Embed Size (px)
Citation preview
Oracle Cloud Infrastructure Security O R A C L E W H I T E P A P E R | 2 0 1 9 年 4 月
2 | ORACLE CLOUD INFRASTRUCTURE SECURITY
免責事項
以下の内容は、オラクル製品の一般的な傾向の概観を示すものであり、情報提供のみを目的とし
ているため、いかなる契約にも含まれません。オラクル社はいかなる資料、コード、機能につい
ても提供する責任を負いません。これらの情報を購買意思決定の根拠とはしないでください。オ
ラクル製品における特長や機能の開発、発表、時期の判断の一切は、継続してオラクル社に委ね
られるものとします。
改訂履歴
本ホワイトペーパーは、初版の公開後、次の改訂がありました。
日付 改訂内容
2019年 4月 2日 新しいセキュリティ・サービスに関する説明を追加。
2018年 11月 12日 新しいセキュリティ機能およびサービスに関する説明を追加。
2018年 8月 13日 新しいセキュリティ機能とコンプライアンス機能に関する説明を追加し、セキュリ
ティ構成に関する概要レベルのセキュリティ・ガイドラインについて新しい項を追
加。
Oracle Cloud Infrastructureホワイトペーパーの最新版は、https://cloud.oracle.com/iaas/technical-
resourcesでご覧いただけます。
3 | ORACLE CLOUD INFRASTRUCTURE SECURITY
目次
免責事項 2
改訂履歴 2
Oracle Cloud Infrastructure: 次世代のエンタープライズ・クラウド 5
セキュリティ上の目標 5
共有セキュリティ・モデル 6
セキュリティ・サービスと機能 8
リージョン、可用性ドメイン、フォルト・ドメイン 8
Identity and Access Management (IAM)サービス 9
ポリシー 11
資格証明 12
Key Management 13
ボルトと鍵 13
実装 14
統合 14
Auditサービス 15
Oracle CASBの監視機能 15
Computeサービス 16
Networkingサービス 17
ファイアウォールとセキュリティ・リスト 19
VCNピアリング 19
サービス・ゲートウェイ 20
Storageサービス 20
Block Volume 20
Object Storage: 21
Archive Storage 22
File Storage 22
Data Transferサービス 23
4 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Databaseサービス 23
Load Balancingサービス 24
管理対象ドメイン・ネーム・システム・サービス 24
Web Application Firewallサービス 25
Email Deliveryサービス 25
Container Engine for Kubernetes 26
Registry 27
セキュリティ構成に関する概要レベルのガイドライン 27
インフラストラクチャ・セキュリティ 29
Security Culture 30
Security Design and Controls 31
セキュアなソフトウェア開発 32
Personnel Security 33
Physical Security 33
Security Operations 34
顧客データの保護 35
データの権利と所有権 35
データ・プライバシー 35
法執行機関からの要請 36
コンプライアンス 36
結論 37
5 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Oracle Cloud Infrastructure: 次世代のエンタープライズ・ク
ラウド
企業が今、あらゆるセキュリティ、データ保護、コンプライアンス要件を満たすスケーラブルな
ハイブリッド・クラウド・ソリューションを必要としています。このニーズに応えるためにオラ
クルが開発したのが、Oracle Cloud Infrastructureです。クラウドで仮想データ・センターを提供
し、比類ないセキュリティで徹底した管理を実現します。Oracle Cloud Infrastructureは、企業の
アプリケーションとお客様をサポートするために設計、構築されたクラウド・プラットフォーム
です。柔軟な拡張性で企業の多様なワークロードに対応する、パフォーマンスとセキュリティ、
可用性に優れたサービスを提供します。Oracle Cloud Infrastructureで用意されているのは、ベ
ア・メタル・コンピュート、仮想マシン(VM)、ソフトウェア定義の仮想クラウド・ネットワーク
(VCN)、高パフォーマンスのマネージドOracleデータベース、リモート・ブロック・ストレー
ジ、オブジェクト・ストレージ、アイデンティティ管理とアクセス管理、マネージド・ロード・
バランシング、DNSなど、最先端のクラウド・サービスです。Oracle Cloud Infrastructureは、企
業のミッションクリティカルなワークロード実行を想定する一方、最新のクラウドに固有のワー
クロードもサポートするように設計・開発されました。
パブリック・クラウドの活用を希望するエンタープライズ顧客のために最優先で配慮するのは、
やはりデータのセキュリティと、既存アプリケーションの移行に伴う負担です。従来型のパブ
リック・クラウドの制約から、企業は一般的に、クリティカルでないアプリケーションをクラウ
ドに移行し、稼動中のミッションクリティカルなアプリケーションとデータは、オンプレミスの
データ・センターで引き続き運用しています。オラクルがOracle Cloud Infrastructureを開発した
のは、強固なセキュリティ体制を維持したまま、ミッションクリティカルなワークロードを最大
限にクラウドに移行して、データ・センター・インフラを構築・運用する負荷を減らすためで
す。Oracle Cloud Infrastructureでは、オンプレミスと変わらない透過性でワークロードを管理で
きます。
完全に隔離した環境の管理をご希望のお客様向けにOracle Cloud Infrastructureで用意されている
のが、ベア・メタル・インスタンスです。管理はすべてお客様が行い、インスタンスでオラクル
のソフトウェアは稼動しません。このオプションも、Oracle Cloud Infrastructureによる大きいイ
ノベーションの成果です。プロビジョニングの自動化やインフラの柔軟性といった従来のクラウ
ドのメリットに加え、管理性、透過性、ソフトウェアの柔軟性が向上します。
セキュリティ上の目標
オラクルの使命は、効果的で管理しやすいセキュリティのもとで、ミッションクリティカルな
ワークロードを実行し、安心してデータを保存できるクラウド・インフラストラクチャとプラッ
トフォーム・サービスを構築することです。
6 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Oracle Cloud Infrastructureにおけるセキュリティの考え方は、次の7つの柱を土台にしていま
す。それぞれの柱ごとに、プラットフォームのセキュリティとコンプライアンスを最大限に達成
するためのソリューションがいくつも用意されています。
顧客の分離: 他のテナントや Oracleのスタッフからの分離が確約された環境で、アプリ
ケーションとデータ資産をデプロイできます。
データの暗号化: 暗号アルゴリズムと鍵管理をめぐるセキュリティとコンプライアンスの
要件を満たせるように、保存中も移動中もお客様のデータを保護します。
セキュリティ統制: 効果的で使いやすいアプリケーション、プラットフォームおよびネッ
トワーク・セキュリティ・ソリューションを提供。ワークロードを保護し、グローバル
なエッジ・ネットワークを利用してセキュアなアプリケーション配信を確保します。ま
た、サービスへのアクセスに制限を設け、運用責任を切り分けて、故意による、または
偶発的なユーザー処理に伴うリスクを軽減します。
可視性: ログ・データとセキュリティの総合的な分析を通じて、企業リソースに対する活
動を監査および監視。監査要件を満たすとともに、セキュリティ上および運用上のリス
クを緩和できます。
セキュアなハイブリッド・クラウド: クラウド・リソースにアクセスし、データおよびア
プリケーション資産をクラウドで保護する際には、ユーザー・アカウントやポリシーな
ど既存のセキュリティ資産も、サードパーティ製のセキュリティ・ソリューションも利
用できます。
高い可用性: 可用性の高いスケールアウト・アーキテクチャに対応し、ネットワーク攻撃
に対する回復力を備えた障害耐性の高いデータ・センターを実現。災害やセキュリティ
攻撃が発生しても、安定した稼動時間をお約束します。
検証可能なセキュアなインフラストラクチャ: クラウド・サービスの開発と運用のあらゆ
るフェーズで、厳格なプロセスを遵守し、実効的なセキュリティ統制を徹底します。第
三者監査、証明書、認証を通じて、オラクルの厳格なセキュリティ標準に対する準拠を
明白に示すことができます。社内のセキュリティおよびコンプライアンス・チームに対
しても、顧客、監査人、規制当局に対しても、万全なコンプライアンス状況を実証でき
ます。
また、オラクルは情報、データベース、アプリケーション、インフラストラクチャおよびネット
ワークの各セキュリティについて第一級のセキュリティ専門家を抱えています。Oracle Cloud
Infrastructureを使用すれば、お客様はオラクルの深い専門知識と継続的なセキュリティ投資か
ら、直接的なメリットがあります。
共有セキュリティ・モデル
Oracle Cloud Infrastructureは、クラス最高のセキュリティ技術と運用プロセスで、企業のクラウ
ド・サービスを保護します。ただし、Oracle Cloud Infrastructureで安全にワークロードを実行す
るには、お客様にもセキュリティおよびコンプライアンス上の責任を認識していただく必要があ
7 | ORACLE CLOUD INFRASTRUCTURE SECURITY
ります。クラウド・インフラストラクチャと運用に関するセキュリティはオラクルが保証し(クラ
ウド・オペレータのアクセス制御、インフラのセキュリティ・パッチ管理など)、クラウド・リ
ソースの安全な構成についてはお客様が担うというのが、当初からの意図です。クラウドにおけ
るセキュリティは、お客様とオラクルが責任を分担するということです。
マルチテナントの共有コンピュート環境では、基盤となるクラウド・インフラストラクチャ(デー
タ・センター設備、ハードウェアおよびソフトウェア・システムなど)のセキュリティはオラクル
が担い、ワークロードの保護とサービス(コンピュート、ネットワーク、ストレージ、データベー
スなど)の構成はお客様が分担します。
完全分離型のシングル・テナントでは、Oracleソフトウェアが一切インストールされていないベ
ア・メタル・サーバーを使用します。アプリケーションをデプロイするソフトウェア・スタック
(オペレーティング・システムより上層)はお客様にご用意いただくため、お客様の責任が大きく
なります。この環境では、ワークロードを保護するのも、サービス(コンピュート、ネットワー
ク、ストレージ、データベース)を構成するのも、ベア・メタル・サーバー上で実行するソフト
ウェア・コンポーネントを安全に構成、デプロイして管理するのも、すべてお客様の責任です。
具体的に言うと、お客様とオラクルが分担する責任は、次の各領域に分かれます。
Identity and Access Management (IAM): Oracle Cloudのあらゆるサービスと同じく、
クラウド・アクセス資格証明の保護と、個々のユーザー・アカウントの設定は、お客様
が行います。従業員アカウントへのアクセスの管理およびレビューと、そのテナントで
発生する活動すべては、お客様の責任範囲です。オラクルは、アイデンティティ管理や
認証、認可、監査など実質的な IAMサービスの提供について責任を負います。
ワークロード・セキュリティ: お客様のコンピュート・インスタンスのオペレーティン
グ・システムおよびアプリケーション層を、攻撃やデータ侵害から保護・保全するの
は、お客様の責任範囲です。この保護には、アプリケーションとオペレーティング・シ
ステムのパッチ適用、オペレーティング・システムの構成、マルウェアやネットワーク
攻撃に対する保護が含まれます。オラクルは、ハードニングと最新パッチの適用が済ん
だセキュアなイメージの提供について責任を負います。また、オラクルはお客様が現在
ご使用中のサードパーティ製セキュリティ・ソリューションを持ち込みやすいようにし
ます。
データの分類とコンプライアンス: お客様のデータを適切に分類してラベルを設定し、コ
ンプライアンス義務を満たすのは、お客様の責任範囲です。また、ソリューションを監
査し、それがコンプライアンス義務を満たしていることを確認するのも、お客様の責任
となります。
ホスト・インフラストラクチャ・セキュリティ: お客様のコンピュート(仮想ホスト、コ
ンテナ)、ストレージ(オブジェクト、ローカル・ストレージ、ブロック・ボリューム)、
プラットフォーム(データベース構成)サービスを安全に構成して管理するのは、お客様の
責任範囲です。サービスの最適な構成とセキュリティについては、オラクルも共同責任
を負います。この責任には、ハイパーバイザ・セキュリティのほか、ホストの適切な通
8 | ORACLE CLOUD INFRASTRUCTURE SECURITY
信を保証し、デバイスが正しいストレージ・デバイスをアタッチまたはマウントできる
ように対処するために必要な権限およびネットワーク・アクセス制御の構成も含まれま
す。
ネットワーク・セキュリティ: 仮想ネットワーク、ロード・バランシング、DNS、ゲート
ウェイなどのネットワーク要素を安全に構成するのは、お客様の責任範囲です。オラク
ルは、セキュアなネットワーク・インフラストラクチャの提供について責任を負いま
す。
クライアントおよびエンドポイント保護: クラウド・リソースにアクセスする際、モバイ
