More Related Content
Similar to ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9月30日) (20)
More from オラクルエンジニア通信 (20)
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9月30日)
- 2. Safe harbor statement
The following is intended to outline our general product direction. It is
intended for information purposes only, and may not be incorporated into
any contract. It is not a commitment to deliver any material, code, or
functionality, and should not be relied upon in making purchasing decisions.
The development, release, timing, and pricing of any features or functionality
described for Oracle’s products may change and remains at the sole
discretion of Oracle Corporation.
Copyright © 2020, Oracle and/or its affiliates2
- 5. 今後求められるセキュリティ対策と日本の取り組むべき点
考慮点 ゼロトラストセキュリティの考え方 セキュリティ対策例 日本企業の状況
ネットワーク
• 通信を監視し、未許可のクラウドサービスの
利用を制限
• CASB
• Cloud Proxy
• WAF
グローバルより
注力している
デバイス
• デバイスの認証を常に実施
• 全てのデバイスの保護を徹底
• EDR、EPP
• MDM グローバルと同様
IDアクセス管理
• ID・ユーザを必ず検証
• 必要に応じて多要素認証(MFA)を実施
• IAM
• PAM
• MFA
グローバルとより
対応が遅れている
アプリケーション • すべてのアクセスを制限し、不正操作を監視
• CASB、UEBA
• 標的型メール対策
• SIEM、SOAR
グローバルと同様
データ
• データが漏洩・改ざんされないように保護
• 必要最小限の権限付与
• 暗号化
• アクセス制御
グローバルとより
対応が遅れている
Copyright © 2020, Oracle and/or its affiliates5 出典: Oracle and KPMG Threat Report 2020
安全なクラウドセキュリティ環境を整備するためには、ネットワークセキュリティだけでなく、
ゼロ・トラスト・セキュリティな対策が必要となります。
- 6. 2010年 Forrester Research により提唱 2020年8月に NISTから 「SP 800-207:
Zero Trust Architecture (ZTA)」が発行
ゼロトラスト・セキュリティとは
Copyright © 2020, Oracle and/or its affiliates6
考えるべき要素
「データ」、 「IDアクセス管理」、「デバイス」、「ネットワーク」、
「アプリケーション」、 「可視化・分析」、「自動化」
- 8. ゼロトラストの定義
8 出典:NIST SP 800-207 Zero Trust Architecture, 2020, p.4.
ゼロトラスト
ゼロトラスト(ZT)とは、危険な様相のネットワークに接続される情報シス
テム及びサービスにおいて、接続要求のある都度、精密に最小の権限を付
与する決定を強制することで、不確実性を局限するよう設計された概念及
びアイデアの集合体を意味する。
ゼロトラスト
アーキテクチャ
ゼロトラストアーキテクチャ(ZTA)とは、ゼロトラスト概念を適用し、構成
要素の相互関係、ワークフロー計画、アクセスポリシーまでを包含する組織
全体のセキュリティ計画である。そのため、ゼロトラストエンタープライズとは、
組織がZTA計画を実装したネットワークインフラ(物理及び仮想)及び運
用ポリシーとも言える。
• 必要最小限の特権のみをアクセスに付与しリソースを制限
• リソースの保護方法、信頼が暗黙に付与されず、継続的に評価
Copyright © 2020, Oracle and/or its affiliates
- 9. アメリカ合衆国国防総省(DoD) : ゼロトラストセキュリティを提供
Copyright © 2020, Oracle and/or its affiliates9
出典:https://www.afcea.org/content/dod-offer-zero-trust-architecture-year
ネットワーク中心のセキュリティモデルからデータ中心の
セキュリティモデルへのこのパラダイムシフトは、
最初にデータと重要なリソースを保護する方法に重点を置き、
次にネットワークに重点を置く
すべてを許可して例外で拒否するのではなく、すべての
[ネットワークアクセス]を拒否して例外で許可するという
基本的な前提を変更
巧妙な攻撃者は私たちの資格情報を盗み、特権に昇格し、
