ゼロトラスト、この1年でお客様の4つの気づき～内部不正、ランサムウェアとの戦い方～ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)

Oracle Cloud ウェビナー
ゼロトラスト、この1年でお客様の4つの気づき
～内部不正、ランサムウェアとの戦い方～
2021年10月6日
日本オラクル株式会社
事業戦略統括事業開発本部
大澤清吾, CISSP

1. セキュリティトレンド
2. ランサムウェア対策への考え方と対策
3. ゼロトラストセキュリティの最新情報とお客様の気づき
4. 今後求められるセキュリティ対策と日本の取り組むべき点
5. オラクルのセキュリティへの取り組み
アジェンダ
Copyright © 2021, Oracle and/or its affiliates
2

情報セキュリティにおける脅威は、外部脅威と内部脅威の2つに分類することが出来ます。標的型攻撃は起点となる
外部脅威の対策だけではなく、内部脅威に対するセキュリティ対策も重要となります。
情報セキュリティにおける脅威
3
外
部
脅
威
無差別型攻撃
✓ 成功事例の多いシステムの脆弱性を利用し、無差
別に行う
✓ システムの脆弱性（パッチの未適応）を狙う
◼ “85% ”のセキュリティ侵害は、CVEの発表後に発生(*1)
◼ クラウドサーバーをネット接続から“約52秒後”にサイバー攻撃の標的(*2)
◼ Amazon S3バケットの設定ミスを悪用し、無差別にクレジット
カード情報を窃取するスクリプトがばら撒かれる(*3)
標的型攻撃
✓ 組織の脆弱性を推定して、環境に応じて攻撃を行い、
成功するまで標的を繰り返し攻撃する
◼ Webアプリケーションの脆弱性をついた攻撃により内部に侵入(*4), インスタンスの資格情
報を盗み、ストレージから“暗号化されていないDBバックアップファイル”を奪取
◼ 被害者のネットワークへのアクセスを取得し、偵察活動を行う、データを盗み出すための
ネットワークリソース、バックアップ、またはその他の機密ファイルを探し出し、 “攻撃者は人
手によりランサムウェアを展開し、被害者のデータを暗号化“する (*5)
内
部
脅
威
従業員による不正アクセス
✓ 内部で権限を持つアカウントから重要な情報にアクセ
スし、外部に持ち出す
◼ 従業員が“顧客サポート用のデータベースへ不正アクセス” (*6)し、顧客情報を不正に
持ち出し、第三者へ売却
◼ SNSから技術開発担当へ接触し営業秘密情報持ち出し、中国企業に情報を提供
(*7)
◼ ライバル企業に転職した技術者が、転職前の企業の営業秘密情報を不正に取得(*8)
*1 : CISA: Top 30 Targeted High Risk Vulnerabilities *2 : https://japan.zdnet.com/article/35135993/ *3 : https://gigazine.net/news/20190712-magecart-hack-amazon-s3-buckets/
*4 : https://searchsecurity.techtarget.com/news/252467901/Capital-One-hack-highlights-SSRF-concerns-for-AWS *5 : https://www.ipa.go.jp/files/000084974.pdf
*6 : https://blog.trendmicro.com/trend-micro-discloses-insider-threat-impacting-some-of-its-consumer-customers/ *7 : https://www.nikkei.com/article/DGXMZO64989980U0A011C2AC8Z00
*8 : https://www.nikkei.com/article/DGXZQODG1204J0S1A110C2000000
内
部
脅
威
対
策
が
必
要

システム開発等を担当するパート
ナーSEが、2017-2019年の間に、
210名分のID、パスワード、取引暗
証番号などを不正入手
課題
• システム管理担当者が顧客情
報にアクセスできてしまった
• 多要素認証が必須ではなかった
解決策
• 管理者へのアクセス制御の実現
• 厳格な本人確認:多要素認証
会計システムの更新プロジェクトに携
わっていた中国の再委託先の社員が、
取引先情報など約7万件を不正に
取得
課題
• 中国から個人情報にアクセスす
る業務を実施
• 個人情報を伏字化していない
解決策
• 業務委託先からのアクセス・
ルートの制限
• 開発データのマスキング
特権IDを不正利用し、捜査情報や
人事情報に不正アクセス。さらに、上
司のパソコンで不正プログラムを実行
し、26万件の運転免許データを削除
課題
• 管理者への権限過剰付与
• 改ざん対策ができていなかった
• 不正な操作を検知できなかった
解決策
• 管理者の職務分掌の実現
• データの改竄・消去の防止
• 異常操作の早期発見＆警告
昨今の事案
4
再委託先からの不正アクセスシステム担当による内部不正
パートナー企業による不正アクセス

