OCI Security サービス概要

OCI Security サービス概要 2024年11月日本オラクル株式会社

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 2
Copyright © 2024, Oracle and/or its affiliates. All rights reserved

オラクルが実現する堅牢なセキュリティデータ中心のセキュリティ自動化されたセキュリティ管理セキュリティ・バイ・デザイン SECURITY OF
THE CLOUD SECURITY ON THE CLOUD ＋強力、完全なテナント分離強制的な暗号化 (Database/Storage/Network) 階層型権限管理リスクのある設定・行動を自動検知 3 * WAF: Web Application Firewall 脆弱性スキャンセキュリティポリシーの自動有効特権ユーザーのアクセス制御ボット対策とWAF/ 次世代ファイアウォール多要素認証とリスクベース認証重要情報の隠蔽セキュリティ構成機密データ発見アクティビティ監査 DBセキュリティ対策の自動化脆弱性自動修復青字：他社にないものバックアップ保護と確実なデータ復旧 3 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

クラウドプラットフォームレベルでの環境隔離と暗号化階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセスが可能、部署を跨いだシステム構築も容易 ✓ コンパートメント毎のクオータ設定に
より使い過ぎを抑止強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより情報漏洩のリスクを最小化 4 セキュリティ・バイ・デザイン AD2 リージョン1 AD2 リージョン2 MACSec 高速・スケーラブルな Layer2 暗号化部署ごとにCompartment（サブアカウント）を作成「コンパートメント」モデルテナントコンパートメント A コンパートメントB ユーザーグループポリシーポリシーポリシー部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネルネットワーク仮想化物理サーバーすべてのデータを暗号化 4 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

リスクのある設定を自動検知 • 構成とアクティビティを監視 • 問題の特定、脅威を検出 • 問題の是正、顧客通知セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用
• 初期段階からリソースのセキュリティを確保バックアップ保護と確実なデータ復旧 • ファイルを不可視化し、盗難を防止 • リアルタイムバックアップにより、感染直前までのリカバリーを可能 • 完全性が担保されたバックアップにより、確実に復旧可能自動化されたEnd-to-Endのセキュリティで人的ミスを排除パブリックアクセス不可 Oracle Cloud Guard Oracle Security Zones 5 自動化されたセキュリティ管理 Zero Data Loss Autonomous Recovery Service 5 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

多層防御によるデータ中心のセキュリティ外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS
内部からの攻撃 » バックドア » 内部不正 » 不正アクセス特権ユーザー管理ネットワーク IDアクセス管理インフラストラクチャデータベース 6 データ強制的な暗号化監査証跡行列レベルのアクセス制御データ中心のセキュリティ設定ミスの検知・是正多要素認証強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理データ中心のセキュリティ Web Application Firewall IAM Identity Domains Security Zones Data Safe Observability and Management Threat Intelligence Autonomous Database OCI Network Firewall Cloud Guard Database Vault Zero Data Loss Autonomous Recovery Service Vulnerability Scanning 6 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Oracle Cloud のセキュリティの強み 7 設計から組み込まれセキュリティ不備を最小化標準機能で提供データ中心のセキュリティ • 全リージョン、全インスタンスがセキュリ
ティ・バイ・デザインされた環境 • デフォルトがセキュアな設定で安全側に倒されている (Default Deny) • データの暗号化はデフォルトで実施、ユーザーが解除できない • 自動化されたセキュリティ管理を標準・無償で提供されている • 他社では複数サービスが必要で、開発工数とサブスクリプション価格で高コストになる • データベースのセキュリティ対策まできちんと取り組んでいるのは、Oracleぐらい • 重要データの所在・リスク評価・監査するデータ・セキュリティ監視を無償で利用できる • データを中心に多層で保護するための構築済みセキュリティサービスを提供しているお客様からの評価から “最新のセキュリティ機能を積極的に無償で機能追加しているOCIも高く評価しています。私たちはこれら新機能をいち早く利用し、セキュリティ強化に役立てています。” 株式会社マイネット技術統括部セキュリティグループ長, 前田高宏氏 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