ル・デバイスやブラウザなど、各種ハードウェアおよびソフトウェア・システムを使用
するのは、お客様の責任範囲です。Oracle Cloud Infrastructureサービスへのアクセスに
使用するクライアントおよびエンドポイントすべての保護についても、お客様の責任と
なります。
物理セキュリティ: Oracle Cloud Infrastructureで提供されるすべてのサービスを実行して
いるグローバル・インフラストラクチャを保護するのは、オラクルの責任範囲です。こ
こで言うインフラストラクチャには、Oracle Cloud Infrastructureサービスを実行する
ハードウェア、ソフトウェア、ネットワーク機器、設備が含まれます。
セキュリティ・サービスと機能
Oracle Cloud Infrastructureの最大の目標は、お客様がお客様保有のオンプレミス・インフラスト
ラクチャおよびデータ・センターの論理的な延長としてOracle Cloud Infrastructureをお使いいた
だくことです。お客様は、セキュリティ環境を損ねたり作りなおしたりすることなく、最新パブ
リック・クラウドの利点を活かせます。オラクルのインフラとサービスはすべて、この考え方を
中心に設計されています。
リージョン、可用性ドメイン、フォルト・ドメイン
データの可用性と耐用性を確保するために、Oracle Cloud Infrastructureでは地理も脅威プロファ
イルも異なるインフラストラクチャから、いずれかを選択できます。
リージョンは、インフラストラクチャのトップ・コンポーネントです。ひとつひとつのリージョ
ンが各々の地理エリアは、複数の障害独立性ロケーションで構成されます。これを可用性ドメイ
ンと言います。
可用性ドメインは独立しており、高い信頼性があります。各可用性ドメインは、建物、発電機、
冷房機器、ネットワーク接続など完全に独立したインフラストラクチャで構築されます。物理的
な分離が、自然災害などの災害に対する防御になります。同じリージョン内の可用性ドメイン
は、安全で高速、低レイテンシのネットワークで接続されているため、信頼性の高いアプリケー
ションとワークロードを構築できます。アプリケーションのレイテンシとパフォーマンスに対す
る影響も、最小限です。可用性ドメイン間のリンクはすべて、暗号化されます。リージョンごと
9 | ORACLE CLOUD INFRASTRUCTURE SECURITY
に可用性ドメインは1つ以上あり、お客様はきわめて可用性の高いアプリケーションをデプロイ
できます。
可用性ドメインごとに3つのフォルト・ドメインがあります。フォルト・ドメインを利用する
と、1つの可用性ドメイン内で同じ物理ハードウェア上に存在しないように、インスタンスの分
散によってアンチアフィニティを保証できます。ハードウェア障害またはコンピュート・ハード
ウェアのメンテナンス更新のために1つのフォルト・ドメインが影響を受けても、他のフォル
ト・ドメインは影響を受けません。
Identity and Access Management (IAM)サービス
Oracle Cloud Infrastructure Identity and Access Management (IAM)サービスは、企業の要件に応
じて構築されており、Oracle Cloud Infrastructureのすべてのリソースおよびサービスに認証と認
可の機能を提供します。企業は、各種の事業単位、チーム、個人が共有するシングル・テナント
を使用しながら、セキュリティ、分離、ガバナンスを確保できます。
お客様がOracle Cloud Infrastructureに参加するときには、新しいテナントが作成されます。テナ
ントとは、お客様が所有するOracle Cloud Infrastructureリソースすべてを含む仮想の構造です。
テナントの管理者は「ユーザー」と「グループ」を作成し、「コンパートメント」に分割された
リソースへの最小のアクセス権を割り当てます。コンパートメントはリソースのグループで、単
一の論理単位として管理できるため、大規模なインフラストラクチャを合理的に管理できます。
たとえば、「人事コンパートメント」という名前のコンパートメントを作成して、人事アプリ
ケーションのホスティングに必要な特定セットのクラウド・ネットワーク、コンピュート・イン
スタンス、ストレージ・ボリュームをホストします。
コンパートメントは、Oracle Cloud Infrastructureでクラウド・リソースの編成と分離を行う際の
基本コンポーネントです。お客様は、分離(プロジェクトまたは事業単位間で、リソースを切り離
すこと)の目的でリソースを明確に区分するために、コンパートメントを使用します。よくあるの
は、組織の大きい部署ごとにコンパートメントを1つ作成するアプローチです。コンパートメン
トの中にサブコンパートメントを作成し、6レベルまでの階層を作ることができます。
Oracle Cloud Infrastructureサービスのほとんどはスコープが地域ごとですが、IAMはグローバル
なので、複数の地域にまたがるシングル・テナントを使用することもできます。
IAMの主なプリミティブは、次のとおりです。
リソース: Oracle Cloud Infrastructureサービスを扱うときに企業の従業員が作成して使用
するクラウド・オブジェクト。たとえば、コンピュート・インスタンス、ブロック・ス
トレージ・ボリューム、仮想クラウド・ネットワーク(VCN)、サブネット、ルートテーブ
ルなど。
ポリシー: テナント内のリソースへのアクセスを定義する一連の認可ルール。
10 | ORACLE CLOUD INFRASTRUCTURE SECURITY
コンパートメント: セキュリティ上の分離とアクセス制御を目的とした、異種混合のリ
ソースのコレクション。
テナント: 組織のリソースすべてを含むルート・コンパートメント。1つのテナント内で
は、管理者が 1つ以上のコンパートメントを作成し、ユーザーとグループを追加して、
コンパートメント内のリソースを使用する権限をグループに付与するポリシーを割り当
てます。
ユーザー: リソース管理のためにアクセスが必要な人、またはシステム。ユーザーは、グ
ループに追加しないとリソースにアクセスできません。ユーザーには、Oracle Cloud
Infrastructureサービスの認証に使用する資格証明が 1つ以上必要です。フェデレーテッ
ド・ユーザーもサポートされています。
グループ: 類似のアクセス権セットを共有するユーザーの集まり。管理者は、テナント内
でリソースを消費または管理するグループを認可するアクセス・ポリシーを付与しま
す。グループに属するユーザーはすべて、同じ権限セットを継承します。
動的グループ: ユーザー・グループに似た、プリンシパル・アクターとしてのインスタン
スのコレクションです。管理者は、動的グループに含まれるインスタンスで Oracle
Cloud Infrastructureサービスに対する APIを呼び出すことが可能なポリシーを作成でき
ます。
一致ルール: 動的グループでメンバーを定義する一連の基準です。ルール基準に一致する
リソースが動的グループのメンバーになります。
インスタンス・プリンシパル: IAMでは、インスタンス自体が新しいプリンシパル・タイ
プです。各コンピュート・インスタンスが独自のアイデンティティを持ち、インスタン
ス・プリンシパル機能によってインスタンスに追加される証明書を使用して認証されま
す。この証明書は自動的に作成されてインスタンスに割り当てられ、切り替えられま
す。
アイデンティティ・プロバイダとフェデレーション: フェデレーテッド・アイデンティ
ティ・プロバイダとの信頼関係。フェデレーテッド・ユーザーが Oracle Cloud
Infrastructureグラフィック管理コンソールへの認証を試みると、構成済のアイデンティ
ティ・プロバイダにリダイレクトされ、ネイティブの IAMユーザーと同じようにコン
ソールで Oracle Cloud Infrastructureリソースを管理できるようになります。Oktaおよび
Oracle Identity Cloud Service (IDCS)とフェデレーションしているユーザーは、Oracle
Cloud Infrastructureの SDKおよび CLIに直接アクセスできます。Oracle Cloud
Infrastructureでは、Simple Cloud Identity Management (SCIM)をサポートしていないア
イデンティティ・プロバイダを使用している顧客の CLIに、トークンベースの認証も使
用できます。現在、Oracle Cloud Infrastructureでサポートされているのは、Oracle
Identity Cloud Service、Microsoft Active Directory Federation Service (ADFS)、および
SAML 2.0準拠の任意のアイデンティティ・プロバイダです。フェデレーテッド・グルー
プをネイティブの IAMグループにマップすれば、フェデレーテッド・ユーザーに適用す
るポリシーを定義できます。
11 | ORACLE CLOUD INFRASTRUCTURE SECURITY
ポリシー
Oracle Cloud Infrastructureリソースへのアクセスをお客様が要求すると、まずIAMサービスに
よって認証され、次にIAMのポリシーによって認可されます。お客様は、テナントのコンパート
メント内のインフラストラクチャ・リソース(ネットワーク、コンピュート、ストレージなど)へ
のアクセス権を特定のユーザー・セットに付与するポリシーを作成できます。このポリシーは柔
軟で、人間が読める形式で記述されているため、理解も監査も容易です。1つのポリシーは1つ以
上のポリシー・ステートメントで構成され、次の構文が使われます。
Allow group <group_name> to <verb> <resource-type> in compartment
<compartment_name>
IAMサービスでは、管理者が自身のインスタンスを認証して、Oracle Cloud Infrastructureサービ
スでAPIを呼び出すこともできます。IAMでは、インスタンス自体が1つのプリンシパル・タイプ
です。各コンピュート・インスタンスが独自のアイデンティティを持ち、証明書を使用して認証
されます。管理者はポリシーを使用して、コンピュート・インスタンスでAPIを呼び出すことが
できます。IAMの動的グループは、Oracle Cloud InfrastructureのAPIにアクセスできるようコン
ピュート・インスタンスを認証するために使用されます。お客様が作成する動的グループには、
メンバーとしてインスタンスが含まれ、IAMセキュリティ・ポリシーを使用してテナント・リ
ソースへのアクセスが認証されます。管理者は、リソースIDとリソース・タグを使用して動的グ
ループにインスタンスを追加できます。IAMで保護されたAPIに動的グループのメンバーがアクセ
スするのを許可するポリシーは、次の構文をとります。
Allow dynamic-group <group_name> to <verb> <resource-type> in compartment
<compartment_name>
12 | ORACLE CLOUD INFRASTRUCTURE SECURITY
verbには、対象のアクセス・タイプを指定します。オラクルは、ポリシー・ステートメントで使
用できる次のverbを定義しています。
inspect: リソースをリストします。リソースの一部に含まれる可能性がある機密情報や
ユーザー指定のメタデータにアクセスすることはありません。
read: inspectの機能を含み、さらにユーザー指定のメタデータと、実際のリソース自体
を取得する機能があります。
use: readの機能を含み、さらに既存のリソースを扱う機能があります(アクションは、
リソース・タイプにより異なる)。リソースを更新する機能も含みますが、update操作
と create操作の実質的な効果が等しいリソース・タイプは除きます(たとえば、
UpdatePolicyと UpdateSecurityList)。そのような場合、update機能は manage verbで
のみ使用できます。一般的に、この verbにはそのタイプのリソースを作成または削除す
る機能がありません。
manage: リソースに対する権限をすべて含みます。
たとえば、GroupAdminsグループで任意のグループを作成、更新、削除できるポリシーは、次の
ように記述します。
Allow group GroupAdmins to manage groups in tenancy
動的グループImageProcessorAppsのインスタンスがObject Storageからバケットを読み取ること
を許可するもうひとつのポリシーは、次の構文をとります。
Allow dynamic-group ImageProcessorApps to read buckets in compartment
ProductImages
資格証明
各ユーザーは、Oracle Cloud Infrastructureへの認証について、次のうち1つ以上の資格証明を持
ちます。ユーザーは、自身の資格証明を生成し、切り替えます。また、テナントのセキュリティ
管理者は、管理しているテナントのユーザーの資格証明をリセットできます。
コンソールのパスワード: Oracle Cloud Infrastructureコンソールにユーザーを認証させる
ときに使用します。顧客は、パスワード長や複雑さのルールなど、コンソールのパス
ワード設定をカスタマイズできます。また、コンソール・ユーザーは IAMのアカウン
ト・リカバリ機能を使用して自身のパスワードを自動的にリセットできます。
時間ベースのワンタイム・パスワード(TOTP): ユーザーが Oracle Cloud Infrastructureコ
ンソールにアクセスするとき、多要素認証(MFA)の実行に使用されます。
APIキー: APIコールはすべて、ユーザー固有の 2048ビット RSA秘密鍵を使用して署名
されています。ユーザーは公開鍵ペアを作成し、コンソールで公開鍵をアップロードし
ます。