セキュリティインシデントが与える経営への影響とクラウドセキュリティ対策の課題
5
60
%
重大な侵害を受けたことを公表した
中小・中堅企業の約60%は
6~12か月以内に倒産(*1)
企業の経営への影響
*1 出典：https://www.itpro.co.uk/security/data-breaches/357941/how-much-will-a-data-breach-really-damage-your-organisations
*2 出典： Oracle and KPMG Threat Report 2020
*3 出典： https://www.darkreading.com/operations/85--of-data-breaches-involve-human-interaction-verizon-dbir/d/d-id/1341012
設定ミスによるデータ損失の発生
51%
人手を返した運用により
設定ミスに起因した、データ
の損失が51%発生 (*2)
85
%
データ漏洩の85%は
フィッシング、人的ミス、認
証情報の紛失・盗難など
人的要素を含む (*3)
データ漏洩における人的要素

6 Copyright © 2021, Oracle and/or its affiliates
サイバーセキュリティモデルの変遷
1990 2000 2010 2020 …………
データ量
境界防御
（Perimeter Defense）
縦深防御
（Defense in Depth）
サイバーレジリエンス
（Cyber Resilience ）
ゼロトラスト又はデータドリブン防御
Zero Trust Defense or
Data-Driven Defense
Build Security Into Your
Network’s DNA: The Zero Trust
Network Architecture
Forrester 2010
Policy Decision Point(PDP)
Policy Enforcement Point(PEP)
X.500
電子ディレクトリ・サービス
情報機関改革及び
テロ予防法（2004）
Federal Identity, Credentialing
and Access Management (FICAM)
De-Perimeterization (非境界化)
- Jericho Forum 2007
NIST SP 800-207 Zero Trust Architecture, 2020
NCSC Zero trust principles – Beta Release, 2020
DoD Zero Trust Reference Architecture, 2021
Executive Order on Improving
the Nation’s Cybersecurity, 2021
DoDブラックコア
The Road to Zero Trust(Security):
DIB Zero Trust White Paper,
Defense Innovation Board, 2019
出所：Seigo Osawa & Hideki Matsuoka, Oracle Corporation Japan, 2021
エドワードスノーデン (2013)
アメリカ同時多発テロ事件 (2001) 重要インフラへの攻撃 (2021)
✓ セキュリティモデルは数年毎に大波を迎え、過去の思想を塗り替えて成長
✓ モデル変更の理由は、サイバー攻撃の高度化、組織化（国家支援型等）
✓ 過去のモデルの全否定ではなく、境界防御をやりながらゼロトラストを目指す

アジェンダ
7

セキュリティの考え方
Copyright © 2021, Oracle and/or its affiliate
8
Confidentiality
(機密性)
Integrity
(完全性)
Availability
(可用性)
資産の正確さ及び完全さを保護する特性
データの改ざん・破壊、システム停止
許可されていない個人、エンティティ又はプロセス
に対して、情報を使用不可又は非公開にする特
性
情報漏えい、不正アクセス
認可されたエンティティが要求したときに、
アクセス及び使用が可能である特性
システム停止

• 米国の30,000組織が影響を受ける
• ハッカーはExchangeの脆弱性を利用
して電子メールアカウントにアクセスした
• ウェブシェルマルウェアをインストールし、
被害者のサーバへの継続的な管理ア
クセスを実現
2021年5月 2020年12月
2021年5月
• コロニアル・パイプラインは5,500マイル
（テキサス州からニュージャージー州ま
で）のパイプラインを運営
• 1日に1億ガロンの燃料を輸送
• 燃料配送パイプライン全体を停止し、
米国東海岸のガソリンおよびジェット燃
料の配送に影響
• 500万ドルの身代金 (Darkside)
• サプライチェーン攻撃 - Solarwinds
Orionのコードに注入されたマルウェア
• 米国内の8,000の組織が影響を受け
る（複数の政府機関を含む
• Microsoft、VMWare、Ciscoが影響
を受ける
• ベンダー製品に対する顧客の信頼性に
影響を与える
9
最近のランサムウェアの攻撃