データを盗み出します。だからこそ、データ侵害を防ぐために、
ゼロトラストを採用する
- 10. 認証と認可
ゼロトラストへの道
10 Copyright © 2020, Oracle and/or its affiliates
1. 認証
そのユーザーが本当に本人であることを確認する。
例:パスワードによる認証
2. 認可
そのユーザーの属性に応じてアクセスできる範囲を確認する。
例):人事部のユーザーだけ、業務時間(平日 9:00-17:00)のみ、人事情報に参照できる
認証
Authentication
認可
Authorization
業務
システム
認証基盤
- 11. 再掲:今後求められるセキュリティ対策と日本の取り組むべき点
考慮点 ゼロトラストセキュリティの考え方 セキュリティ対策例
日本企業の
対応状況
ネットワーク
• 通信を監視し、未許可のクラウドサービスの
利用を制限
• CASB
• Cloud Proxy
• WAF
注力している
デバイス
• デバイスの認証を常に実施
• 全てのデバイスの保護を徹底
• EDR、EPP
• MDM 同様
IDアクセス管理
• ID・ユーザを必ず検証
• 必要に応じて多要素認証(MFA)を実施
• IAM
• PAM
• MFA
遅れている
アプリケーション • すべてのアクセスを制限し、不正操作を監視
• CASB、UEBA
• 標的型メール対策
• SIEM、SOAR
同様
データ
• データが漏洩・改ざんされないように保護
• 必要最小限の権限付与
• 暗号化
• アクセス制御
遅れている
Copyright © 2020, Oracle and/or its affiliates11 出典: Oracle and KPMG Threat Report 2020
安全なクラウドセキュリティ環境を整備するためには、ネットワークセキュリティだけでなく、
ゼロ・トラスト・セキュリティな対策が必要となります。
- 12. IDアクセス管理・データセキュリティの対応状況について:調査結果
Copyright © 2020, Oracle and/or its affiliates12
1位
2位
セキュリティグループの誤設定
3位
機密情報が暗号化されていない
過剰な権限付与
37% 45%
33% 40%
25% 32%
IDアクセス管理・データセキュリティ対策に関して、日本企業は認証に加えて利用者に必要となる
最小権限の実現と誤設定の早期検知、暗号化に課題があり、改善が必要となっています。
発見された設定ミス:
グローバルと差が大きい TOP3
アクセス
制御
暗号化
出典: Oracle and KPMG Threat Report 2020
ID・アクセス管理(IAM)で日本企業が苦労している点
① 人事イベントとの連携
② クラウドサービスへのIAMによる制御
③ アプリケーション/モバイル利用の制御
④ 権限管理
⑤ 多要素認証
太字:グローバルとの差が多いもの
認証
アクセス
制御
- 14. Oracle Database Vaultによる強力なアクセス制御とアクセスパスの制限
データベース管理者など特権ユーザーの職務を分掌すると共にアクセス制御を強化します。
「権限管理によるデータのアクセス制御 / 職務・権限分掌」
Copyright © 2020, Oracle and/or its affiliates14
✓ DB管理者やその成りすましによる不正閲覧・改竄、監査証跡削除を抑止し、情報漏えいリスクを最小化
✓ 最小権限の実現に加えて、より厳格なアクセス制御を実現
保護領域
表
- Customer
- Order
索引
プロシージャ
Database Vaultのポリシー
ユーザ:ユーザA
IP Address: 192.168.1.XXX
Time: 9:00 – 17:00
ユーザーA
運用管理者
✔
ポリシーに合致
アクセス許可
✖
Database Vaultの
ポリシーにより
アクセス不可
DBサーバ
権限:DBAロール
権限: SELECT ANY TABLE権限
Database Vaultの主な特徴
✓ 管理ユーザーや強力な特権からのアクセスを強制的に制御し、 特権ユー
ザーといえども自由なアクセスやコマンドの実行を制限します。
✓ 特権者権限を細かく分割定義し、付与することで、特権ユーザーの職務分
掌を実現します。
例: DB管理は可能だが、監査証跡の削除は不可能。
✓ いかなる経路からのアクセスに対しても、データベース側で一律にデータを保
護することが可能です。
✓ ユーザー、IPアドレスなどのセッション情報、曜日・時間などを組み合わせた
ルールに基づいて、アクセスポリシーの作成が可能です。
アクセス制御
- 15. Encryption by Default (すべてのデータは暗号化)
Oracle Cloud Infrastructure
Copyright © 2020, Oracle and/or its affiliates15
AD1
AD2
AD3
CUSTOMER REGION 1
AD1
AD2
AD3
CUSTOMER REGION 2
TDEでDatabaseファイルを暗号化
MACSec
高速・スケーラブルな
Layer2 暗号化
• OCIに存在するすべてのデータ・サービスはOracleがフルマネージドで暗号化
– Block Volume, Boot Volume, Object Storage, File Storage, Oracle Databaseファイル