13 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Swiftのパスワード: Recovery Manager (RMAN)によって、データベースのバックアップ
のために Object Storageサービスにアクセスする際に使用されます。十分な複雑性を確
保するために、パスワードは IAMサービスを使用して作成され、顧客が指定することは
できません。
顧客の秘密鍵: Amazon S3をお使いのお客様が Object Storageサービスの S3互換 API
にアクセスする際に使用されます。十分な複雑性を確保するために、パスワードは IAM
サービスを使用して作成され、顧客が指定することはできません。
SMTP資格証明: Email Deliveryでメールを送信するには、SMTP (Simple Mail Transfer
Protocol)資格証明が必要です。資格証明は、ユーザー名と、コンソールで生成できるパ
スワードから成ります。
Key Management
Oracle Cloud Infrastructureのデータ・サービス(Boot Volume、Object Storage、File Storageを含
むBlock Volume)を使用してお客様が格納するデータはすべて、暗号鍵によって保護され、鍵は
Oracleによって安全に保管・管理されます。
お客様の業務が規制産業に関わる場合は特に、各社固有のセキュリティ・ガバナンス・ポリシー
と規制上のコンプライアンス要件がクラウドのデプロイメントに実装されていることを実証する
必要があるため、Oracle Cloud InfrastructureのすべてのリージョンにはKey Management (鍵管
理)のサービスが用意されています。
Oracle Cloud Infrastructure Key Managementは、お客様が管理する鍵を使用してデータを暗号化
できる管理対象サービスのひとつです。Key Managementには、一元化された鍵管理の機能があ
ります。可用性、耐性、セキュリティの高い鍵の格納は、FIPS 140-2レベル3認定のハードウェ
ア・セキュリティ・モジュール(HSM)でお客様ごとに分離されたパーティションを使用し、一部
のOracle Cloud Infrastructureサービスと統合されています。
ボルトと鍵
Key Management用するときに扱うリソースには、ボルトと鍵の2種類があります。
ボルトは、Key Managementが鍵を作成して格納する論理エンティティです。ボルト
は、HSM上でお客様ごとに分離された可用性の高いパーティションによって担保されて
います。
鍵は、1つ以上の鍵の世代を参照する論理エンティティです。鍵の世代には、データの保
護に使われる暗号情報が含まれています。鍵ごとに鍵の世代が 1つ以上あり、鍵の世代
の最大数を制限するのは、ボルトに格納できる鍵の合計数だけです。鍵の形式を選択で
きます。鍵の形式とは、鍵の長さとそこで使用されるアルゴリズムです。現在、鍵はす
べて Galois Counter Mode (GCM)で使用される AES (Advanced Encryption Standard)
キーであり、キー長は AES-128、AES-192、AES-256の 3つから選択することができま
す。
14 | ORACLE CLOUD INFRASTRUCTURE SECURITY
鍵を作成するサービスをリクエストすると、Key Managementはその鍵と、後続の鍵の世代をす
べてボルトに格納します。鍵を含むボルトはすべて、リージョン内で何回か複製され、鍵の耐性
と可用性が保証されます。
鍵の情報が平文で見られたり、ボルトからエクスポートされたりすることはありません。Key
Managementを呼び出してデータを暗号化または復号し、鍵を使用できるのは、IAMポリシーで
認証されたユーザー、グループ、サービスだけです。
実装
Key Managementは、アプリケーションで直接、あるいはKey Managementと統合されるOracle
Cloud Infrastructureを通じて使用できます。
Key Managementをアプリケーションで直接使用してデータを暗号化するときに使える手法が、
エンベロープ暗号化です。エンベロープ暗号化では、平文データをデータ暗号鍵(DEK)で暗号化
してから、そのDEKをマスター暗号鍵(MEK)でさらに暗号化します。アプリケーションでエンベ
ロープ暗号化を使用すると、必ずマスター鍵を使用して暗号化されるので、暗号化されたデータ
鍵の格納場所を気にせずに済みます。暗号化されたデータ鍵を、暗号化されたデータと一緒に格
納しておくのは安全です。ネットワーク上で暗号化または復号のために大きいペイロード・デー
タを送信する必要がなく、パフォーマンスにも影響しません。また、エンベロープ暗号化を使用
すると、マスター鍵の複数の世代を使用して同じデータを暗号化できます。したがって、再暗号
化が必要なのはデータを保護しているデータ鍵のみとなり、暗号化と復号の操作に時間をとる必
要がなくなります。そのため、頻繁に鍵を切り替えても、操作とパフォーマンスに対する影響は
無視できる程度で済みます。
Key Managementと統合されたOracle Cloud Infrastructureを介してKey Managementを使用する
と、Key Managementから新しいリソースに鍵を割り当てることができます。また、既存リソー
スに対して鍵の割当てを追加または変更することも、既存リソースから鍵の割当てを削除するこ
とも可能です。既存リソースから鍵の割当てを削除しても、データが保護されない状態で格納さ
れることはありません。Oracle Cloud Infrastructureデータ・サービスが、Oracleによって確認・
管理されている暗号鍵を利用して自動的にデータを保護します。
統合
Oracle Key Managementは、Oracle Cloud InfrastructureのIAMおよびAuditサービスと統合されま
す。
IAMと統合すると、ファイングレイン・コントロールが可能になり、次のアクションを実行でき
ます。
鍵とボルトを管理できる Oracle Cloud Infrastructure IAMユーザーまたはグループを決定
する
15 | ORACLE CLOUD INFRASTRUCTURE SECURITY
鍵を使用してデータを暗号化・復号できる IAMユーザー、グループ、サービスを決定す
る
他の Oracle Cloud Infrastructureリソース(ブロック・ボリュームやバケットなど)に鍵を
関連付けられる IAMユーザーまたはグループを決定する
Auditと統合すると、鍵のライフ・サイクルを監視しやすくなります。
Oracle Cloud Infrastructure Key Managementの詳細については、
https://cloud.oracle.com/en_US/cloud-security/kms/faqを参照してください。
Auditサービス
Oracle Cloud Infrastructure Auditサービスは、お客様のテナントにおけるリソースへのAPIコール
すべてと、グラフィカルな管理コンソールからのログイン活動を記録します。Auditサービスを使
用すると、お客様はテナントにおけるユーザー活動を監視して、それぞれのセキュリティおよび
コンプライアンス上の目標を達成できます。コンソール、SDK、コマンドライン(CLI)からのコー
ルはすべて、オラクルのAPIを通過するため、それらのソースからの活動もすべて含まれます。
監査レコードは、認証済でフィルタリングが可能な問合せAPIを通じて使用できるほか、Oracle
Cloud Infrastructure Object Storageからバッチ・ファイルとして取得することもできます。監査
ログの内容には、発生したあらゆる活動、それを開始したユーザー、リクエストの日時、ソース
IPアドレス、ユーザー・エージェント、リクエストのHTTPヘッダーなどが記載されます。監査
ログの保持期間は、デフォルトでは90日ですが、保持日数は最大365日まで設定することができ
ます。
Oracle CASBの監視機能
Oracle Cloud Access Security Broker (CASB)が、デプロイされたOracle Cloud Infrastructureのセ
キュリティを監視する際には、Oracle Cloud Infrastructure固有の既定のセキュリティ管理および
ポリシー、お客様が設定するセキュリティ管理およびポリシー、そして機械学習によって異常を
検出する高度なセキュリティ分析を組み合せて使用します。Oracle CASBのセキュリティ機能に
は、Oracle Cloud Infrastructureリソースの不適切なセキュリティ構成の監視、異常なユーザー・
アクションを調べるユーザー行動分析(UBA)、リスク・イベントを識別する脅威分析などがあり
ます。
Oracle Cloud InfrastructureでCASBによる監視を有効にするには、Oracle CASBでOracle Cloud
Infrastructureアプリケーション・インスタンスを作成し、権限が最も低いIAMユーザーのAPIキー
証明書にそれを指定します。IAMユーザーは、構成情報と監査ログをOracle Cloud Infrastructure
テナントから取得することを許可されています。Oracle CASBはテナント構成情報と監査ログを
定期的に取得してセキュリティ分析を実行し、セキュリティ・ベースラインからなんらかの逸脱
があった場合にはアラートを生成します。
16 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Oracle Cloud InfrastructureのOracle CASBの監視機能については、
https://docs.oracle.com/en/cloud/paas/casb-cloud/index.htmlにあるドキュメントを参照してくだ
さい。
Computeサービス
Computeは、Oracle Cloud Infrastructureのコア・コンポーネントであり、エンタープライズ・ク
ラスのセキュリティと、他の追随を許さないパフォーマンスでオンデマンドの柔軟な計算能力を
発揮します。お客様は何千というコンピュート・インスタンスをプロビジョニングでき、使い方
の簡単なWebベースの管理コンソールを通じてスケールアップとスケールダウンも可能です。豊
富な機能のSDKとコマンドライン・インタフェース(CLI)を通じて、同じことをプログラム的に実
行することもできます。コンピュート・インスタンスはすべて、オラクルのエンタープライズ・
クラスのデータ・センターでホストされます。
コンピュート・インスタンスの基盤になっているのは、最新世代のマルチコア・サーバーCPU、
大容量のメモリー、高スループットNVMeローカル・ストレージを使用する高性能なサーバー・
ハードウェアです。Oracle Cloud Infrastructureにはベア・メタル・インスタンスと仮想マシン
(VM)インスタンスが用意されており、お客様はパフォーマンス、コスト、ソフトウェアの柔軟性
といった要件に適したインスタンスを選択できます。
ベア・メタル・インスタンス: ベア・メタル・インスタンスでは、物理サーバーがお客様
ごとの専用となるため、サーバーの完全なコントロールが可能です。Oracle管理のハイ
パーバイザはなく、インスタンスの実行中にオラクルの担当者がメモリーまたはローカ
ル(NVMe)ストレージにアクセスすることはありません。ネットワーク仮想化の実装に
は、オフボックス仮想化が使用されます。起動時のインスタンスのプロビジョニングに
は、標準のリモート管理メカニズムが使用されます。ベア・メタル・インスタンスは、
一貫してパフォーマンスが高く、いわゆる「noisy-neighbor」問題にも高い耐性がありま
す。インスタンスの起動後、そのインスタンスに対して OSレベルの管理権限があるの
はお客様だけです。お客様がインスタンスを終了すると、サーバーではディスクおよび
ファームウェア・レベルの自動消去が実行され、お客様どうしの分離が保たれます。
Virtual machine (VM)インスタンス: 柔軟な運用に関する要件がある、または専用のベ
ア・メタル・インスタンスを必要としない場合には、VMという選択肢もあります。
Oracle Cloud Infrastructureにおけるマルチテナント顧客の VMは、セキュリティが強化
されたハイパーバイザによって管理され、お客様どうしの徹底した分離が確保されま
す。
Oracle Cloud Infrastructureインスタンスは、デフォルトで鍵ベースのSSHを使用します。お客様
はSSH公開鍵をOracle Cloud Infrastructureに提供し、SSH秘密鍵を使用してインスタンスに安全
にアクセスできます。Oracle Cloud Infrastructureインスタンスへのアクセスには、鍵ベースSSH
の使用を推奨します。パスワード・ベースのSSHは、総当たり攻撃の影響を受けやすい可能性が
あるため、お薦めできません。
17 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Oracle Cloud Infrastructureインスタンスで、最新のセキュリティ・アップデートで強化された
Oracle Linuxイメージを実行できます。Oracle LinuxイメージはUnbreakable Enterprise Kernel
(UEK)を実行し、高度なセキュリティ機能、たとえば再起動なしでセキュリティ・パッチを適用
できるKspliceなどをサポートします。そのため、企業は業務を中断することなく、インスタンス
をライブ更新できます。Oracle Linuxのほかにも、CentOS、Ubuntu、Windows Serverなど
Oracle Cloud Infrastructureで使用できるOSイメージは増え続けています。お客様が独自のイメー
ジを用意することもできます。オラクルが提供するイメージはすべて、OSレベルのファイア
