ニュース
日本オラクル、クラウドのセキュリティリスクを低減する2つの新サービスを発表
設定済みのツールによって脅威対策を自動化可能
2020年9月15日 12:05
日本オラクル株式会社は15日、セキュリティに関する設定やアクティビティの監視、是正を行う「Oracle Cloud Guard」と、セキュリティポリシーを自動的に有効にし、安全なゾーンを提供する「Oracle Maximum Security Zones」を、同日より提供開始すると発表した。
「Oracle Cloud Infrastructure(OCI)の利用者であれば、いずれも無償で利用できるものであり、Oracle Cloudの全世界のリージョンで対応している。これらによって脅威への対応を自動化でき、追加コストなしで、迅速かつ効率的にクラウドセキュリティに関するリスクを低減できる」(日本オラクル テクノロジー事業戦略統括ビジネス推進本部の大澤清吾シニアマネージャー)とのこと。
また、「クラウドセキュリティの課題は多くのセキュリティツールを利用していること、それを組み合わせて利用する際のインストラクションがないこと、顧客が自ら設定する必要があるという点である。これらの課題を解決するアプローチになる」と位置づけた。
脅威を特定して自動で対処できる「Oracle Cloud Guard」
Oracle Cloud Guardは、顧客のあらゆる資産を保護する、グローバルで一元化された統合セキュリティソリューション。日常業務において利用している設定とアクティビティを継続的にモニタリングすることにより、脅威を特定して、自動で脅威に対処できるようになる。データ解析、脅威や設定ミスの自動検出を行い、人の監督なしに、これらのセキュリティ上の脅威を追跡し、阻止するのが特徴だ。
ログおよびイベントのアグリゲーターとして機能し、コンピュート、ネットワーキング、ストレージに渡るOCIの主要なサービスと直接統合して、ターゲットやディテクター、レスポンダーと呼ばれる独自のコンポーネントを自動的に実装する。
このうちターゲットは、監視するリソースの範囲を決めるもので、OCI内のコンパートメントやその下位構造など、検討すべきリソースの範囲を設定する。脅威を識別するディテクターは、リソースやユーザーアクションの問題点を識別して、Tor経由のログインや、バケットがパブリックであるといった問題が発見した場合などに警告する。問題の是正や通知を行うレスポンダーは、インスタンスの自動停止やユーザーの一時停止、バケットの無効化など、セキュリティ上の問題に対する通知や是正処置を行う。
例えば、ユーザーが誤ってバケットをパブリックに設定すると、ディテクターがクリティカルな問題が発生していると認識して告知。レスポンダーがルールと照らし合わせて確認し、必要に応じ、OCI Eventsなどを利用して関係者にメールを配信する。この際、自動修復の設定をしていればレスポンダーが自動的に是正し、バケットをプライベートに設定しなおしてくれる。
「Oracle Cloud Guardでは、画面上にセキュリティをスコアリングして表示することにより、セキュリティ上の問題をグラフィカルに理解することができる。ストレージのバケットがパブリックに変更されていたり、VCNが変更されたりした場合にも通知するほか、リモートアクセスポートへのアクセスをIP制御していない場合や、多要素認証を設定していない場合なども告知してくれる」(大澤氏)。
また、「データベースのバックアップが自動的に取得されていない場合やデータベースがパブリックIPになっている場合、データベースのバージョンが古い場合も指摘する。データベースに関するセキュリティを強化しているのは、オラクルならではの部分といえる。初期設定も容易であり、セキュリティ管理者は、セキュリティの設定ミスに対応するための平均時間を短縮することができる」(大澤氏)とした。
さらにOracle Cloud Guardは、ルートコンパートメントに適用できるため、全世界30カ所を超えるすべてのリージョンの状況をモニタリングでき、事業部門などが独自に立ち上げたインスタンスもすぐに対象として監視を行えるので、リスクの早期検知が可能になる。
「OCI上で多くのサービスを利用しているユーザーにとっても有効であり、外部からのアクセスが多いサービスにおいてもセキュリティが強化できる」(大澤氏)。
セキュリティポリシーのベストプラクティスを自動的に有効化
一方の「Oracle Maximum Security Zones」は、セキュリティポリシーのベストプラクティスを自動的に有効化できるものだ。これにより顧客の設定ミスを防ぎ、ワークロードのセキュアなデプロイを支援。最重要データに対する堅牢なセキュリティ対策を自動的に維持できるという。同機能を提供するのは、パブリッククラウド事業者としては初めてになるとのこと。