– すべてのネットワーク通信も暗号化されている
暗号化
- 16. クラウド時代に求められるIDアクセス管理基盤
Copyright © 2020, Oracle and/or its affiliates16
自宅または
外出先
クラウド型IDアクセス管理基盤
犯罪者
どのように どこで
誰が
オンプレミス
アプリケーション
社内からは
ID/Passのみ
会社
クラウドサービス
多要素認証
リスクベース認証
シングル
サインオン
IDライフサイクル
管理
クラウド型のIDアクセス管理基盤により、ハイブリッドクラウドのIDライフサイクル管理の実現に加え、
利用者の特定や多要素認証によるセキュリティ強化、VPNの負荷軽減を実現します。
社外からは
二要素認証を要求
不審なログインは拒否
アクセス制御認証
- 17. 国内外のグループ企業向けのID・アクセス管理/セキュリティ基盤
顧客事例:株式会社アウトソーシング
Copyright © 2020, Oracle and/or its affiliates17
MSoffice
Oracle CASB
Cloud Service
Oracle Identity
Cloud Service
マルチクラウドでの利便性向上とセキュリティ強化
マルチクラウドサービスのID・アクセス管理用に
「Oracle Identity Cloud Service」を利用
各クラウドサービスのシステム構成の設定開始から構
築完了まで数時間で完了
国内外の利用者を特定し、SSOによる利便性向上
と多要素認証、アクセス制御、監査によりセキュリティ
強化を実現
マルチクラウドサービスの監視に「Oracle CASB
Cloud Service」を採用
国内外のグループ企業全体のID・アクセス管理とクラ
ウドセキュリティ監視の技術と運用を確立
- 18. 権限管理とアクセスコントロール
IDとアクセス制御
• コンパートメントとグループ、ポリシーを
組み合わせた柔軟かつ強力な設定
多要素認証も含めた厳密なID管理
• SMSを用いたワンタイムパスワード
• iPhone、Android用アプリの提供
• ワンタイムパスワード
• 通知への応答(許可/拒否)
• 事前登録質問への回答 (秘密の
質問)
柔軟なアクセス制御設定
• アプリケーション単位でアクセスの許
可や拒否、再認証や二要素認証の
要求をポリシーとして指定
• 使用したIdP、ユーザー名、所属グ
ループ、IPアドレス
Oracle Identity Cloud Service
Copyright © 2020, Oracle and/or its affiliates18
ワンタイムパスワード 通知への応答
イントラネットからの
アクセスはID/PWのみ
インターネットからの
アクセスには
二要素認証を要求
Users
User1
User2
Instances
Instance1
Instance2
Groups
GroupX
GroupY
Dynamic
Groups
GroupZ
CompartmentBCompartmentA
PolicyA PolicyB2PolicyB1
Policies
PolicyA: allow group GroupX
PolicyB1: allow group GroupY
PolicyB2: allow dynamic-group
GroupZ
アクセス制御認証
- 20. Copyright © 2020, Oracle and/or its affiliates20
Oracle Cloud Infrastructure での
セキュリティへの取り組み
- 21. • Global:Oracle Cloud Guard and Oracle Maximum Security Zones Now Available
• 日本:オラクル、Oracle Cloud Guard、Oracle Maximum Security Zonesを提供開始
9/15 プレスリリースを実施しました
Copyright © 2020, Oracle and/or its affiliates21
日本オラクル、クラウドのセキュリティリスクを
低減する2つの新サービスを発表 (Cloud Watch)
Oracle Cloudのセキュリティーを高める
無償サービス、全リージョンで提供開始
(日経クロステック)
オラクル、IaaSのセキュリティリスクを
低減する2サービスを無償提供
(ASCII.jp)
- 22. 出典:Oracle and KPMG Cloud Threat Report 2020Copyright © 2020, Oracle and/or its affiliates22
- 23. Oracle Cloud Infrastructure
セキュリティ・ファーストで設計されたクラウド
23 Copyright © 2020, Oracle and/or its affiliates
強力なテナント分離
デフォルトでの暗号化
脆弱性自動修復
Oracle Cloud Infrastructure
= Security First Cloud
データ中心の
セキュリティ
自動化された
セキュリティ
管理
セキュリティ構成・ユーザーの評価
アクティビティの監査
機密データの発見
データ・マスキング
特権ユーザー管理
セキュリティ
バイ・デザイン
セキュリティポリシーの自動有効
設定・アクティビティの監視・是正
New!!