ウォールがデフォルトで有効になっているなど、デフォルト設定がセキュアです。
Networkingサービス
コンピュートおよびストレージ・サービスをスケーラブルに提供するパブリック・クラウド・イ
ンフラストラクチャには、スループットと信頼性の高いネットワーキングが必要です。そこで、
エンタープライズのお客様とそのワークロードをサポートするために、オラクルはOracle Cloud
Infrastructure Networkingのイノベーションに大々的な投資を続けてきました。Oracle Cloud
Infrastructureのリージョンは、オーバーサブスクリプションのない最新の非ブロック型CLOS
ネットワークで構築されており、予測性に優れた高帯域、低レイテンシのネットワークが実現し
ます。1つのリージョンにおけるデータ・センターは、高可用性を前提にネットワークされ、そ
の間の接続のレイテンシも低く抑えられます。
Oracle Cloud Infrastructure Networkingサービスにはカスタムのプライベート・ネットワーク
(VCN=仮想クラウド・ネットワーク)が用意されており、お客様のOracle Cloud Infrastructureリ
ソースの論理的な分離が強制されます。データ・センターにおけるオンプレミス・ネットワーク
の場合と同様、お客様はVCNを使用するプライベートIPアドレス、サブネット、ルートテーブル
およびゲートウェイを使用して1つのVCNと複数のホストを設定できます。VCNは、インター
ネット接続用に構成することも、IPSec VPNゲートウェイまたはFastConnectを介してお客様の
プライベート・データ・センターに接続することもできます。FastConnectの場合は、既存ネッ
トワークのエッジ・ルーターと、動的ルーティング・ゲートウェイ(DRG)との間でプライベート
接続が可能です。トラフィックはインターネットを横断しません。
Networkingサービスは、双方向のステートフルおよびステートレス・ファイアウォールもサポー
トしており、お客様がネットワーク・セキュリティ・アクセス制御を初期化できます。お客様の
VCNに指定されたファイアウォールとACLは、ネットワーク・トポロジ全体とコントロールプ
レーンに伝播されるので、多層および縦深防御の実装が確保されます。テナント(お客様)それぞ
れが、複数のVCNを作成して、リソースの論理的なグループ化を実装できます。
NetworkingサービスでVCNに関連する主なプリミティブは、次のとおりです。
サブネット: VCNの主な下位区分。サブネットは可用性ドメインごとに固有であり、作
成時にプライベートとマークすることができます。その場合、このサブネットで起動し
たインスタンスはパブリック IPアドレスを持たなくなります。
18 | ORACLE CLOUD INFRASTRUCTURE SECURITY
ルートテーブル: VCNのゲートウェイ(インターネット・ゲートウェイと動的ルーティン
グ・ゲートウェイ)へのサブネット・アクセスを指定する仮想のルートテーブル。NAT、
ファイアウォール、IDSなどのネットワーク機能を実装するターゲットとして、プライ
ベート IPも使用されます。
プライマリ VNIC: サブネットには仮想ネットワーク・インタフェース・カード(VNIC)が
あり、これがインスタンスにアタッチされます。VCN内外のエンドポイントにインスタ
ンスがどのように接続するかを決めるのが、VNICです。各インスタンスは、インスタン
ス起動中に作成されるプライマリ VNICを持ち、これを削除することはできません。イ
ンスタンスの起動中に、Networkingサービスはパブリック IPアドレスも割り当てます。
お客様は、インスタンス起動中のこの動作をオーバーライドして、パブリック IPアドレ
スが割り当てられないように設定することもできます。
セカンダリ VNIC: インスタンスにアタッチできるパブリックおよびプライベート IPアド
レスを持つ VNIC。Bring Your Own Hypervisor (BYOH)のシナリオでは、お客様がベア・
メタル・インスタンスで独自のハイパーバイザを実行できるため、VMにセカンダリ
VNICを割り当てれば、その VMで VCNネットワークを使用できます。これは、VCNで
仮想セキュリティ・アプライアンスを実行するとき、特に便利です。
IPSec VPN接続: VPNとデータ・センターの間のセキュアな VPN接続。
セキュリティ・リスト: パケット・レベルでインスタンスに対して許可される Ingress(入
口規則)と Egress(出口規則)を定義する仮想ファイアウォール・ルール。個々のルール
は、ステートフルまたはステートレスとして定義できます。
インターネット・ゲートウェイ: VCNから公共インターネットへの接続を提供します。
デフォルトでは、新規作成した VCNはインターネットに接続しません。
動的ルーティング・ゲートウェイ(DRG): データ・センターのネットワークと VCNとの
間でプライベート・トラフィックのパスを提供する仮想ルーター。IPSec VPNまたは
Oracle Cloud Infrastructure FastConnect接続とともに使用され、VCNとオンプレミスそ
の他のクラウド・ネットワークとの間でプライベート接続を確立します。
サービス・ゲートウェイ: サービス・ゲートウェイは、VCNと、Object Storageなどの
パブリック Oracle Cloud Infrastructureサービスとの間でプライベート・ネットワーク・
トラフィックのパスを提供する仮想ルーターです。
ローカル・ピアリング・ゲートウェイ(LPG): 同じリージョンの 2つの VCN間でプライ
ベート・ネットワーク・トラフィックのパスを提供する仮想ルーター。この 2つの VCN
は、同じテナントに属する場合も、異なるテナントに属する場合もあります。
リモート・ピアリング接続(RPC): DRGに追加して、異なるリージョンにある 2つの
VCN間でプライベート・ネットワーク・トラフィックのパスを確立できるコンポーネン
ト。
19 | ORACLE CLOUD INFRASTRUCTURE SECURITY
ファイアウォールとセキュリティ・リスト
仮想ファイアウォールは、VCNのセキュリティ・リストを使用して実装します。お客様は、一連
のファイアウォール・ルールを指定して、それに1つ以上のサブネットを関連付けることができ
ます。パケット・レベルで、セキュリティ・リストにサブネットを関連付けると、そのサブネッ
ト内で実行されるすべてのインスタンスにファイアウォール・ルールが適用されます。ファイア
ウォール・ルールには次の2種類があります。
入口規則は、ソース(IP CIDRとポート範囲)、接続先のポート範囲、照合するプロトコル
を指定し、入口ネットワーク接続に適用されます。
出口規則は、接続先(IP CIDRとポート範囲)、ソースのポート範囲、照合するプロトコル
を指定し、出口ネットワーク接続に適用されます。
各VCNには、SSHや特定の重要なICMP入口トラフィックおよびすべての出口トラフィックのみ
を許可するとき、お客様がオプションで使用できるデフォルトのセキュリティ・リストがありま
す。1つのサブネットに、複数のセキュリティ・リストを関連付けることができます。お客様が
使用するサブネットのリストをほかに指定しない場合、そのサブネットではデフォルトのセキュ
リティ・リストが使用されます。
VCNピアリング
VCNピアリングとは、複数のVCNを安全に接続するプロセスです。ローカルVCNピアリングとリ
モートVCNピアリングの2種類があります。
ローカル VCNピアリングは、同じリージョンにある 2つの VCNを接続するプロセスで
す。そのリソースはプライベート IPアドレスを使用して通信でき、インターネットまた
はオンプレミス・ネットワーク上でトラフィックをルーティングする必要がありませ
ん。VCNは、同じテナントに存在する場合も、異なるデマンドに存在する場合もありま
す。ピアリングを使用しない場合、他の VCNと通信する必要があるインスタンスのイン
ターネット・ゲートウェイとパブリック IPアドレスが必要です。
ピアリングには2つのVCNが関与し、それは所有者が同一の場合も異なる二者の場合もあ
ります。所有者が二者の場合は、同じ社内で部署が異なる場合もあれば、まったく違う
企業の場合(サービス・プロバイダ・モデルのときなど)もあります。2つのVCN間のピア
リングには、それぞれのVCNコンパートメントまたはテナントに各当事者が実装する
IAMポリシーという形で、両社から明示的な合意が必要です。VCNが異なるテナントに
ある場合は、それぞれの管理者がテナントのOCIDを提供し、特別なポリシー文を用意し
てピアリングを可能にする必要があります。
リモート VCNピアリングは、リージョンは異なるが同じテナントに存在する 2つの
VCNを接続するプロセスです。VCNのリソースはプライベート IPアドレスを使用して
通信でき、インターネットまたはオンプレミス・ネットワーク上でトラフィックをルー
ティングする必要がありません。ピアリングを使用しない場合、リージョンが異なる他
20 | ORACLE CLOUD INFRASTRUCTURE SECURITY
の VCNと通信する必要があるインスタンスのインターネット・ゲートウェイとパブリッ
ク IPアドレスが必要です。
ピアリングには2つのVCNが関与し、それは管理者が同一の場合も異なる二者の場合もあ
ります。2つの当事者は、社内の別の部署でもかまいません。2つのVCN間のピアリング
には、それぞれのVCNコンパートメントに各当事者が実装するIAMポリシーという形
で、両社から明示的な合意が必要です。
サービス・ゲートウェイ
サービス・ゲートウェイを使用すると、VCNをパブリックインターネットに公開することなく、
Object StorageなどのパブリックOracle Cloud InfrastructureサービスにVCNからアクセスできま
す。インターネット・ゲートウェイは必要ありません。VCNのリソースは、プライベート・サブ
ネットにあってプライベートIPアドレスのみを使用することもあります。VCNからObject
Storageへのトラフィックは、Oracle Cloud Infrastructureネットワーク・ファブリックを通り、イ
ンターネットを横断することはありません。サービス・ゲートウェイを使用する場合は、認可さ
れたVCNまたはCIDRブロックからのリクエストのみを許可することで、Object Storageのバケッ
トを保護できます。
Storageサービス
Oracle Cloud Infrastructureには、パフォーマンスと耐用性に関するお客様の要件に合わせて複数
のストレージ・ソリューションが用意されています。
Local Storage: コンピュート・インスタンス上で NVMeに支持されるストレージ。きわ
めて高い IOPSが得られます。
Block Volume: ネットワークにアタッチされるストレージ・ボリューム。コンピュー
ト・インスタンスへのアタッチが可能です。
Object Storage: 大量のデータをオブジェクトとして格納できるリージョン・サービス。
高い一貫性と耐用性を確保できます。
Archive Storage: アクセスの頻度が低く、長期間の保持が必要なデータを格納するスト
レージ・サービス。
File Storage: 耐用性とスケーラビリティが高く分散型でエンタープライズ・クラスの
ネットワーク・ファイル・システム。
Block Volume
Oracle Cloud Infrastructure Block Volumesサービスは、iSCSIプロトコルを使用してコンピュー
ト・インスタンスにアタッチできる一貫したストレージを実現します。ボリュームは高性能な
ネットワーク・ストレージに格納され、ディスク間のディープ・クローニングや、手動バック
アップ機能、またはポリシーに基づいて自動的にスケジュールされるバックアップ機能をサポー
21 | ORACLE CLOUD INFRASTRUCTURE SECURITY
トします。ボリュームとそのクローンは、お客様のVCN内部からしかアクセスできず、保管時に
はユニークな鍵で暗号化されます。
オラクルが提供するイメージまたはカスタム・イメージに基づいて仮想マシン(VM)またはベア・
メタル・インスタンスを起動すると、そのインスタンスの新しいブート・ボリュームが同じコン
パートメントに作成されます。そのブート・ボリュームは、インスタンスを終了するまでそのイ
ンスタンスに関連付けられます。インスタンスを終了するとき、ブート・ボリュームとそのデー
タを保存できます。この機能を利用すると、コンピュート・インスタンスのブート・ボリューム
に使用できる制御および管理オプションが増えます。ブート・ボリュームはデフォルトで暗号化
されます。セキュリティを強化したい場合は、ボリューム単位でiSCSI CHAP認証を必須にする
ことができます。
Object Storage:
Oracle Cloud Infrastructure Object Storageサービスは、スケーラブルで一貫性と耐用性が高いオ
ブジェクト・ストレージ機能です。HTTPS上のAPIコールによって、スループットの高いデー
タ・アクセスが可能になります。オブジェクトはすべて、保管時にユニークな鍵で暗号化され、
バケット単位で編成されます。また、デフォルトではバケットとその中のオブジェクトへのアク
セスには、認証が必要です。ユーザーはIAMのセキュリティ・ポリシーを使用して、バケットへ
のアクセス権限をユーザーおよびグループに付与することができます。IAM資格証明を持たない
ユーザーがバケットにアクセスできるように、バケット所有者(または必要な権限を持つユー
ザー)は、指定した期間だけバケットまたはオブジェクトに対するアクションを認可にできる事前
認証リクエストを作成できます。あるいは、バケットをパブリックに設定すると、未認証および
匿名アクセスも可能になります。誤って情報が公開されるセキュリティ上のリスクを考慮して、
バケットをパブリックにする場合のビジネス・ケースについては、慎重に検討するようにしてく
ださい。
Object Storageでは、MD5ハッシュがオブジェクトとともに(あるいは、マルチパートのアップ