NISC 令和5年度政府機関等のサイバーセキュリティ対策のための統一基準 - 7.1 情報システムセキュリティ要件から引用サイバー・セキュリティ要件に対応するOCI機能とサービス 8 要件
目的遵守事項 (主なポイント) 必須となる機能・サービス追加検討サービス 1 主体認証機能の導入アクセス権限のある主体へのなりすましや脆弱性を悪用した攻撃による不正アクセス行為を防止する • 主体の識別及び認証機能の導入 • 認証情報の漏えいによる不正行為の防止、不正な主体認証の試行に対抗するための措置 • すべての主体に識別コード、主体認証情報を付与し適切に管理する Identity and Access Management (IAM) N/A 2 アクセス制御機能取り扱う情報へのアクセスを業務上必要な主体のみに限定することにより情報漏えい等のリスクを軽減する • セキュリティ責任者は、情報の格付・取扱制限に従いアクセス制御の設定等を行う • アクセスを許可する主体が確実に制限されるようにアクセス制御機能を適切に運用する IAM Security Zones Network Firewall WAF 3 権限の管理アクセス権限の不適切な管理に起因する不正アクセスや管理者権限の悪用を防止する • アクセス権限を必要最小限に限定 • 管理者権限の主体情報が盗まれた際の被害の最小化、内部からの不正操作の防止措置 • 不要なアクセス権限の付与がないか定期的に監視 IAM Cloud Guard Data Safe N/A Copyright © 2024, Oracle and/or its affiliates. All rights reserved

サイバー・セキュリティ要件に対応するOCI機能とサービス 9 要件目的遵守事項 (主なポイント) 必須となる機能・サービス追加検討サービス
4 ログの取得・管理不正侵入や不正操作等のセキュリティ・インシデント及びその予兆を検知するための重要な材料として活用する • 不正侵入、不正操作等を検証できるログを取得 • 保存期間や改ざん防止など適切な運用管理 • 取得したログを定期的に点検又は分析する Audit Logging Analytics Logging WAF Network Firewall 5 暗号・電子署名情報の漏えい、改ざん等を防ぐための手段として、情報システムへ適切に実装する • 要機密情報は、暗号化の有無を検討 • 要保存情報は、電子署名の付与・検証を検討 • 電子政府推奨暗号リストの暗号鍵を使用デフォルト暗号化 Vault 6 監視機能セキュリティ・インシデントや不正利用の速やかな認知、セキュリティ対策の実効性の確認のために、適切な監視機能の実装と運用を行う • 運用管理機能要件を策定し、監視機能を実装 • 情報セキュリティ責任者は、情報システムの監視機能を適切に運用する • 新たな脅威に備えて、監視の対象や手法を定期的に見直す Cloud Guard Vulnerability Scanning Instance Security Data Safe Logging Analytics Logging Logging Analytics Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Cloud Guard, Vulnerability Scanning, Data Safe, IAM, Logging Analytics 必須となる基本のセキュリティ・サービス
10 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN OCI全体の脆弱性を監視クラウド内の脆弱な設定やユーザーのアクティビティを追跡しリスクをスコアリングアラートや是正処理を自動化 VMの脆弱性・ワークロード監視パッケージの脆弱性やオープンポートをスキャンし、VM内ワークロードを保護 Vulnerability Scanning Cloud Guard IAM 認証強化・アクセス制御多要素による認証強化・連携ポリシーによるアクセス制御認証ログ権限管理ログ操作アクセスログ Logging Analytics Auditログの可視化・長期保存 Auditログから不正ログインや疑わしい操作を監視し、セキュリティ・インシデントを速やかに検知する Audit Data Safe データベースのセキュリティ強化 Oracle Databaseの脆弱な設定や不正と疑わしいアクセスを検出 Copyright © 2024, Oracle and/or its affiliates. All rights reserved Instance Security