二重の脅迫
従来のランサムウェアはコンピュータに保存されているデータを暗号化して復号のための身代金を要求する(第一弾の脅迫)
だけでしたが、昨今増加している二重恐喝脅迫型ランサムウェアは第二弾の脅迫としてコンピュータ内に保存されている
データを公開すると脅迫して、金銭を要求します。
従来のランサムウェアではデータ暗号化のみでしたのでバックアップからデータを復元できれば元の状態に戻すことができてい
ましたが、昨今の二重恐喝脅迫型ではデータを復元できたとしてもデータを不正に公開されるリスクが残ってしまいます。
事業継続を脅かす新たなランサムウェア攻撃
10
企業のネットワークに
侵入し、横展開
データ破壊
暗号化、バックアップ削除
データ復旧に
身代金を要求
支払いに応じない場合、
情報を公開すると脅迫
データ搾取
参照：https://www.lac.co.jp/lacwatch/report/20210405_002585.html
参照：https://www.ipa.go.jp/security/announce/2020-ransom.html
従来型のランサムウェア
二重恐喝脅迫型のランサムウェア
Availability
(可用性)
Integrity
(完全性)
Confidentiality
(機密性)

オラクルの多層型対ランサムウェア防御＆保護
11
攻撃ベクトル：
クレデンシャルの収集/盗難、
フィッシングメール、フェイク
SWアップグレードアラート
初期攻撃:
ハッカーチームは、コ
マンド＆コントロール
センターを設定して
悪意のある活動を
開始
データとストレージの攻撃：
恐喝目的でデータを操作お
よび公開
バックアップアクセス：
ランサムウェアは、バックアップを
含め、接続されたシステムへの
横方向の移動を試みる
データアクセス：
ローカル、ドメイン、およびネット
ワークアクセスの特権クレデンシャ
ルの盗難
ランサム支払い
データ復旧の保証なし

オラクルの多層型対ランサムウェア防御＆保護
12
DBSAT, ユーザーアカウント,
特権とロールの検証
透過的暗号化とセキュリティ
強化された
Exadata Infrastructure
DON’T pay ransom!
データの欠損なくクリーンな環境
あるいは、フルリカバリー
Oracle Audit Vault
and Database Firewall
攻撃ベクトル：
クレデンシャルの収集/盗難、フィッシ
ングメール、フェイクSWアップグレード
アラート
初期攻撃:
ハッカーチームは、コマンド
＆コントロールセンターを設
定して悪意のある活動を
開始
データとストレージの攻撃：
恐喝目的でデータを操作および公開
バックアップアクセス：
ランサムウェアは、バックアップを含め、接
続されたシステムへの横方向の移動を
試みる
ZDLRAによるトランザクションなデータ保護、
バックアップ有効性検証、サイバーレジリエンス
データアクセス：
ローカル、ドメイン、およびネットワークアクセス
の特権クレデンシャルの盗難
ランサム支払い
データ復旧の保証なし
ZDLRA Cyber Vault：
エアギャップバックアップコピー

13
• セキュアな構成、最新のパッチ、隔離されたネットワーク
• 強力なID管理、柔軟なデータ側からのアクセス管理
• Oracle Exadada, Data Safe, Database Vault
ランサムウェア対策
未然の防止
• Transparent Data Encryption (TDE)
• Key Vault
• AVDFでの検知検出, Data Safe
データ流出対策
• ZDLRA(Zero Data Loss Recovery Appliance)
• Data Guardによる障害対策
ランサムウェア
リカバリー対策
Oracleが貢献可能なランサムウェア対策
二段階の脅迫回避
ソリューション
「ZDLRA、TDE、OCI
Object Storageの組
み合わせ」
米国メガバンク
50台以上のZDLRAで
10000DBを保護