ロードの場合はパートごとに)送信され、アップロードに成功した旨を返すことによって、オブ
ジェクトが誤って破損されていないかを検証することができます。このハッシュを使用して、オ
ブジェクトの整合性を検証できるからです。
ネイティブAPIのほか、Object StorageサービスはAmazon S3互換のAPIもサポートします。
Amazon S3互換のAPIを使用すると、従来のS3 (SDKクライアントなど)をそのまま使用し続ける
ことができ、パートナーはアプリケーションを変更してObject Storageと連携させることができ
ます。アプリケーションに対する変更は最小限です。Object StorageのネイティブAPIは、
Amazon S3互換のAPIと共存でき、CRUD操作がサポートされます。Amazon S3互換のAPIを使用
するには、あらかじめS3互換APIキーを作成しておく必要があります。必要なキーを生成する
と、Amazon S3互換のAPIを使用してOracle Cloud InfrastructureのObject Storage にアクセスで
きるようになります。
22 | ORACLE CLOUD INFRASTRUCTURE SECURITY
VCNでサービス・ゲートウェイを使用する場合は、承認されたVCNまたはCIDRブロックからの
リクエストのみを許可することで、Object Storageのバケットを保護できます。サービス・ゲー
トウェイは、VCNと、Object StorageなどのパブリックOracle Cloud Infrastructureサービスとの
間でプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。VCNから
Object Storageのパブリック・エンドポイントへのトラフィックは、Oracle Cloud Infrastructure
ネットワーク・ファブリックを通り、インターネットを横断することはありません。
Archive Storage
Archive Storageは、アクセスの頻度が低く、長期間の保持が必要なデータを格納するときに理想
的です。コンプライアンスや監査の必要上コールド・データを保存する場合には、Archive
StorageのほうがObject Storageよりコスト効率が高いからです。いったん書き込まれたデータが
上書きされないようにIAMポリシー権限を適用すれば、Archive StorageでWrite Once Read Many
(WORM)のコンプライアンスを達成できます。
File Storage
Oracle Cloud Infrastructure File Storageサービスは、耐用性とスケーラビリティが高く分散型で
エンタープライズ・クラスのネットワーク・ファイル・システムです。File Storageファイル・シ
ステムには、任意のベア・メタル、仮想マシン、またはVCNのコンテナ・インスタンスから接続
できます。VCN外からでも、Oracle Cloud Infrastructure FastConnectとインターネット・プロト
コル・セキュリティ(IPSec)仮想プライベート・ネットワーク(VPN)を使用すればファイル・シス
テムにアクセスできます。保管時のファイルは、デフォルトですべて暗号化されます。
File Storageを使用する際には、4層のセキュリティをそれぞれ別個に考慮する必要があります。
各層には、それぞれ他の層とは異なる認証エンティティおよび認証方法があります。
Oracle Cloud Infrastructure Policy層。Oracle Cloud Infrastructureで、インスタンス、
VCNとそのセキュリティ・ルール、マウント・ターゲット、ファイル・システムの作成
など、ユーザーにどんな操作を許可するかをポリシーによって制御します。
Network Security層。どのインスタンス IPアドレスまたは CIDRブロックがホスト・
ファイル・システムに接続できるかを制御します。VCNセキュリティ・リスト・ルール
を使用して、マウント・ターゲットへのトラフィックを、したがって対応するファイ
ル・システムへのアクセスを許可または禁止します。
NFS Export Option層。Network Security層と NFS v.3 UNIX層をブリッジするソース IP
アドレスに基づいて、ファイル・システム・エクスポートごとにアクセス制御を適用す
る手法です。
NFS v.3 UNIX層。アプリケーションのインストール、ディレクトリの作成、ローカル・
マウント・ポイントへの外部ファイル・システムのマウント、ファイルの読取り/書込み
など、インスタンスでユーザーが実行できる操作を決めます。
23 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Data Transferサービス
Oracle Cloud Infrastructure Data Transferサービスは、大量のデータをOracle Cloud Infrastructure
に移行できるオフラインのデータ転送ソリューションです。ネットワーク接続が貧弱または信頼
できない、あるいはクラウドへのデータの移動に時間がかかりすぎるなどの理由で、大量なデー
タの転送が現実的でない場合があります。その問題を克服したシンプルで安全なソリューション
が、Data Transferサービスです。市販クラスのハードディスク・ドライブ(HDD)上に数百TB級の
データを転送し、そのドライブをオラクルの転送サイトに送付できます。
Data Transfer Utilityは、オラクルに送付する転送デバイスを準備するためにオラクルが提供して
いるソフトウェアです。Data Transfer Utilityは、dm-cryptやLUKSなどのLinux標準ユーティリ
ティを使用してブロック・デバイスを暗号化します。Data Transfer UtilityとOracle Cloud
Infrastructureの間のネットワーク通信はすべて、TLS (Transport Layer Security)を使用して送信
中に暗号化されます。
Databaseサービス
Oracle Cloud Infrastructureでは、Oracleデータベース(DB)をクラウドで実行、スケール、保護す
るのも容易です。Oracle Cloud Infrastructure Databaseサービスには、次の3つのシステムがあり
ます。
ベア・メタル: 1ノード DBと 2ノード Real Application Cluster (RAC)のシステムで構成
され、費用対効果の高い価格で比類ないパフォーマンスを実現します
Exadata: 業界の最先端として認められている Exadata DBシステムを、クウォーター、
ハーフ、およびフル・ラックで構成します
仮想マシン: 各種コアの VMシェイプで、フル機能の Oracleデータベースを作成できま
す
DBシステムにはお客様のVCNからしかアクセスできませんが、お客様はデータベースへのネッ
トワーク・アクセスを制御するためにVCNセキュリティ・リストを設定できます。Databaseサー
ビスは、DBシステムを起動できるユーザーと管理できるユーザーを制御できるようにOracle
Cloud Infrastructure IAMと統合されています。デフォルトでは、保管時のデータはOracle TDEを
使用して暗号化され、マスター鍵はOracle Walletと各DBシステムに格納されます。DBシステム
のRMANバックアップは、Object Storageでお客様が所有するバケットに暗号化されて格納され
ます。お客様は、DBバックアップ用のバケットを作成し、バケットにアクセスするためのSwift
パスワードとIAM権限をOracle Database Cloud Backupモジュールで構成する必要があります。
あるいは、DBバックアップをシステムのローカルNVMeストレージにすることもできます。各
ユーザーは、コンソールまたはAPIでSwiftパスワードを作成、更新、削除する機能を自動的に取
得します。管理者が、そうした機能をユーザーに付与するためにポリシーを作成する必要はあり
ません。管理者(またはテナントの権限を持つ任意のユーザー)は、他のユーザーのSwiftパスワー
24 | ORACLE CLOUD INFRASTRUCTURE SECURITY
ドを管理することもできます。Object Storageと統合されるSwiftクライアントのユーザーがサー
ビスを操作するには権限が必要です。
Load Balancingサービス
Oracle Cloud Infrastructure Load Balancingでは、お客様のVCNで、コンピュート・インスタンス
にトラフィックを自動的に分散できます。ロード・バランサは、パブリック(インターネットから
のトラフィックを受け取り、プライベート・インスタンスに渡す)、またはプライベート(プライ
ベート・インスタンス間でトラフィックを渡す)です。ロード・バランサでは、お客様が指定する
証明書を使用してSSLターミネーションを構成できます。エンドツーエンドSSLの場合は、ロー
ド・バランサがSSL接続をターミネートし、バックエンドへの新しいSSL接続を作成できます。
SSLトンネリングの場合は、SSL接続がバックエンドに渡されます(TCPロード・バランシングの
み)。Load Balancingサービスでは、デフォルトでTLSがサポートされ、TLS暗号スイートで次の
Forward Secrecy暗号が優先されます。
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
管理対象ドメイン・ネーム・システム・サービス
Oracle Cloud Infrastructure DNSサービスは、エンタープライズ顧客に向けて、動的、静的および
回帰的なDNSソリューションを提供します。DNSサービスは、高速でセキュアなサービスを使用
して、訪問者を顧客のWebサイトおよびアプリケーションに接続します。DNSサービスは、5大
陸18カ所のポイント・オブ・プレゼンス(PoP)のグローバル・エニーキャスト・ネットワークで
動作し、完全冗長型のDNS構成と、PoPあたり複数のTier1トランジット・プロバイダを提供しま
す。ソリューションにはDNSベースの分散型サービス拒否攻撃(DDoS)保護の機能があります。
また、毎日2億4,000万のデータ・ポイントを収集して解析する広大なセンサー・ネットワークを
駆使するインハウスのセキュリティ専門家が控えています。DNSサービスは、お客様の既存の
DNSサービスを補完するセカンダリDNS機能も完全にサポートしているため、DNS層の回復性も
万全です。
25 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Web Application Firewallサービス
Oracle Cloud Infrastructure Web Application Firewall (WAF)は、インターネットに直接接続してい
るWebアプリケーションに対して、クロスサイト・スクリプティングやSQLインジェクションな
ど、Open Web Application Security Project (OWASP)のコア・ルール・セットを適用できる管理
対象サービスです。WAFは、ブラックリストに掲載された既知のIPアドレスのオープンソースお
よび商用の脅威インテリジェンス・フィードであり、毎日更新されています。WAFは、レイヤー
7に対するDDoS攻撃を防ぎます。
管理者は、位置情報、ホワイトリストおよびブラックリストに掲載されたIPアドレス、HTTPの
URLおよびヘッダー特性に基づいて、独自のアクセス制御を追加できます。ボット管理では、
JavaScriptの許容度、CAPTCHA、デバイス・フィンガープリンティング、ヒューマンインタラク
ション・アルゴリズムなど、課題発見と対処するための機能がさらに高度になります。
Oracle Cloud Infrastructure WAFは、元々設定されたWebアプリケーションに届く前にすべての
トラフィック・フローとリクエストを検査するリバース・プロキシとして機能します。Webアプ
リケーション・サーバーからエンド・ユーザーに向かうリクエストがあれば、それも検査しま
す。この強力なサービスによって、アプリケーション・サーバーからのデータ漏えいを制御し、
サーバーを外部の脅威から保護できるようになります。
WAFは、Oracle Cloud Infrastructure Load Balancingなど他のOracle Cloud Infrastructureサービス
に統合でき、コアからエッジまでのトラフィックを可視化できます。WAFのポリシーに対する変
更は、他のOracle Cloud Infrastructureサービスと同じ監査結果報告領域に書き込まれます。コス
トの追跡の目的でWAFポリシーへのタグ付けを適用でき、Identity and Access Management
(IAM)を使用してWAF管理へのアクセスを制御できます。
Oracle Cloud Infrastructure WAFは、SecDevOps対応であり、コントロールプレーン全体のAPIと
各国語のSDKが用意されています。
Email Deliveryサービス
Email Deliveryは、高速で信頼性の高い管理対象サービスを提供し、ユーザーの受信ボックスに到
達する必要のある電子メールの大量送信に対応した電子メール送信サービスです。アプリケー
ションによって生成されるミッションクリティカルな通信、たとえば受領通知、不正検知アラー
ト、多要素による本人確認、パスワードのリセットなどに必要なツールを備えています。
Email Deliveryサービスでは、Sender Policy Framework (SPF)を使用します。メール受信者が
メールのスプーフィングを検出できる機能です。SPFを使用すると、特定ドメインへの送信時に
IPアドレスが明示的に認証されるかどうかをメール受信者が確認できます。SPFは、特殊なTXT
レコードをドメインのDNSレコードに発行することによって実装されます。TXTレコードでは、