Web Application Firewall, Network Firewall, Security Zones, 追加検討サービス① - アクセス制御を強化するセキュリティ・サービス
- 11 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN with Security Zones WEBアプリケーションを保護多種多様なサイバー攻撃から WEBサイトを保護する Network Firewall Web Application Firewall 不正なネットワーク通信を監視インターネットやVCN内の相互通信から不正なトラフィックを検知し遮断 Security Zones セキュアに保護されたコンパートメントコンパートメントには、セキュリティポリシーの要件に満たしたリソースしか作成させない Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Vault 追加検討サービス② - 電子・暗号署名を強化するセキュリティ・サービス - 12 Tokyo Region Compartment /
VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN 暗号化 Vault ユーザー自身による暗号鍵管理ストレージ、データベースの暗号化をユーザー自身が持ち込んだ暗号鍵を使用し管理する各ストレージサービスはOracle管理にによりデフォルト暗号化されている Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Tokyo Region 各種ログ (Audit, サービス, OS) + Logging Analytics 追加検討サービス③
- ログ取得・管理及び監視を強化する統合ログ分析 - 13 Logging Analytics 認証ログ OS Network Firewall Load Balancer VCN Flow Logs Object Storage等 WAF Middleware Database Application 権限管理ログ操作アクセスログ Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN with Security Zones Management Agent for LA Audit サービス・ログ OS内のログ統合ログ分析基盤 OCIの様々なログを一元的に集約セキュリティの観点で不正なアクティビティを横断的に分析するSIEM的なログ分析基盤セキュアにログを長期保管 Logging Analyticsにログをアップロードするエージェンド Logging ログ出力管理ネットワークやFirewallのログなど様々なサービスログの出力管理 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

各サービスの価格 14 サービス機能無償枠価格 (※詳しくは各サービス価格にて) Cloud Guard OCI全体の脆弱性を監視
完全無償 N/A Vulnerability Scanning VMの脆弱性を監視完全無償 N/A Instance Security VMのワークロードを監視パッケージ脆弱性とオープンポートは 5インスタンスまで無償ワークロード監視を含めて 1インスタンスあたり約750円/月 Data Safe データベースのセキュリティ強化 Autonomous Database BaseDB, ExaDB-Dは無償オンプレミス、DB on IaaSの場合: 1DBあたり¥31000/月 Identity and Access Management 認証強化・連携及びアクセス制御 2000ユーザー、多要素認証、 SSO(Oracle以外2つ)など幅広く無償アプリケーション認証基盤として大規模ユーザー管理の場合は有償になる場合あり Logging Analytics Auditログの可視化・長期保存統合ログ分析基盤 10GB/月まで無償 300GB単位で¥57660/月 Security Zones セキュアに保護されたコンパートメント完全無償 N/A Web Application Firewall WEBアプリケーションを保護最初の1インスタンスと 1000万リクエスト/月まで無償 1インスタンスあたり ¥93/月 100万リクエストごとに¥775/月 Network Firewall 不正なネットワーク通信を監視 10TBまでトラフィック処理が無償 1インスタンスあたり ¥426/時間 1GBごとに1.6/円 Logging サービスログの出力管理 10GB/月まで無償 1GBあたり¥8/月 Vault ユーザー自身による暗号鍵管理 Default Vault: 20キーバージョンまで Software: 制限なし Default Vault: 1キーあたり¥74/月 Virtual Private Vault: 1Vaultあたり¥577 /時間基本追加 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

クラウド全体の脆弱性を監視 OCIの様々なリソース設定やユーザー操作を監査ログや設定情報から読み取り、脆弱性を検出し是正する - 各サービスの設定に関連するリスクを診断 - ユーザーやネットワークに関する設定変更など、構築・運用で発生する様々なアクティビティに対するリスクを診断 - 脅威インテリジェンスと連携し、ユーザーのふるまいを学習し診断
検出された問題へのリスク評価と推奨事項をガイドアラートによる通知だけでなく、自動的に修正するレスポンダ処理リスク検出ポリシーは、Oracleが提供しメンテナンステナント内の全リージョン・リソースを評価しスコアリング基本機能として無償、設定も非常に簡単 Cloud Guard 16 Cloud Guard Vault Scanning VCN, Load Balancer Compute, Storages Databases IAM 問題の検知アクション実行リスク評価 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