アジェンダ
14

2021.9
2021.8
2021.6
2021.5
2021.2
2020.8
ゼロトラストセキュリティのこの1年を振り返る
15
NIST SP 800-207
Zero Trust Architecture
Executive Order on Improving the
Nation’s Cybersecurity
NCSC Zero trust principles
DoD Zero Trust
Reference Architecture (Draft)
CISA Zero Trust
Maturity Model (Draft)
Moving the U.S. Government Towards
Zero Trust Cybersecurity Principles
(Draft)

アメリカ合衆国国防総省(DoD) ：ゼロトラストセキュリティを提供
16
出典：https://www.afcea.org/content/dod-offer-zero-trust-architecture-year
ネットワーク中心のセキュリティモデルからデータ中心の
セキュリティモデルへのこのパラダイムシフトは、
最初にデータと重要なリソースを保護する方法に重点を置き、
次にネットワークに重点を置く
すべてを許可して例外で拒否するのではなく、すべての
[ネットワークアクセス]を拒否して例外で許可するという
基本的な前提を変更
巧妙な攻撃者は私たちの資格情報を盗み、特権に昇格し、
データを盗み出します。だからこそ、データ侵害を防ぐために、
ゼロトラストを採用する

リソースにアクセスしてくるすべてのセッションを
「信頼できないもの」とみなして毎回、認証・認可の
プロセスを実施することでセキュリティを確保する方式。
•認証：アクセス者がリソースにアクセスしてよいかを判断する
•認可：アクセス者がアクセスしてよいリソースの範囲を判断する。
従来のネットワーク境界型のセキュリティ確保方式の代わ
りに出てきた概念。
ゼロトラスト・アーキテクチャの定義 (NIST SP 800-207)
17 出典：NIST Special Publication 800-207 https://csrc.nist.gov/publications/detail/sp/800-207/final
内部アクセスでも無条件に
信頼せず毎回権限を確認
社内システム
にアクセス
業務に関わるNWの構成は年々複雑化
複雑化する企業NWや内部犯によるデータ漏洩等への対応を強化
内部からの不正アクセス
は防げない
一度境界を突破されると横断的に
他システムのデータも盗まれてしまう

各省庁で保存時と転送時のデータ暗号化と他要素認証が必須に
国家サイバーセキュリティ向上に関する大統領令
セキュリティベストプラクテイスとしてゼロトラストを採用
• SaaS, PaaS, IaaS などの安全なクラウドへ移行
各省庁は「保存時と転送時のデータへの暗号化」と
「多要素認証」の採用
• 180日以内に各省庁は採用が必須
• 本命令から60日毎に採用状況報告と採用計画の
提出
• 180日以内に採用不可の場合には国土安全保障
長官に報告
2021年5月12日付サイバーセキュリティに関する大統領令
18
出典：https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

• ゼロトラストとは、「ネットワーク内のすべての人、すべて
のものが疑わしい」という前提に基づくセキュリティ哲学
です。ゼロトラストは、セキュリティの焦点を、境界防御
からデータ中心へと変えること
• 成熟度モデルは、「アイデンティティ」、「デバイス」、
「ネットワーク/設備」、「アプリケーションワークロード」、
「データ」の5つの柱に対して従来型、先進型、最適型
のゼロトラスト・アーキテクチャの具体的な例を提示
• これによって、ゼロトラストへの移行を支援するための
数多くの道筋として成熟度モデルを提供
CISA Zero Trust Maturity Model (Draft)
19
出典：https://www.cisa.gov/publication/zero-trust-maturity-model

(Draft)
• ホワイトハウスは、「ゼロトラスト」を2024年までに実装
を目指す
• ログ、多要素認証、資産管理、ユビキタス(あらゆる所
での)暗号化の対策が必要
• 5つのレイヤー(柱)で対策を実施
• アイデンティティ
• デバイス
• ネットワーク
• アプリケーション
• データ
Moving the U.S. Government Towards Zero Trust Cybersecurity Principles
20
現在の脅威環境では、連邦政府はもはや重要なシステ
ムやデータの保護を境界線ベースの防御に依存すること
はできません。この課題に対処するには、連邦政府機関
のサイバーセキュリティへの取り組み方に大きなパラダイムシ
フトが必要となります。
目的 (1段落のみ)
「EO 14028(*)は各省庁に対し、ユニバーサルロギング、
多要素認証（MFA）、信頼性の高い資産目録、ユビキ
タス(あらゆる所での)暗号化の使用など、政府全体で主
要な基本的セキュリティ対策を満たすことに注力し、ゼロト
ラストアーキテクチャを採用するよう指示しています。
ゴール (1段落目のみ)
* EO 14028 : the President issued Executive Order (EO) 14028 [2020年5月の大統領令]
出典：https://zerotrust.cyber.gov/downloads/Office%20of%20Management%20and%20Budget%20-%20Federal%20Zero%20Trust%20Strategy%20-%20DRAFT%20For%20Public%20Comment%20-%202021-09-07.pdf