このドメインでどのホストがメールの送信を許可されるかが宣言されています。受信側のメー
ル・サーバーは送信側ドメインのSPFレコードをチェックして、そのメールの発信IPアドレスが
26 | ORACLE CLOUD INFRASTRUCTURE SECURITY
そのドメインからの送信を許可されているかどうか確認します。SPFがなければ、スパムまたは
フィッシング・メールが正規のドメインから送信されているかのように「なりすまし」ている可
能性があります。SPFを実装しているドメインは、ドメインになりすまそうとしているメールを
高い確率でブロックできます。
ユーザーがEmail Deliveryでメールを送信するには、SMTP (Simple Mail Transfer Protocol)資格証
明が必要です。
Container Engine for Kubernetes
Oracle Cloud Infrastructure Container Engine for Kubernetesは、コンテナ化したアプリケーショ
ンをクラウドにデプロイできるフルマネージドでスケーラブル、可用性の高いサービスです。
Container Engine for Kubernetesにアクセスすると、コンソールとREST APIを使用して
Kubernetesクラスタを定義し、作成できます。
Container Engine for KubernetesはOracle Cloud Infrastructure IAMに統合されるので、Oracle
Cloud Infrastructureネイティブのアイデンティティ機能による簡単な認証が可能です。クラスタ
にアクセスできるユーザーの権限は、属しているIAMグループに由来します。
IAMに加えてKubernetes RBAC Authorizerも、Kubernetes RBACのロールとクラスタ・ロールを
介して特定クラスタの他のユーザーのアクセス制御を追加で細かく指定できます。Kubernetes
RBACのロールは、権限のコレクションです。たとえば、ポッドに対する読取り権限と、ポッド
のリスト権限を含むロールなどが考えられます。Kubernetes RBACのクラスタ・ロールも、ロー
ルと変わりませんが、クラスタのどこでも使用できます。Kubernetes RBACのロール・バイン
ディングは、ユーザーまたはユーザー・セットにロールをマップし、そのネームスペースにある
リソースに対するロールの権限を、該当するユーザーに付与します。同様に、Kubernetes RBAC
のクラスタ・ロール・バインディングは、ユーザーまたはユーザー・セットにクラスタ・ロール
をマップし、そのクラスタ・ロールの権限を、クラスタ全体で該当するユーザーに付与します。
IAMとKubernetes RBAC Authorizerが連携すると、そのいずれかによって正常に認証されている
ユーザーは、リクエストされたKubernetes操作を実行できます。ユーザーがクラスタに対してな
んらかの操作(ロールの作成と、クラスタ・ロールの作成を除く)を実行しようとすると、IAMは
まずそのユーザーが属しているグループに適切かつ十分な権限があるかどうかを確認します。権
限がある場合には操作に成功します。リクエストされた操作が、Kubernetes RBACのロールまた
はクラスタ・ロールによって付与される他の権限も必要とする場合、そのユーザーに適切な
Kubernetesのロールまたはクラスタ・ロールが付与されているかどうかをKubernetes RBAC
Authorizerが判定します。デフォルトでは、ユーザーにKubernetes RBACロール(またはクラス
タ・ロール)は割り当てられません。したがって、新しいロール(またはクラスタ・ロール)を作成
しようとする前に、ユーザーに適切な権限のロール(またはクラスタ・ロール)を割り当てる必要
があります。
27 | ORACLE CLOUD INFRASTRUCTURE SECURITY
ユーザーはSSHを使用してワーカー・ノードに接続できます。クラスタにノード・プールを作成
するときSSH公開鍵を指定した場合は、そのクラスタの全ワーカー・ノードに公開鍵がインス
トールされます。UNIXまたはUNIXライクのプラットフォーム(Solaris、Linuxを含む)では、SSH
ユーティリティ(またはSSHクライアント)を使用してSSHを介してワーカー・ノードに接続でき
ます。SSHを使用してワーカー・ノードに接続する前に、そのワーカー・ノードのサブネットの
セキュリティ・リストで入口規則を定義する必要があります。
Registry
Oracle Cloud Infrastructure Registryは、Oracleが管理するレジストリです。開発から本番までの
ワークフローを単純化することができます。Registryを使うと、開発者はDockerイメージのよう
な開発時のアーティファクトを格納、共有、管理することができます。Oracle Cloud
Infrastructure RegistryはIAMに統合されるので、Oracle Cloud Infrastructureのアイデンティティ
による簡単な認証が可能です。リポジトリにアクセスできるユーザーの権限は、属しているグ
ループに由来します。開発者がOracle Cloud Infrastructure RegistryからDockerイメージをプッ
シュ/プルする前に、Oracle Cloud Infrastructureのユーザー名と認証トークンが必要です。
リポジトリはプライベートとパブリックのどちらもあります。インターネットにアクセスでき、
適切なURLを知っているユーザーであれば誰でも、Oracle Cloud Infrastructure Registryのパブ
リック・リポジトリからイメージをプルできます。リポジトリをプライベートにしたユーザー(お
よびテナントの管理者グループに属しているユーザー)は、そのリポジトリで任意の操作を実行で
きます。アイデンティティ・ポリシーを利用すると、自分が作成したリポジトリ(パブリックとプ
ライベートのどちらも)で他のユーザーが他の操作を実行できます。
セキュリティ構成に関する概要レベルのガイドライン
Oracle Cloud Infrastructureテナントのセキュリティは、諸要因の組合せによって決まります。そ
の要因をすべて慎重に考慮して安全に構成してください。現実的な観点から言うと、Oracle
Cloud Infrastructureテナントのセキュリティ構成は階層的に捉え、基本的なセキュリティ問題へ
の対処から始めます。次の手順では、テナントのセキュリティを構成するときに従う概要レベル
のガイドラインのロードマップを示します。
1. ユーザーの認証と認可: テナントを安全に構成する最初の手順は、最小権限でテナント・
リソースにアクセスするユーザーを認証および認可するメカニズムを作ることです。こ
の手順は次の操作で構成されます。
o Oracle Cloud Infrastructure Identity and Access Management (IAM)ユーザーを作成する
o IAMグループを作成する
o 作成したIAMユーザーに対する認証メカニズムを設定する(たとえば、パスワードを
使用したコンソール・アクセス、APIキーによるAPIアクセス、認証トークンを使用
したObject Storageアクセスなど)
28 | ORACLE CLOUD INFRASTRUCTURE SECURITY
o コンパートメントを使用して、顧客のテナント・リソースを論理グループに分類する
o IAMグループがテナントまたはコンパートメント・リソースにアクセスするのを認可
するIAMセキュリティ・ポリシーを制定する
エンタープライズの場合、オンプレミスのユーザーおよびグループをテナントにフェデ
レーションするかどうかの検討が重要です。IAMでは、ユーザー、グループ、セキュリ
ティ・ポリシー、フェデレーション・メカニズムを作成できます。
2. ネットワーク・セキュリティのアーキテクチャ: IAMのユーザー認証および認可を設定し
たら、次の手順では、顧客のアプリケーションを安全に実行し、データをテナントに格
納できるように、ネットワーク・セキュリティ・アーキテクチャを作成します。顧客の
コンピュートおよびストレージ・リソースはすべて、その顧客用に作成された仮想クラ
ウド・ネットワーク(VCN)に収容されます。VCNはソフトウェア定義ネットワークであ
り、顧客がワークロードの実行に使用しているオンプレミスの物理ネットワークに似て
います。VCNセキュリティ・アーキテクチャの制定には、次のようなタスクがありま
す。
o ネットワークのセグメンテーション用にVCNサブネットを作成する
o VCNセキュリティ・リストを使用して、VCNおよびロード・バランサ・ファイア
ウォールを制定する
o 高可用性とTLSのためにロード・バランシングを使用する
o VCN外部接続のタイプを決定する(インターネット、オンプレミス・ネットワーク、
ピアーVCN、それらの組合せ)
o 仮想ネットワーク・セキュリティ・アプライアンス(次世代ファイアウォール、IDな
ど)を使用する
o DNSゾーンとマッピングを作成する。ロード・バランサを考える際に重要なセキュ
リティ要素は、顧客のTLS (Transport Layer Security)証明書を使用して顧客のVCNへ
のTLS接続を構成することです。
3. コンピュート・インスタンス・セキュリティの構成: 顧客の VCNで、顧客のアプリケー
ションはコンピュート・インスタンスで実行されます。これには、ベア・メタル・イン
スタンス、仮想マシン(VM)インスタンス、GPUが該当します。コンピュート・インスタ
ンスは、コンピュートの基本的な構成ブロックです。
o ベア・メタル・インスタンスではOracle管理のソフトウェアは実行されず、インスタ
ンスと格納される(リモートおよびローカル・ドライブに)データは完全に顧客に管理
されることになります。
o VMインスタンスは、最小権限のメカニズムで設計されており、業界をリードするハ
イパーバイザ・セキュリティのベスト・プラクティスに準じています。
29 | ORACLE CLOUD INFRASTRUCTURE SECURITY
セキュリティとパフォーマンスの要件によっては、顧客がベア・メタル・インスタンス
とVMインスタンスを使用してそれぞれのテナントでアプリケーション・ワークロードを
実行することもできます。そこで実行される顧客アプリケーションのセキュリティを確
保するために、コンピュート・インスタンスをセキュアに構成することが重要です。
4. データ・ストレージ・セキュリティの構成: データと必要なアクセス権の種類によって、
顧客がデータを格納できる場所はローカル・ドライブ、リモート・ブロック・ボリュー
ム、オブジェクト・ストレージ・バケット、または各テナントのファイル・ストレージ
に分かれます。こうしたデータ格納の要件に対処するために、Oracle Cloud
Infrastructureには複数のデータ・ストレージ・サービスが用意されています。それが
Block Volume、Object Storage、Database、File Storageです。データ・セキュリティ上
の要件に応えるために、顧客はデータをテナントに格納する際のアーキテクチャを定
め、使用するストレージ・サービスを安全に構成する必要があります。データ・スト
レージの適切なセキュリティ・アーキテクチャを考えるうえで重要な要因が、コンプラ
イアンスおよび規制上の要件です。
API監査ログには、API呼出し(コンソール、SDK、CLI、またはAPIを使用するカスタム・クライ
アントを通じた)がログ・イベントとして記録されます。API監査ログはデフォルトで常に有効
で、無効にすることはできません。API監査ログに記録される情報は、発生したAPIアクティビ
ティの時刻、アクティビティのソースとターゲット、アクションの種類、レスポンスの内容など
です。お客様は、Oracle Cloud InfrastructureのAPI監査ログを定期的に確認し、テナント・リ
ソースで実行したのと同じアクションに対応していることを確認するといいでしょう。
セキュリティ構成の詳細なガイドラインは、Oracle Cloud Infrastructureセキュリティ・ガイドを
参照してください。
インフラストラクチャ・セキュリティ
オラクルのセキュリティ・モデルは、人、プロセス、ツール、そしてオラクル製品開発の基本手
法とアプローチでもある共通のセキュリティ「プラットフォーム」を基本として構築されていま
す。顧客とビジネスの保護に使用するコア・セキュリティ・コンポーネントに、このモデルを適
用しています。
Security Culture
Security Design and Controls
セキュアなソフトウェア開発
Personnel Security
Physical Security
Security Operations
30 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Security Culture
セキュリティ重視の組織を築くには、セキュリティ第一のダイナミックな文化が不可欠です。オ
ラクルは、セキュリティ文化に対する全体論的なアプローチを育んできました。そのアプローチ
の中で、チームのメンバー全員がビジネスにおいてセキュリティの果たす役割を習得し、Oracle
製品のセキュリティ体制について積極的に管理と改善に取り組んでいます。また、セキュリティ
意識の高い文化を創出し維持していくために必要な仕組みも実装しました。
セキュリティ志向のリーダーシップ: オラクルの上級リーダーたちは、セキュリティの計
画、監視および管理に積極的に関わっています。セキュリティ・メトリックを定めて測
定し、セキュリティをチーム評価プロセスの要素としても取り込んでいます。
専門知識の組込み: チームにおけるセキュリティ業務を推進するために、オラクルはセ
キュリティ・エンジニアリング・モデルを組み込み、セキュリティ・チームのメンバー
は製品開発チームとともに業務に当たります。このアプローチによって、オラクルのセ
キュリティ部門は製品開発プロセスとシステム・アーキテクチャを深く理解するに至っ
ています。また、セキュリティ上の課題をリアルタイムで解決しやすくなり、セキュリ