動作フロー Cloud Guard 18 Detectors Configuration Activity Threat 脆弱性を検出するディテクタは構成、アクティビティ、脅威の
３タイプで構成され、それぞれにレシピと呼ばれるポリシーに基づきチェックするレシピは、Oracleマネージドによりメンテナンスされる Responders Stop Instance Suspend User Disable Bucket レスポンダは、検出された問題をユーザーに通知するまたは、対応する是正処理を自動実行し、問題を自己解決する Targets ターゲットは、Cloud Guardが監視対象にするコンパートメント指定されたコンパートメント下のサブコンパートメントも対象となり rootを指定時は、コンパートメント全てが対象になる Problems リソースの設定に不備や疑わしいアクセスが発生した場合、 Cloud Guardは、問題として検出し、レシピ内容に応じたリスクレベルに分類する Copyright © 2024, Oracle and/or its affiliates. All rights reserved

構成ディテクタ・レシピ Cloud Guard 19 ディテクタ・ルール推奨事項デフォルトリスク・レベルインスタンスにパブリックIPアドレスがありますすべてのインスタンスへのインターネット・アクセスを許可することは慎重
に検討してくださいクリティカルデータベース・システムにパブリックIPアドレスがありますデータベース・システムにパブリックIPアドレスが割り当てられていないことを確認しますクリティカルユーザーがMFAを有効にしていません Oracle Mobile Authenticatorやワンタイム・パスコード等を使用して、すべてのユーザーに対してMFAを有効にしますクリティカルバケットがパブリックですバケットのパブリック・アクセスが容認されていることを確認し、ポリシーで制限してアクセスを特定のユーザーのみに許可させますクリティカルスキャンされたホストには脆弱性があります OSパッチを適用するなど、脆弱性ごとにドキュメントに記載されている推奨アクションを実行しますクリティカル VCNセキュリティ・リストでは、すべてのソース(0.0.0.0/0)からの非パブリック・ポートへのトラフィックが許可されます。 VCNセキュリティ・リストを使用して、サブネット内のインスタンスへのネットワーク・アクセスを制限します。例えば、コンピュート・インスタンスをインターネット(0.0.0.0/0)に対して公開しないクリティカル VCNセキュリティ・リストにより、制限されたポートへのトラフィックが許可されます制限ポートへのアクセス許可がないかセキュリティ・リストを確認します例) TCP (11,17-19,21,23-25,43,49,53,70-74,79- 81,88,111,123,389,636,445,500,3306,3389,5901,5985,5986,70 01,8000,8080,8443,8888) クリティカル Copyright © 2024, Oracle and/or its affiliates. All rights reserved

アクティビティ・ディテクタ・レシピ Cloud Guard 20 ディテクタ・ルール推奨事項デフォルトリスク・レベル疑わしいIPアクティビティマルチファクタ認証(MFA)を有効にして、ユーザーがログインしている
ユーザー本人であり、資格証明が侵害されていないことを確認しますクリティカル VCNネットワーク・セキュリティ・グループが削除されました NSGの削除が、このVCNと関連リソースで許可されていることを確認します高インスタンスが終了しました IAMポリシーを使用してインスタンスの終了操作を制限します高データベース・システムが終了しました許可された管理者がデータベース・システムおよび関連データベースの終了を認可して実行していることを確認します高中間認証局(CA)が取り消されました権限のあるユーザーのみがCAバンドルの中間証明書を取り消すことを確認します。ユーザーに権限がない場合は、取消しを取り消します高 VCNセキュリティ・リストが削除されましたこのセキュリティ・リストの削除が、このVCNと関連リソースで許可されていることを確認します中 VCNネットワーク・セキュリティ・グループのイングレス・ルールが変更されました新しいイングレス・ルールが、このNSGと関連リソースで許可されていることを確認します中 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