ゼロトラストの考え方
After/With Covid-19
働く場所
『性悪説の設計』
誰が・どこから
なんのアプリケーションを使って
どんなルールで
なんのシステムを使って
なんの情報を
変化する働き方
デバイス/ワークロード
本人確認の厳格化
全通信の監視
アプリケーション
最小権限の実現
ゼロトラストアーキテクチャ
データ（資産）

ゼロトラストの考え方：この1年でお客様が気が付いたこと
EDRの導入の敷居が高い ID管理と職務分掌ができていない
そもそも守るべき情報がわからない多くの機密情報はDBに入っている
内部不正対策が進んでいないゼロトラストは侵入前提で対策する
リモートワークではリモートデスクトップが
使いものにならない
インターネットブレイクアウトが
必要となり境界防御から脱却

ゼロトラストセキュリティのアプローチ（Framework）
23
Network主軸のアプローチ
ID管理・N/W対策が中心
オラクルのアプローチ
データ・セントリック・セキュリティ
セキュリティ
ポリシー
ID管理
Detection & Response
データ
アプリ N/W
分析・可視化
自動化
Security
Enforcement
Endpoint(端末)
データ
ユーザー
アプリ
N/W

ゼロトラストセキュリティの各アプローチでの脅威に対する防御策の違い
最も重要な資産であるデータ層が守れていないケースが多い
24
Network主軸のアプローチ
ID管理・N/W対策が中心
オラクルのアプローチ
データ・セントリック・セキュリティ
セキュリティ
ポリシー
ID管理
Detection & Response
データ
アプリ N/W
Endpoint(端末)
内部不正
内部不正
ネットワーク機器
脆弱性への攻撃
パスワードリスト
型攻撃
管理者
なりすまし攻撃
データ
ユーザー
アプリ
N/W
アプリケーションへ
の不正アクセス
への不正アクセス
管理者
型攻撃
Security
Enforcement 監査証跡
暗号化
特権ユーザー管理
行列アクセス制御
多要素認証

データ・セントリック・セキュリティでの各攻撃手法への解決策
25
型攻撃
内部不正
管理者
攻撃手法
アプリケーションへの
不正アクセス
アカウント乗っ取り 1．多要素認証
伏字化されてされていない
機密データの持ち出し
2. 保存状態でのデータ不可視化
(暗号化、マスキング)
個人情報への過大な可視性 4. 行列レベルのアクセス制御
不正操作の内容が不明 5. 操作ログの取得・保全
対策
管理者権限の不正利用 3 . 特権ユーザー管理
リスク

データ伏字化
暗号化
アクセス制御
監査
アプリケーションによる対策データベースによる対策
データ・セントリック・セキュリティ：アプリケーションによるセキュリティ実装の課題
26
ポリシーがアプリケーション毎にバラバラ
法対応等の変更時に個別での対応で高コスト
パフォーマンス劣化やデータ量増などH/W影響大
一元的なポリシーによるセキュリティ対策
DBの設定変更のみで短期間・低コストで実装
パフォーマンス、データ量へのH/Wへの影響小
特権ユーザー
管理
強制的な
暗号化
監査証跡
行・列レベルの
アクセス制御
データ伏字化
暗号化
アクセス制御
監査証跡
データ伏字化
暗号化
アクセス制御
監査
データ伏字化
暗号化
アクセス制御
監査