ティ構想をさらに効果的に推進できるようになりました。
共通のセキュリティ標準: オラクルは、製品と業務に積極的にセキュリティを統合するよ
う努めています。そのプロセスの一環が、セキュリティの標準ベースラインを確立する
ことです。ベースラインを作成する目的は、明確で実践的なガイドラインを策定するた
めに、単一のセキュリティ基準点を設けることにあります。セキュリティのベースライ
ンは、確認された教訓を取り込み、新しいビジネス要因を反映して頻繁に更新されてい
ます。チームがセキュリティ管理を実装しやすいように、リファレンス・アーキテク
チャ、実装ガイド、セキュリティ専門家の窓口など、一連のサポート資料も作成しまし
た。
開放性、建設的な議論、エスカレーションの推奨がもたらす価値: セキュリティ上の問題
は、その修復に当たる担当者が問題を認識しなければ対処されません。開放性と透明
性、建設的な議論が当たり前になり、エスカレーションが推奨されるようになれば、こ
の点は大きく強化されるはずです。オラクルはエスカレーションを推奨しており、少し
でも早く頻繁に問題点をエスカレーションすることが評価される環境を作っています。
セキュリティ・トレーニング意識: オラクルでは、意識向上を図り、セキュリティ文化を
強化する確固たるセキュリティ意識トレーニングを続けています。新しい従業員全員
に、徹底的なセキュリティ・トレーニングの受講を義務付けるだけでなく、毎年の更新
トレーニングも必須です。また、セキュリティ・トレーニングは、従業員の職務内容に
応じて内容を変えています。ソフトウェア開発者も全員、製品開発のセキュリティに関
するベースライン要件を定め、ベスト・プラクティスも設けた安全開発トレーニングを
受けます。さらに、ゲスト・スピーカーやインタラクティブなフォーラムといった魅力
的で斬新な形のセキュリティ意識トレーニングも実施しているところです(必要であれ
ば、参加者に飲食物や報酬を提供する場合もあります)。
31 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Security Design and Controls
セキュリティは、Oracle Cloud Infrastructure Security Methodologyを通じてオラクルの製品と業
務に取り込まれています。オラクル製品開発のセキュリティ基盤となるコアのセキュリティ領域
に対するアプローチのしかたを定めているのが、一元化されたこの手法です。このアプローチが
俊敏性にもつながっており、1つの製品から学んだベスト・プラクティスと教訓を全社に適用し
て全製品のセキュリティ向上を図るという環境が生まれています。
ユーザー認証とアクセス制御: 本番システムへのアクセス権を付与する際のアクセス権は
最小限とし、承認されたサービス・チーム・メンバーのリストも定期的に見直して、正
当な必要性がなくなっている場合にはアクセス権を取り消します。本番環境にアクセス
する場合は、多要素認証(MFA)が必要です。MFAトークンはセキュリティ・チームに
よって発行され、アクティブでないメンバーのトークンは無効になります。本番システ
ムへのアクセスはすべてログに残され、ログはセキュリティ分析のために保管されま
す。
変更管理: Oracle Cloud Infrastructureは、定義に基づく厳格な変更管理と、専用の優先度
テストおよびデプロイメント・ツールを用いるデプロイメント・プロセスに従っていま
す。本番環境に反映される変更はすべて、テストおよび承認プロセスを経たのちにリ
リースされます。これは、変更点が想定どおりに動作することを確認するためのプロセ
スです。動作が想定どおりでなければ、直前の正常な状態までロールバックして、予測
できない不具合や動作上の問題点を適切に解決します。想定の状態に合致するように、
クリティカルなシステム構成の整合性も追跡しています。
脆弱性管理: オラクルは、製品に脆弱性が存在する可能性を見きわめるために、社内のペ
ネトレーション・テスト・チームと、社外の業界専門家のどちらも利用しています。こ
うした業務によってオラクル製品のセキュリティは改善されており、学習した経験は今
後の開発作業に取り込んでいます。Oracle Cloud Infrastructureのホストでは、業界標準
のスキャナを使用して定期的に脆弱性スキャンを実行しています。スキャン結果は、
Oracle Cloud Infrastructure環境に該当するかどうかを検証するためにトリアージが実行
され、該当するスキャン結果については製品チームがパッチを開発します。
インシデント対応: オラクルは、インシデントが発生した場合に対応して対処できる強固
なプロセスとメカニズムを開発しました。24時間 365日のレスポンス・チームが、イン
シデントを検出しそれに対応すべく待機しています。主要なスタッフ・メンバーは、ポ
ケットベル機器を携帯しているので、いつでも専門家を呼び出して問題の解決に当たら
せることができます。一方、インシデントから学ぶことができるプロセスも作り上げま
した。実施するのは、Corrective Action/Preventative Action (CAPA)プロセスを通じた根
本原因解析です。CAPAは、インシデント後に企業が対応できるように、ビジネス・
ギャップと変更点を検出します。CAPAは、問題を検討し、今後の運用体制を改善する
具体的な手順を把握するための共通言語として機能します。問題の根本原因を取得し、
問題の封じ込めや修正に何が必要か、問題の再発を防ぐために何が必要かを把握できま
す。オラクルのリーダーシップ・チームは、すべての CAPAをレビューし、学習した教
訓を全社的に適用できるかどうかを検証し、タイムリーに措置を実行します。
32 | ORACLE CLOUD INFRASTRUCTURE SECURITY
セキュリティ・ログとモニタリング: オラクルは、インフラストラクチャで発生するセ
キュリティ関連のさまざまな事象(たとえば、APIコールやネットワーク・イベント)をロ
グに残し、そのログで異常動作を監視する自動メカニズムを作りました。監視メカニズ
ムで発生したアラートについては、セキュリティ・チームが追跡してトリアージも行い
ます。
ネットワーク・セキュリティ: デフォルトで Oracle Cloud Infrastructureとお客様との通
信に使用されるのは、最新の TLS暗号と、転送中のデータを保護し中間者攻撃を阻止す
る構成です。それ以上の防御として、お客様のサービス・コマンドは公開鍵でデジタル
署名し、改ざんを防ぎます。また、業界の最先端として認められているツールとメカニ
ズムをデプロイして、DDoS攻撃を軽減して、高い可用性を維持します。
コントロールプレーン・セキュリティ: Oracle Cloud Infrastructureのバックエンド(コン
トロールプレーン)ホストは、ネットワーク ACLを使用してお客様のインスタンスから安
全に分離されています。お客様のインスタンスのプロビジョニングと管理は、バックエ
ンド・ホストと通信する必要があるソフトウェア・エージェントによって実行されま
す。Oracle Cloud Infrastructureのバックエンド・ホストと正常に通信できるのは、認証
と認可を経たソフトウェア・エージェントのみです。バックエンド・ホストについて
も、本番前の環境(たとえば開発環境、テスト環境、統合環境)は本番環境から分離されて
いるので、開発およびテスト活動が本番システムに影響することはありません。
サーバー・セキュリティおよびメディア管理: オラクルはエンタープライズ・クラスの
ハードウェア開発に長い歴史を持っています。Oracle Cloud Infrastructureの各サービス
を提供するハードウェアのセキュリティを設計してテストするのが、オラクルの
Hardware Securityチームです。Hardware Securityチームは、サプライ・チェーンおよ
びテスト・ハードウェア・コンポーネントを使用して、厳格な Oracle Cloud
Infrastructure Hardwareセキュリティ標準と比較検証します。一方、製品開発部門とも密
接に協力して、お客様によってハードウェアが解放された後に初期状態に戻す役目も
負っています。
セキュアなホストによる消去とメディア破壊: Oracle Cloud Infrastructureのインスタン
スは、お客様によってハードウェアが解放された後に安全に消去されます。このセキュ
アな消去によって、ハードウェアは初期状態に戻ります。オラクルは、ハードウェアを
安全な方法で消去し初期化できるプロプライエタリなハードウェア・コンポーネントで
プラットフォームを再設計しました。オラクルは、NIST SP 800-88r1および DoD (緊急
時の破壊および最高機密の分類)標準に準拠したメディア破壊プロセスに従います。使用
されなくなったドライブは磁気を消去したうえで、メカニカル・シュレッダーで物理的
に破壊します。ドライブの使用停止ワークフローは JIRAによって追跡され、データ・セ
ンターの技術者が処理してそのワークフローの最終結果を検証します。
セキュアなソフトウェア開発
セキュアな本番環境には、明確なセキュリティ目標と方針に従う方法論を一貫して運用しなけれ
ばなりません。オラクルは、製品開発ライフ・サイクルのあらゆる要素にセキュリティ業務を組
み込んでいます。オラクルは、セキュアな本番環境について、開発者向けのロードマップおよび
33 | ORACLE CLOUD INFRASTRUCTURE SECURITY
ガイドとなる公式な標準を採用しています。この標準は、設計方針や一般的な脆弱性といった全
般的なセキュリティ知識を記したうえで、データ検証、データ・プライバシー、ユーザー管理と
いったトピックについて具体的なガイダンスを示すものです。
オラクルのセキュアな本番環境標準は、コードに影響する一般的な問題、発見された新しい脅
威、あるいはオラクルのお客様による新しいユースケースに対処するために、時間をかけて進化
発展してきました。知見と教訓が盛り込まれており、空論でもなければ、ソフトウェア開発後の
「事後発見」記録でもありません。C/C++、Java、PL/SQLなどの言語別の標準にとっても不可
欠であり、オラクルのセキュア開発プログラムおよびプロセスにとっては基礎とも言えます。
セキュリティ保証の分析とテストによって、さまざまな種類の攻撃に対するオラクル製品のセ
キュリティ水準は検証されます。オラクル製品のテストに採用されているテストのカテゴリは、
大きく分けて静的分析と動的分析の2つです。こうしたテストは、本番開発ライフ・サイクルの
さまざまな段階に該当しますが、問題のカテゴリが同じではないため、オラクルの開発チームで
は静的分析と動的分析を組み合わせて使用しています。
Personnel Security
オラクルのビジネスを作っているのは、オラクルの「人」です。優秀な人材の雇用に努め、従業
員の教育に投資を続けてきました。オラクルはトレーニングを重視しており、全従業員に対して
基本的なセキュリティ・トレーニングだけでなく専門トレーニングも実施し、最新のセキュリ
ティ技術、エクスプロイト、方法論について遅れをとらないようにしています。標準的な年次の
社内トレーニング・プログラムでは情報セキュリティとプライバシー・プログラム(その他)を扱
いますが、それに加えて、広範囲の業界グループと契約して、従業員を専門のカンファレンスに
参加させ、新しい課題については業界の専門家とも協力体制をとります。セキュリティ・トレー
ニング・プログラムの目的は、従業員がお客様と製品を万全に保護できるようにし、セキュリ
ティ分野に関する従業員の関心を強化しつつ、優秀な人材を確保・維持するというミッションも
充実させることです。
オラクルは、成長とともに優秀な人材の雇用に努め、高い倫理観と優れた判断力を備えた人物を
採用しています。全従業員に実施しているのが、犯罪歴チェック、雇用前審査など、法律で認め
られた範囲の雇用前スクリーニングです。業績評価プロセスも管理し、優秀な成績は顕彰して、
チームと従業員が成長の機会を逃さないようにしています。チームと従業員の評価プロセスで
は、セキュリティをチーム評価プロセスの基準と捉えます。そうしたアプローチによって、セ
キュリティ標準に関するチームのパフォーマンスを可視化し、重要なセキュリティ・プロセスに
必要なベスト・プラクティスと改善の余地を見きわめることができます。
Physical Security
Oracle Cloud Infrastructureのデータ・センターの設計で重視しているのは、なにより顧客データ
のセキュリティと可用性です。そのアプローチは、用地選定のプロセスから始まります。候補と
なる建設用地とプロバイダ拠点について、徹底的なリスク評価を実施して、環境上の問題点、電
34 | ORACLE CLOUD INFRASTRUCTURE SECURITY
力の確保と安定性、ベンダーの評価と経歴、近隣施設(製造業で高いリスクを伴う、標的となる危
険性がある、など)、地政学的な状況といったことを考慮します。
Oracle Cloud Infrastructureのデータ・センターは、Uptime InstituteとTelecommunications
Industry Association (TIA)のANSI/TIA-942-A Tier 3またはTier 4標準に則しており、クリティカル
な機器運用に関するN2冗長性手法に従っています。Oracle Cloud Infrastructureのサービスを収容
するデータ・センターでは、冗長設計の電源を使用し、広域の停電発生に備えて発電機も設置し
ています。サーバー・ルームは、室温と湿度を厳重に監視し、消火設備も完備しています。デー
タ・センターのスタッフは、セキュリティまたは可用性に関する事象発生に対処できるように、
インシデント対応とエスカレーション手続きの訓練を受けています。
物理セキュリティには、サイト建設から始まって多層のアプローチを採用しました。Oracle
Cloud Infrastructureのデータ・センター施設は、耐久性を重視して鋼鉄とコンクリート、または
相当の資材で建設され、軽自動車が衝突する程度の衝撃に耐える設計です。データ・センター・
サイトには保安要員が常駐し、24時間365日の体制でインシデントに対応できます。サイトの外
