護が可能
▪ 利用サービス
• Oracle Cloud Infrastructure
• Oracle Cloud Infrastructure Web Application Firewall
Copyright © 2020 Oracle and/or its affiliates.34 https://www.oracle.com/jp/corporate/pressrelease/jp20190801-2.html
*システムエグゼ調べ

顧客事例：株式会社アウトソーシング
～国内外のグループ企業向けのID・アクセス管理／セキュリティ基盤
Copyright © 2020 Oracle and/or its affiliates.35
MSoffice
Oracle CASB
Cloud Service
Oracle Identity
Cloud Service
マルチクラウドでの利便性向上とセキュリティ強化
 マルチクラウドサービスのID・アクセス管理用に
「Oracle Identity Cloud Service」を利用
 各クラウドサービスのシステム構成の設定開始から構
築完了まで数時間で完了
 国内外の利用者を特定し、SSOによる利便性向上
と多要素認証、アクセス制御、監査によりセキュリティ
強化を実現
 マルチクラウドサービスの監視に「Oracle CASB
Cloud Service」を採用
 国内外のグループ企業全体のID・アクセス管理とクラ
ウドセキュリティ監視の技術と運用を確立

4. 活用事例
5. 価格

価格概要：
* 監査機能は、 100万レコード/ターゲット/月まで無償、その他の機能は無償
** 税抜き価格
サービス名単価単位
1 Data Safe for Database Cloud Service (*) 無償
2 Data Safe for Database Cloud Service –
Audit Record Collection Over 1 Million Records
¥9.60 100万レコード/ターゲット/月
Data Safe
1 Oracle Identity Cloud Service - Enterprise User ¥384.00 ユーザー/月
2 Oracle Identity Cloud Service - Consumer User ¥1.92 ユーザー/月
Identity Cloud Service
1 Web Application Firewall - Requests ¥72 1,000,000インカミングリクエスト/月
2 Web Application Firewall - Good Traffic ¥18 グッドトラフィックのギガバイト/月
3 Web Application Firewall - Bot Management ¥480 1,000,000インカミングリクエスト/月
Oracle Cloud Infrastructure Web Application Firewall

本日お伝えしたこと
01
02
03
クラウドセキュリティ対策でのトレンドと日本が取り組むべき点
• クラウドの利用は進んでいるが安全性への理解が遅れている
• セキュリティ運用の自動化や不正や設定ミスの対策にAIの活用がすすむ
• 日本は境界防御に偏っているため、IDアクセス管理とデータセキュリティ対策が必要
使いはじめた時からセキュアで、コンプライアンスも遵守している
• 全リージョン、全インスタンスでセキュリティバイデザインのサービスを提供
• 業界で求められるコンプライアンス要件に対応済み
データ中心の多層防御のソリューションを提供している
• 人的ミスを排除し、データ漏洩から保護するデータセキュリティ対策を提供
• セキュリティ運用の自動化・効率化が可能

参考資料
概要
• オラクルセキュリティサービス概要
https://www.oracle.com/jp/security/
• オラクルセキュリティ活用事例
https://blogs.oracle.com/sec/case-oraclesecurity
• クラウドセキュリティの最新情報：
クラウドセキュリティナビ
https://blogs.oracle.com/sec
各サービスを詳しく知りたい
• Oracle Cloud Infrastructure Web Application Firewall
https://blogs.oracle.com/sec/introducing-the-oci-waf-jp
• Oracle Data Safe
https://blogs.oracle.com/sec/data-safe-overview
• オラクルが提供するID管理ソリューション
https://blogs.oracle.com/sec/oracleidm1-idm
• Oracle Cloud ：セキュリティとコンプライアンス
https://blogs.oracle.com/sec/oracle-cloud-compliance
セミナー情報
• https://blogs.oracle.com/oracle4engineer/column_cloud_seminar

ご視聴
ありがとうございました

Oracle Cloud のセキュリティ・コンプライアンス最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)

More Related Content

What's hot (20)

Similar to Oracle Cloud のセキュリティ・コンプライアンス最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日) (20)

More from オラクルエンジニア通信 (20)