守るべき2種類のデータソース：構造化と非構造化データの考え方
他社が得意な領域 Oracleの得意な領域
オラクル太郎
111-2233-444
XX-XXXX-5678
契約ID
電話番号
お客様名
電話番号
XXX-XXXX-4739
VPN ダウンロード
Cloudへ
アップロード
構造化データ
非構造化データ
社員
管理者悪意ある
アクセス
なりすまし
内部漏洩
システム管理
データ
職務分掌
職務分掌職務分掌職務分掌
伏字による画面撮影対応
（必要な情報のみ表示）
オブジェクト
半構造化データ

アジェンダ
28

今後求められるセキュリティ対策と日本の取り組むべき点
考慮点ゼロトラストセキュリティの考え方セキュリティ対策例日本企業の状況
ネットワーク
• 通信を監視し、未許可のクラウドサービスの
利用を制限
• CASB
• Cloud Proxy
• WAF
グローバルより
注力している
デバイス
• デバイスの認証を常に実施
• 全てのデバイスの保護を徹底
• EDR、EPP
• MDM グローバルと同様
IDアクセス管理
• ID・ユーザを必ず検証
• 必要に応じて多要素認証(MFA)を実施
• IAM
• PAM
• MFA
対応が遅れている
アプリケーション • すべてのアクセスを制限し、不正操作を監視
• CASB、UEBA
• 標的型メール対策
• SIEM、SOAR
グローバルと同様
データ
• データが漏洩・改ざんされないように保護
• 必要最小限の権限付与
• 暗号化
• アクセス制御
対応が遅れている
29 出典: Oracle and KPMG Threat Report 2020
安全なクラウドセキュリティ環境を整備するためには、ネットワークセキュリティだけでなく、
ゼロ・トラスト・セキュリティな対策が必要となります。

ID・アクセス管理(IAM)で日本企業が苦労している点発見された設定ミス：
グローバルと差が大きい TOP3
IDアクセス管理・データセキュリティの対応状況について：調査結果
30
1位
2位
セキュリティグループの誤設定
3位
機密情報が暗号化されていない
過剰な権限付与
37% 45%
33% 40%
25% 32%
IDアクセス管理・データセキュリティ対策に関して、日本企業は認証に加えて利用者に必要となる
最小権限の実現と誤設定の早期検知、暗号化に課題があり、改善が必要となっています。
アクセス
制御
暗号化
出典: Oracle and KPMG Threat Report 2020
① 人事イベントとの連携
② クラウドサービスへのIAMによる制御
③ アプリケーション/モバイル利用の制御
④ 権限管理
⑤ 多要素認証
太字：グローバルとの差が多いもの

アジェンダ
31

共有責任 = クラウド業者は仕組みを提供、お客様は管理作業に責任
共有責任モデルではお客様が管理するセキュリティは幅広い
アプリがアクセスするデータ
Middleware
データベース
OS
Virtual Machine
サーバー・ストレージ
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
IaaS
PaaS
SaaS
ユーザー管理
クラウド
事業者管理
共有責任
32

共有責任モデル：Oracle Cloud Infrastructure の場合
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
Middleware
データベース
OS
Virtual Machine
ネットワーク
物理
IaaS
PaaS
SaaS
ユーザー管理
クラウド
事業者管理
共有責任
お客様側でツールの活用や
セキュリティ構成の管理を実施
SECURITY ON
THE CLOUD
SECURITY OF
THE CLOUD
オラクルはセキュアなクラウド・インフラ
とサービスを提供
33
Oracle が力を入れて
取り組んでいるところ

SECURITY
PART OF OUR DNA
Security is not Optional, it is FOUNDATION.
• 1977 年からビジネス・スタート。最初の顧客は CIA
• 米国政府の要求に応えるセキュリティ技術を提供
• セキュリティは追加できると考えず、組み込むべきもの
• オラクルの製品とクラウド・サービスでは、セキュリティは
最初から組み込まれ、常にオン。

オラクルが実現する堅牢なセキュリティ
データ中心の
セキュリティ
自動化された
セキュリティ
管理
セキュリティ
・バイ・デザイン
SECURITY ON THE CLOUD
SECURITY OF THE CLOUD
＋
強力、完全なテナント分離
強制的な暗号化
(DB/Storage/Network)
階層型権限管理
ボット対策とWAF(*)
セキュリティポリシーの自動有効
リスクのある設定を自動検知
35
Defense
In
Depth
重要情報の隠蔽セキュリティ構成
機密データ発見アクティビティ監査
DBセキュリティ対策の自動化
* WAF: Web Application Firewall
脆弱性スキャン
自動化されたログ分析
脆弱性自動修復
多要素認証とリスクベース認証
特権ユーザーのアクセス制御