脅威モニタリング Cloud Guard 21 OCIの脅威インテリジェンス・サービスと連携し疑わしいIPアドレスやドメインなど最新の脅威情報を更新ユーザーのアクティビティ・パターンを機械学習し、ユーザーのリスク・スコアに反映 - 権限が過剰に付与されていないか
- セキュリティを低下させる設定をしていないか - 普段とは異なる地域からアクセスしていないか - パスワードを突破しようとする行動をしないかリスクの高いユーザーは、悪質なユーザーとしてマークされレスポンダの対応する問題として認識されるアクセス元のIPアドレスと影響を受けるサービスが明確になり、何を目的としたアクティビティだったのかトレース可能 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

レスポンダレスポンダは、Cloud Guardが検出した問題に対するアクションを実行する 2種類のレスポンダ・タイプ Notification : 検出した問題をイベント・サービスと連携。問題検出のイベント発生時に通知サービスと連携しメール通知やファンクションによるカスタム・スクリプトを実行 Remediation :
検出した問題を手動または自動でCloud Guardが修正実行 Remediationで実行可能なレスポンダ・レシピ - IAMユーザー・ポリシーの削除、コンピュートインスタンスの停止・削除 Internet Gatewayの削除、Public IPの削除、バケットをプライベートに変更 DBバックアップの有効化, キーのローテーション検出された問題は、Notificationがデフォルトとして動作 Remediationによる自動実行はユーザー自身で明示的な設定が必要レスポンダの実行対象を条件で限定することが可能レスポンダの実行した結果は、Auditに記録される Cloud Guard 22 Cloud Guard イベントサービスファンクションサービス通知サービス Notification 問題 Remediation レスポンダ・レシピを実行 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

例) オブジェクト・ストレージのバケットがパブリックに設定変更された場合 Cloud Guard 23 ディテクター検知ルールのトリガーとして、“バケットがパブリックに変更”された際に問題として認識（重大度：クリティカル） “バケットがパブリック” (重大度：クリティカル)
プログラム「クラウドイベント」は有効か? => Yes レスポンダー Cloud Guard オペレーター問題を修正するか？ => Yes レスポンダーレスポンダがバケットをプライベートに設定変更重大なリスクユーザーがバケットをパブリックに設定バケット OCI Events OCI Functions OCI Notifications 「バケットをプライベートにする」が有効か？ => Yes バケット Copyright © 2024, Oracle and/or its affiliates. All rights reserved

OCI Compute OCI Container Engine Vulnerability DB’s Vulnerability Scanning Cloud
Guard Problems VMやコンテナの脆弱性を監視 Vulnerability Scanning (脆弱性スキャン) 25 コンピュート・インスタンスやコンテナ・イメージの潜在的な脆弱性を検出しリスクレベルを評価３つの観点での脆弱性診断 - CVE(共通脆弱性識別子)に基づくインストールされたパッケージの脆弱性を検出 - オープン・ポートのチェック - CISベンチマーク(セキュリティの標準ベストプラクティス)への対応状況特定のインスタンスや、指定したコンパートメント内のすべてのインスタンスに対して実行 VMインスタンスにインストールされているCloud Agentがスキャンを実行対応するOS (※コンピュートサービスが対応するプラットフォームイメージ) - Oracle Linux, CentOS, Ubuntu, Windows 検出されたリスクは、Cloud Guardと連携基本機能として無償 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Cloud Guardと連携するワークロード・プロテクションコンピュート・インスタンスやオンプレミス・サーバ内のワークロードを監視し保護するCSPM(Cloud Security Posture Management) エージェントが定期的にOS内をスキャン - パッケージの脆弱性、オープンポートなどのセキュリティ情報を収集
- OS内の疑わしいプロセスや常駐サービスの監視 - 過剰なログイン失敗や脆弱な設定等のアクテビティを検出対象OS: Linux, Debian, Windows eBPFによるカーネルレベルでのセキュリティ・イベントを検出 MITRE攻撃フレームワークに準拠したリスク分類 Cloud Guardと連携したOracleマネージドの検出ルール SQLライクのクエリでOSを監視できるosqueryのサポート用途に応じて選択可能 - Standard (無償) : パッケージの脆弱性、オープンポートの2種類のみ - Enterprise (有償) : 上記に加え、プロセスやサービスなどのアクティビティの監視・保護を含む Instance Security Copyright © 2024, Oracle and/or its affiliates. All rights reserved Windows Cloud Guard Linux Instance Security Instance Security ディテクタ・ルール Instance Security Problem Problem OCI On-Premise 28