「OCIでは、セキュリティは選択式ではなく常時オンにしているが、設定を変更することはできる。だが、Oracle Maximum Security Zonesでは、領域を限定してルールを強制的に適用し、変更ができないようにする。例えば、バケットをパブリックに変更できないといった設定が可能になる。また複数のゾーンを設定して、それぞれにセキュリティレベルを変更することもできる。個人情報や機微な情報など、機密性の高いワークロードのための厳格なセキュリティ対策を実施することができる」とする。
具体的には、IaaSへのアクセス管理を拡張し、指定されたクラウドコンパートメントに適用される新しいポリシー定義を使用して、危険なアクションや設定を制限。機密性の高いワークロードに対して、厳格なセキュリティのベストプラクティスを実行することができる。オブジェクトストレージ、ネットワーキング、暗号化、DBaaS、ファイルストレージなど、OCIの中核となるサービスに関するポリシーが含まれており、利用の初期段階から、リソースのセキュリティを確保できる。
「無効にすることができない常に強制したセキュリティ環境を実現すること、また、自由に設定を行う場合にも、問題を自動的に識別し、これを自動的に修復することで、セキュアな場所を維持している」(大澤氏)。
またCloud Guardをはじめとして、事前設定されたルールを自動的にアクティベーションして利用することもできる。
「まずは金融機関などでの利用を想定している。実際には、クラウドのセキュリティポリシーが固まっているユーザーでないと利用が難しいという部分もあるが、こうしたルールやポリシーがなかったユーザーでも、Oracle Maximum Security Zonesの導入を機に、機密性の高いワークロードにおけるルールを設定するきっかけになることも想定している。2019年9月に開催されたOracle Open World 2019において、発表されていたこともあり、日本のユーザーからも関心が高まっている」という。
日本における「クラウドの安全性に対する認識」が遅れている理由は?
また大澤氏は、「日本の企業の多くでクラウドの利用が進むものの、クラウドの安全性に対する認識が遅れている」と指摘する。
日本オラクルとKPMGコンサルティングが共同で行った最新調査によると、クラウドの利用比率は、IaaSではグローバルが76%に対して、日本が83%。SaaSでもグローバルの87%に対して、日本は89%と上回っているが、その一方で、オンプレミスと比較してクラウドはセキュリティが十分であると認識しているか、という設問に対しては、グローバルでは「十分安全である」との回答が40%であるのに対して、日本は21%にとどまっている。これに「少し安全である」という回答を加えても、グローバルでは75%であるのに対して、日本では56%にとどまる。
「クラウドの安全性に対する認識では、日本はグローバルに比べて2年遅れである」とする。
クラウドのセキュリティに対する認識が低い理由を、同調査から次のように分析する。
「78%の企業が51種類以上のサイバーセキュリティ製品を利用しており、そのうちの半数が101種類以上の製品を利用している。パッチワークのように、多数の異なる製品を組み合わせているため、設定が誤っているケースが見られている。調査では、日本の企業の42%で設定ミスによるデータ損失が発生している。IaaSやPaaSではユーザー責任による領域が大きい。セキュリティ製品の設定ミスの発生は重要な課題になっている」とする。
オラクルが、今回発表した「Oracle Cloud Guard」および「Oracle Maximum Security Zones」で実現しようとしているのは、これまでのセキュリティツールとは異なる手法で、極めて安全な場所(ゾーン)を用意することと、セキュアな場所を継続的に監視するということだ。
セキュリティ設定と監視を一元的に行える「Security Advisor」をリリース
オラクルでは、横断的にセキュリティ管理を行う新たなツールとして、「Security Advisor」も同時に発表している。
Security Advisorでは、セキュリティ設定と監視を一元的に管理。リソースの作成と設定を安全に行うためのワークフローを提供するとともに、必要に応じて、Oracle Cloud GuardとOracle Maximum Security Zonesのドキュメント、リソースページ、エラーメッセージを埋め込むことができる。これも無償で提供することになる。
大澤氏は「Autonomous DatabaseとAutonomous Linuxによってデータセキュリティを実現し、今回のOracle Cloud GuardとOracle Maximum Security Zonesによって、自動化されたセキュリティ対策を提供できる。そしてSecurity Advisorなどによって、セキュリティバイデザインの考え方がさらに進展する」と語る。
これまでにも強力なテナント分離や、デフォルトでの暗号化、などによってセキュリティバイデザインの考え方を進めてきたが、これらのセキュリティ関連製品の強化によって、OCIが掲げるセキュリティファーストの姿勢をより強化することになる。