クラウドプラットフォームレベルでの環境隔離と暗号化
階層型権限管理
✓ 部署ごとの権限設定を実現
✓ コンパートメント間のリソースアクセ
スが可能、部署を跨いだシステム
構築も容易
✓ コンパートメント毎のクオータ設定に
より使い過ぎを抑止
強制的な暗号化
✓ すべてのデータ・サービスはOracle
がフルマネージドで暗号化
✓ データベースファイル,ストレージ
Block Volume, Boot Volume
✓ すべてのネットワーク通信も暗号化
強力、完全なテナント分離
✓ 分離された仮想ネットワークにより
情報漏洩のリスクを最小化
AD2
リージョン1
AD2
リージョン2
すべてのデータ
を暗号化
MACSec
高速・スケーラブルな
Layer2 暗号化
部署ごとにCompartment（サブアカウント）を作成
「コンパートメント」モデル
テナント
コンパートメント A コンパートメントB
ユーザーグループポリシー
ポリシーポリシー
部署-A 部署-B
Hypervisor
VM VM VM
VM VM VM
ホストOS / カーネル
ネットワーク仮想化
物理サーバー
36
セキュリティ
・バイ・デザイン

多層防御によるデータ中心のセキュリティ
外部からの攻撃
» ボットによる攻撃
» 標的型攻撃
» ランサムウェア
» DDoS
内部からの攻撃
» バックドア
» 内部不正
» 不正アクセス
特権ユーザー
管理
ネットワーク
IDアクセス
管理
インフラ
ストラクチャ
データベース
Web
Application
Firewall
Identity
Cloud Service
Data Safe
強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理
37
データ
Observability and Management / Management Cloud
強制的な
暗号化
Autonomous Linux Autonomous Database
Vulnerability Scanning
Cloud Guard/
Security Zones
監査証跡
行・列レベルの
アクセス制御
データ中心の
セキュリティ
設定ミスの
検知・是正
多要素認証

リスクのある設定を自動検知
• 構成とアクティビティを監視
• 問題の特定、脅威を検出
• 問題の是正、顧客通知
セキュリティポリシーの自動有効
• ベスト・プラクティスを強制的に適用
• 初期段階からリソースの
セキュリティを確保
脆弱性自動修復
• Oracle Autonomous Databaseに
おける脆弱性自動修復
• Oracle Data Safeによる
セキュリティ・リスク軽減
自動化されたEnd-to-Endのセキュリティで人的ミスを排除
パブリックアクセス不可
自動パッチ適用
アップグレード
Oracle Cloud Guard Oracle Security Zones
Oracle
Autonomous
Database
Oracle Data Safe
38
•セキュリティ構成評価
•ユーザーのリスク評価
•アクティビティの監査
•機密データの発見
•データ・マスキング
自動化された
セキュリティ
管理

「政府情報システムのため
のセキュリティ評価制度」
(ISMAP)
Oracle Cloud Infrastructureが
ISMAPに登録完了
監査法人による厳格な監査、IPAによる審査を経て登録
• 1200以上のISMAP管理項目に対するセキュリティ評価
Exadata を使ったサービスを含んだOCIのサービスが登録対象
• 国が認定する「安全・安心なクラウドサービス」を利用した
システム構築が可能
https://www.oracle.com/jp/corporate/pressrelease/jp20210622.html
• OCI ... Oracle Cloud Infrastructure
39

• 設定や運用上の問題によって発生するセキュリティ
リスクを自動検知し、インフラの安定的な運用に寄与
• 他社のクラウドサービスと比べて監視できる項目が広く、
UI含め使い勝手が優れているため、効率的な運用が
可能
• 「Oracle Cloud Infrastructure」は、クラウドプラッ
トフォームレベルで環境隔離と強制的な暗号化がされ
ており、「Oracle Cloud Guard」と組みあわせること
で、お客様に安心して利用頂けるサービスを提供
ワークスアプリケーションズ様
40
ERPマネージド・サービスHUE Classic Cloud
で「Oracle Cloud Guard」を活用し、
セキュリティリスクを軽減