Instance Security ディテクタ・ルール Instance Security Copyright © 2024, Oracle and/or
its affiliates. All rights reserved 29 ディテクタ・ルール説明リスク Win Linux 1 スキャンされたホストに脆弱性があります OS、ライブラリ、アプリケーション等の既知のセキュリティ脆弱性クリティカル × 〇 2 オープン・ポートでリスニングしているプロセスネットワーク接続をリスニングしているプロセスクリティカル〇〇 3 一時フォルダから作成された疑わしいスケジュール済タスクマルウェアがバックドアを日常的に実行する一般的なメカニズムに対するチェック高〇 × 4 一時フォルダから実行されている疑わしいサービス一時フォルダから実行される疑わしいスケジュール済みタスク高〇 × 5 一時フォルダからのプロセスが横移動アクティビティを実行しようとしています制限された一時領域を超えて横方向/再接続を試みるアクティビティ高〇 × 6 過度に失敗したアカウント・ログインパスワード・スプレーなどの過度なログイン失敗高〇 × 7 WMICによる不審なプロセス開始の検出 WMICを利用したスクリプト起動やペイロードのダウンロード等のプロセス高〇 × 8 不正なパスによる正当なWindowsプロセスとしてのマスカレード処理 Windowsプロセスになりすました不正なプロセス高〇 × 9 Windowsセキュリティ・ルールの無効化 Windowsセキュリティ機能 (windefend)の無効化高〇 × 10 リスニング・モードのPuttyプロセス SSHトンネルを作成するためのリスニング・モードのPutty 高〇 × 11 リスニング・モードのSSHプロセスリスニング・モードのPuttyから、LinuxのSSHトンネルの作成高 × 〇 12 エージェントがインストールされていないか、期待どおりに実行されていません Cloud Agentが正常に動作していない高〇〇 13 システムプロセス上で可能な逆シェルシステム・プロセスで可能なリバース・シェル高 × 〇 14 ホーム・プロファイルで実行中の不審なcronジョブマルウェアは、定期的なスケジュール実行のcronジョブを使用してバックドアを準備中 × 〇 15 疑わしい起動項目が検出されましたマルウェアは、再起動時に再度バックドアを実行する起動を使用中〇 × 16 Webサーバー・パスが不足している可能性のあるオープンWebシェル・ソケット外部サーバと不正なリモート制御に使用されるWebシェル中〇 ×

osquery SQLライクなクエリでOS情報をインタラクティブに検索 - SELECT カラム名 FROM テーブル名 WHEREやJOIN、関数などの複雑な条件を可能にするSQL問い合わせプロセス, ディスク,
デバイス等の200を超える表定義単体だけでなく、すべてのインスタンスを対象にした横断的なクエリー実行クエリをお気に入りとして登録し、いつでも再実行クエリ結果をCSVファイルとしてダウンロード可能定期的にスケジュール実行し、結果はLoggingサービスに格納 - 頻度 (4h, 6h, 12h,毎日,毎週) OCI CLI, REST APIでのクエリ実行も可能 - oci cloud-guard adhoc-query get - oci cloud-guard adhoc-query-result-collection get-adhoc-query-result-content Instance Security Copyright © 2024, Oracle and/or its affiliates. All rights reserved 31 Host Instance Security Cloud Guard