New!!
- 24. Oracle Cloud Infrastructure
Cloudプラットフォームでの環境隔離
24 Copyright © 2020, Oracle and/or its affiliates
階層型アカウント管理
✓ 部署ごとの権限設定を実現
✓ コンパートメント間のリソースアクセスが可能な
為、部署を跨いだシステム構築も容易
✓ コンパートメントのQuota設定により 使い過
ぎを抑止
デフォルトでの暗号化
✓ OCIに存在するすべてのデータ・サービスは
Oracleがフルマネージドで暗号化
✓ データベースファイル,ストレージ
Block Volume, Boot Volume,
✓ すべてのネットワーク通信も暗号化
強力なテナント分離
✓ 分離された仮想ネットワークにより
情報漏洩のリスクを最小化
セキュリティ・
バイ・デザイン
他のテナント
分離された
仮想ネットワーク
ネットワーク
とテナント環境
を分離
ホストOS/カーネル
ハイパーバイザー
コンテナ(オプション)
AD2
リージョン1
AD2
リージョン2
すべてのデータ
を暗号化
MACSec
高速・スケーラブルな
Layer2 暗号化
部署ごとにCompartment(サブアカウント)を作成
「コンパートメント」モデル
テナント
コンパートメント A コンパートメントB
ユーザー グループ ポリシー
ポリシー ポリシー部署-A 部署-B
- 25. 自動化されたEnd-to-Endのセキュリティで人的ミスを排除
セキュリティに関する設定や
アクティビティの監視、是正
✓ 様々なソースからデータを分析・関連付けを
行い構成とアクティビティを継続的に監視
✓ 問題を特定し、セキュリティ上の脅威を検出
✓ 検知した問題の是正や顧客に通知も可能
✓ OCI全体かつ新規追加のリソースも監視
セキュリティポリシーを強制的に
適用し、セキュリティを確保
✓ セキュリティのベスト・プラクティスを強制的に
適用することでデータを安全な場所に保存
✓ 初期段階からリソースのセキュリティを確保
✓ オブジェクト/ファイルストレージ、ネットワー
キング、暗号化、DBaaSなど、OCIの主要
サービス群に対するポリシーが提供
データベースのセキュリティ対策の
自動化と可視化
✓ 短時間でセキュリティ・リスクを軽減
✓ Autonomous Databaseによる脆弱性
自動修復
✓ Oracle Cloud Databaseの利用で
Data Safeを無償サービス提供 ※
Oracle Cloud Infrastructureのセキュリティ
Copyright © 2020, Oracle and/or its affiliates25
自動化された
セキュリティ管理
セキュリティ構成の評価
ユーザーのリスク評価
アクティビティの監査
機密データの発見
データ・マスキング
※ 監査機能は100万レコード/月まで無償、その他の機能は無償、
オンプレミスのデータベースの場合は有償 (24000円/ターゲット/月)
パブリックアクセス不可
Oracle Maximum Security ZoneOracle Cloud Guard
オンプレミスのデータベース
Oracle Cloud上
のデータベース
New!! New!!
- 26. オラクルが提供するセキュリティソリューション
最深部のデータ層を中心とした多層防御を提供
26 Copyright © 2020, Oracle and/or its affiliates
外部からの攻撃
» ボットによる攻撃
» 標的型攻撃
» ランサムウェア
» DDoS
内部からの攻撃
» バックドア
» 内部不正
» 不正アクセス
監査証跡
特権ユーザー
管理
データ
データ中心の
セキュリティ
ネットワーク IDアクセス管理 インフラストラクチャ データベース
Web Application
Firewall
Identity Cloud
Service
Cloud Guard /
Maximum
Security Zone
Data Safe
顧客環境分離 / コンパートメント / Root of Trust
セキュリティ構成・
ユーザーの評価
暗号化・
マスキング
- 27. 27 Copyright © 2020, Oracle and/or its affiliates
Oracle Cloud Infrastructure とゼロトラスト
非常に安全な場所 セキュアな場所を継続的に監視
• OCIは、Default Deny (接続・認証・利用は否認が前提)
• 許可を与えなければ何もできない:Security list、コンパートメント、ポリシーの設定等
Maximum Security Zone Cloud Guard
Data Safe
Autonomous Database
+ Database Vault