側には侵入防止柵を張りめぐらし、警備隊と、建物周辺に配置したカメラ群によって車両の出入
りは常時監視されています。
データ・センターに入室する人は、まず保安要員が常駐するサイト入口で一連のセキュリティ・
チェックを受けます。サイト別のセキュリティ・バッジを付けていない人がサイトに入る場合
は、政府発行の身分証明書を提示し、入所許可を受けてデータ・センターの建物に入室する許可
を得なければなりません。従業員もビジターも全員、正式な身分証明バッジを常時、見やすいよ
うに携帯する必要があります。入口とサーバー・ルームの間にもセキュリティ層が追加されてお
り、これは立地とリスク条件によって異なります。データ・センターのサーバー・ルーム自体
も、セキュリティ強化として、たとえばサーバー・ルーム全体をカバーするカメラ群、2要素認
証のアクセス制御、侵入検知メカニズムなどを備えています。サーバー・ラックとネットワー
ク・ラックの周囲には、セキュリティ・ゾーン分離のために、床(床面が高くなっている場合に
は、その下も含む)から天井(状況によっては天井タイルの上も含む)まで、物理的な障壁が設けら
れます。
Oracle Cloud Infrastructureデータ・センターへのアクセスは厳重に管理され、最小アクセス権の
原則に従います。サーバー・ルームに入室する場合は、権限のある関係者から承認を受けたう
え、必要な時間だけ入室を許可されます。アクセス状況は監査され、システム内でプロビジョニ
ングされたアクセスはデータ・センターの責任者によって定期的に見直されます。サーバー・
ルームは、セキュアなゾーンに分離したうえで、ゾーンごとに個別に管理されます。したがっ
て、ゾーンへのアクセスは、請求者ごとにのみプロビジョニングされます。
Security Operations
Oracle Cloud Infrastructure Security Operationsチームは、Oracle Cloud Infrastructureによる一意
のホスティングおよび仮想ネットワーク技術について、その監視と保護の責任を負います。
35 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Security Operationsチームは、これらの技術を開発するオラクルのエンジニアと業務もトレーニ
ングも一緒にこなし、独自のセキュリティおよびイントロスペクション機能を利用します。
オラクルは、毎日インターネットで発生する新しいセキュリティ問題を監視し、ビジネスに対す
るリスクに対処する適切な対応と防衛を実装します。お客様の責任範囲で緊急の変更が推奨され
ると確定した場合は、そのお客様に対してセキュリティ・アラートを発行して、保護を図りま
す。
Oracle Cloud Infrastructureのサーバーまたはネットワークに影響するセキュリティ問題が検出さ
れた、または報告された場合は、Security Operationsスタッフが24時間365日体制で対応とエス
カレーションを行い、必要な修正処置を行います。必要な場合には、外部組織(ネットワークおよ
びホスティング・サービス・プロバイダ、ハードウェア・ベンダー、法執行機関)にも問題をエス
カレーションして協力を仰ぎます。
セキュリティ問題に対して、Security Operationsチームが文書化されたプロセスに従って実施し
た対応措置はすべて、コンプライアンス要件に応じてログに記録されます。サービスとデータ整
合性、プライバシー、事業継続性に関する目標を守れるよう、細心の注意が必要です。
顧客データの保護
データの権利と所有権
コンテンツに関する所有権と知的財産権すべては、Oracle Cloud Infrastructureをご利用のお客様
が保持します。顧客データの保護はきわめて重要であり、オラクルはデータ保護プロセスについ
ても、法執行機関からの請求についても、可能な限り透明に保つよう努めています。
データ・プライバシー
オラクルは、EUから米国に移転される個人情報の収集、利用、保持に関して米国商務省の定めた
「EU-U.S. Privacy Shield Framework (EU・米国間のプライバシー・シールド・フレームワー
ク)」を遵守します。またオラクルは、オラクルを代理する第三者にも同じことを行わせる責任を
負っています。
オラクルは米国商務省に対し、プライバシー・シールド原則を遵守することを証明しています。
このポリシーの条項とプライバシー・シールド原則との間に矛盾がある場合、プライバシー・
シールド原則が優先するものとします。プライバシー・シールド・プログラムの詳細、およびオ
ラクルの証明書を確認するには、https://www.privacyshield.gov/listをご覧ください。
プライバシー・シールド・フレームワークに基づき個人情報を受領または移転する場合、オラク
ルは米国連邦公正取引委員会の規制執行権限の対象となります。
36 | ORACLE CLOUD INFRASTRUCTURE SECURITY
スイスから受領する個人情報の処理について、オラクルとお客様がセーフ・ハーバーに従って移
転・処理することを契約により合意している場合、オラクルは、米国・スイス間のセーフ・ハー
バー・プログラムの基本的な欧州プライバシー原則を引き続き遵守します。セーフ・ハーバー・
プログラムの詳細、およびオラクルの証明書を確認するには、
https://2016.export.gov/safeharbor/swiss/をご覧ください。
法執行機関からの要請
法律で別途要求される場合を除き、オラクルは執行機関または行政機関またはその他の政府当局
からなんらかの出頭、司法、行政または仲裁命令を受け取り、それが顧客に代わってオラクルが
処理している個人データに関係している場合、その旨を速やかに顧客に告知するものとします。
顧客からの要請があった場合、オラクルは法執行機関の要請に関連して保持する妥当な情報、お
よび要請に応じて適時に応答する際に必要と見なされる任意の補足情報を顧客に提供します。
コンプライアンス
Oracle Cloud Infrastructureは、エンタープライズ向けに設計されています。オラクルは、お客様
がセキュリティおよびコンプライアンスのニーズに簡単に対応できるようサービスの提供に投資
を続けています。オラクルはOracle Cloud Infrastructureについて、ISO/IEC 27001 Stage 2と
Service Organization Control (SOC) 1、2および3の監査を成功裏に完了しました。
独立した保証により、信頼を促進し、サードパーティ・サービス・プロバイダとの関係における
強い信頼を構築しています。特に、Oracle Cloud InfrastructureのISO 27001:2013認証、SOC 1
Type 2およびSOC 2 Type 2認証、ならびにSOC 3認証は、内部統制、データ保護、規制遵守に関
して、最高レベルの独立した保証をお客様に提供します。このような安全レポートは、お客様の
企業ガバナンス、リスク管理プロセス、ベンダー管理プログラム、規制監督において重要な役割
を果たします。
オラクルは、Oracle Cloud Infrastructureサービスを対象とするPayment Card Industry Data
Security Standard (PCI DSS) のAttestation of Compliance (AoC)を受けています。PCIレベル1の
プロバイダとして、お客様はカード所持者のデータを格納、処理および転送するワークロードに
これらのサービスをご利用いただけます。
また、オラクルはHealth Insurance Portability and Accountability Act (HIPAA)のセキュリティ規
則、違反通知規則、および該当するプライバシー規則を対象として、American Institute of
Certified Public Accountants (AICPA)のStatement on Standards for Attestation Engagements
(SSAE) 18、AT-C 105項および205項に従って実行される認証も受けています。Oracle Cloud
Infrastructureは「no-viewクラウドサービスプロバイダ」に分類されており、Business Associate
Agreement (BAA)に加入することで、HIPAAの対象となるお客様をサポートできます。BAAは、
HIPAAおよび修正法に従ってPHIを適切に保護するために、Oracle Cloud Infrastructureとお客様
それぞれの責任を明確化し、確立するうえで必要です。
37 | ORACLE CLOUD INFRASTRUCTURE SECURITY
基礎となるサービス、インフラストラクチャ、システムの開発、デプロイ、構成および管理は、
Oracle Cloud Infrastructureが担います。お客様は、Oracle Cloud Infrastructure上で実行するアプ
リケーションおよびワークロードに関して、PCI DSSおよびHIPAAへのコンプライアンスを維
持・管理する責任を負います。
Oracle Cloud Infrastructureのコンプライアンス機能についての最新情報は、
https://cloud.oracle.com/iaas-paas-complianceでご覧いただけます。
結論
オラクルがOracle Cloud Infrastructureを開発したのは、望ましいセキュリティ体制を維持したま
ま、ミッションクリティカルなワークロードを最大限にクラウドに移行して、データ・セン
ター・インフラを構築・運用する負荷を減らすためです。Oracle Cloud Infrastructureでは、オン
プレミスと変わらない透過性でワークロードを管理できます。Oracle Cloud Infrastructureでは、
次のようにクラウドで稼動するアプリケーションについて、比類ない管理性と透過性を達成する
ことができます。
顧客の分離。他のテナントや Oracleのスタッフから分離されるのに加え、同じテナント
のワークロード間でも分離が確約された環境が提供される。その環境ではアプリケー
ションとデータ資産をデプロイが可能。
保管時の顧客データを保護する常時オンの暗号化と、HTTPS限定のパブリック API。
サービスへのアクセスに制限を設け、運用責任を切り分けて、故意による、または偶発
的なユーザー処理に伴うリスクを軽減する効果的で使いやすいセキュリティ・ポリ
シー。
企業リソースに対する活動を監査および監視でき、監査要件を満たすとともに、セキュ
リティ上および運用上のリスクを緩和する、ログ・データの総合的な分析。
顧客が既存のユーザーとグループをクラウドで利用できるアイデンティティ・フェデ
レーション。
サードパーティ製ソリューションを導入して顧客データとリソースをクラウドで保護す
ることにも対応。
可用性の高いスケールアウト・アーキテクチャに対応し、ネットワーク攻撃に対する回
復力を備えた障害耐性の高いデータ・センター。災害やセキュリティ攻撃が発生して
も、安定した稼動時間をお約束します。
クラウド・サービスの開発と運用のあらゆるフェーズで実効的なセキュリティ管理を徹
底する、厳格な内部プロセス。
第三者監査、証明書、認証を通じて、オラクルの厳格なセキュリティ標準に準拠。社内
のセキュリティおよびコンプライアンス・チームに対しても、顧客、監査人、規制当局
に対しても、万全なコンプライアンス状況を実証できます。
38 | ORACLE CLOUD INFRASTRUCTURE SECURITY
Oracle Cloud Infrastructureのセキュリティ機能はすべて、ひとつの目標を念頭において設計され
ました。お客様のミッション・クリティカルなワークロードを、完全に管理された環境で、高い
信頼性のもとで実行していただくことです。オラクルはこれからも、本書で述べた領域への投資
を続け、企業のお客様に比類ないセキュリティと保証をお届けします。
Oracle Corporation, World Headquarters Worldwide Inquiries
500 Oracle Parkway Phone: +1.650.506.7000
Redwood Shores, CA 94065, USA Fax: +1.650.506.7200
Copyright © 2017, Oracle and/or its affiliates. All rights reserved.この文書はあくまで参考資料であり、掲載されている情報は予告な
しに変更されることがあります。オラクルは、本ドキュメントの無謬性を保証しません。また、本ドキュメントは、法律で明示
的または暗黙的に記載されているかどうかに関係なく、商品性または特定の目的に対する適合性に関する暗黙の保証や条件を含
む一切の保証または条件に制約されません。オラクルは、本書の内容に関していかなる保証もいたしません。また、本書によ
り、契約上の直接的および間接的義務も発生しません。本書は、事前の書面による許諾を得ることなく、電子的または機械的
に、いかなる形態または手段によっても複製または伝送することはできません。
Oracleと Javaは、オラクルおよび関連会社の登録商標です。他の名称は、それぞれの所有者の商標です。
Intel と Intel Xeon は、Intel Corporation の登録商標です。SPARC の商標はすべてライセンスのもとで使用しており、SPARC
International, Incの商標または登録商標です。AMD、Opteron、AMDのロゴ、AMD Opteronのロゴは、Advanced Micro Devicesの
商標または登録商標です。UNIXは、The Open Groupの登録商標です。0319
Oracle Cloud Infrastructure Security
2019年 4月
Author: Oracle Corporation
C O N N E C T W I T H U S
blogs.oracle.com/oracle
facebook.com/oracle
twitter.com/oracle
oracle.com