① ユーザーのミス、ソフトウェアの構成エラー、パッチの適用忘れ、アカウントの
乗っ取りなどから生じたトップダウン攻撃
② クラウドリソースの再割り当てや、ネットワーク層でのテナント間攻撃を可能に
するなど、ファームウェア書き換えの成功によって生じるボトムアップ攻撃
Oracle Cloud Infrastructure
IDCによるラボ検証ペーパー:自動運用に基づいたテナントデータ保全とプライバシー重視
41
Oracle Cloud Infrastructure (OCI) の主要なコンポーネントに適用され
ている、下記の項目についての安全性を保つために有効性を検証。
◼ クラウドアーキテクチャ：
信頼の起点(Root of Trust)、ネットワーク仮想化の分離
◼ 自律型ソフトウェア：
ホストプラットフォームの健全性、簡略化されたデータセキュリティ対策
◼ 高度なセキュリティサービスコントロール：
クラウドセキュリティポスチャ管理、ユーザー設定エラーの削減
本調査によるIDCの見解：以下の防御対策を提供し、「OCIプラット
フォームは、テナントおよびデータに対して最終的に管理し、独自の管理
が適切と考えるセキュリティチームにとって特に最適」
詳細はこちら ⇒ https://go.oracle.com/LP=109222?elqCampaignId=291082

Oracle Cloud Infrastructure
セキュリティのプロもSaaS基盤としてOCIを選択
42
世界最大のコンピュータ
ネットワーク機器ベンダー
ハードウェアやソフトウェアセンサーから
テレメトリー情報を収集し、データを高度な
機械学習技術によって分析するSaaS
(Cisco Tetration) でOCIを採用
数千コア以上の大規模アプリケーションを
2ヶ月で稼働
インテリジェンス主導型の
セキュリティ企業
なりすまし攻撃、フィッシング、スパムによる
Eメール脅威の対策を提供するSaaSで
OCIを採用
高度なリアルタイム分析をベアメタル・
インスタンスを活用することでクラウドで実現
業界をリードする
サイバーセキュリティ企業
脅威の識別、調査、解決を行うクラウドベースの
SIEMソリューション(McAfee ESM Cloud)で
OCIを採用
他社クラウドに比べ1/4のコストで実現
60万データソースにおける1秒当たり
50万イベントをサポート

カテゴリ機能機能名単価
セキュリティ・
バイ・デザイン
強力、完全なテナント分離 Isolated Network Virtualization / Bare Meta 標準機能
強制的な暗号化 Encryption by Default 標準機能
階層型権限管理 Compartment 標準機能
自動化された
セキュリティ管理
リスクのある設定を自動検知 Cloud Guard 無償
ポリシーの自動適用 Security Zones 無償
脆弱性スキャン Vulnerability Scanning 無償
オンラインでのパッチ適用 Autonomous Database 無償 (*1)
自動化されたログ分析 Logging Analytics 10GBまで無償
データ中心の
多層防御
DBセキュリティ対策の自動化 Data Safe 無償～ (*2)
特権ユーザー管理 Database Vault DBCS HP ～ (*3)
多要素認証、リスクベース認証 Identity Cloud Service ¥384 ～ (*4)
ボット対策とWAF Web Application Firewall ¥90 ～ (*5)
*1 Autonomous Database 利用時に無償で利用可能
*2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償
*3 DBCS High Performance以上で利用可能
*4 価格単位：¥384 [ユーザー/月]
*5 価格単位 : ¥72 [1,000,000インカミングリクエスト/月] + ¥18 [グッドトラフィックのギガバイト/月]

ご視聴
ありがとうございました
44

ゼロトラスト、この1年でお客様の4つの気づき～内部不正、ランサムウェアとの戦い方～ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à ゼロトラスト、この1年でお客様の4つの気づき～内部不正、ランサムウェアとの戦い方～ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)

Similaire à ゼロトラスト、この1年でお客様の4つの気づき～内部不正、ランサムウェアとの戦い方～ (Oracle Cloudウェビナーシリーズ: 2021年10月6日) (20)

Plus de オラクルエンジニア通信

Plus de オラクルエンジニア通信 (20)

Dernier

Dernier (10)