osqueryのクエリー Instance Security Copyright © 2024, Oracle and/or its affiliates.
All rights reserved 33 問い合わせ内容 SQL フィジカル・システム情報 SELECT hostname, cpu_brand, cpu_physical_cores, cpu_logical_cores, physical_memory FROM system_info; ハードウェア変更イベント情報 SELECT * FROM hardware_events; プロセス一覧 SELECT * FROM processes; 特定パーティションの空きスペース SELECT path, ROUND( (10e-10 * blocks_available * blocks_size), 1) AS gb_free, 100 - ROUND ((blocks_available * 1.0 / blocks * 1.0) * 100, 1) AS percent_used, device, type FROM mounts WHERE path = '/'; 疑わしいプロセスを検出 (バイナリがディスクから削除済み) SELECT name, path, pid FROM processes WHERE on_disk = 0; 直近1時間のrootログインを確認 SELECT * FROM last WHERE username = “root" AND time > (( SELECT unix_time FROM time ) - 3600 ); 主要なディスクの暗号化を確認 SELECT * FROM mounts m, disk_encryption d WHERE m.device_alias = d.name AND m.path = "/"AND d.encrypted = 0; CPUを最も使用しているプロセスのTop5 SELECT pid, uid, name, ROUND(((user_time + system_time) / (cpu_time.tsb - cpu_time.itsb)) * 100, 2) AS percentage FROM processes, (SELECT (SUM(user) + SUM(nice) + SUM(system) + SUM(idle) * 1.0) AS tsb,SUM(COALESCE(idle, 0)) + SUM(COALESCE(iowait, 0)) AS itsb FROM cpu_time) AS cpu_time ORDER BY user_time+system_time DESC LIMIT 5; メモリを最も使用しているプロセスのTop10 SELECT pid, name, resident_size from processes order by resident_size desc limit 10;

価格 Instance Security Copyright © 2024, Oracle and/or its affiliates.
All rights reserved 34 SKU PAYG（Pay As You Go rate） Oracle Cloud Guard Instance Security Standard ¥0 Oracle Cloud Guard Instance Security Enterprise ¥1.07 / Node Per Hour Oracle Cloud Guard Instance Security Ad hoc Queries Enterprise (First 950,000 Requests) ¥0 Oracle Cloud Guard Instance Security Ad hoc Queries Enterprise (Greater than 950,000 Requests) ¥0.155 /Request - Standard : パッケージの脆弱性、オープンポートの2種類のみ - インスタンス数: 1リージョンあたり5インスタンスまで - オンデマンド問い合わせ: 1リージョンあたり月30回、スケジュール問い合わせ: なし - Enterprise : 上記に加え、プロセスやサービスなどのアクティビティの監視・保護を含む - インスタンス数: 無制限 - オンデマンド問い合わせ: 無制限、スケジュール問い合わせ: 1日あたり25クエリ

Oracle Databaseのセキュリティを強化するクラウドベースのデータベース・セキュリティ・サービス OCIコンソールから一元的にデータベースのセキュリティ状態を可視化 • 構成やユーザー情報からセキュリティ・リスクを評価 • データベース監査ログの可視化 • テスト用のマスキングデータを生成 •
SQLレベルで制御するファイアウォールの管理ターゲットとなるOracle Database • Autonomous Database, Base Database, Exadata Databased • オンプレミスまたは他社クラウド上のOracle Database • データベースのVersionは11.2～、Standard Editionでも利用可能価格 • 対象がOracle Cloud Databaseの場合は無償 (※ログは100万件/月まで) • オンプレミス、他社クラウド上のOracle Database有償 Data Safe 36 Oracle Cloud Database オンプレミス上の Oracle Database AWS, Azure上の Oracle Database Protect Audit Users Discover Assess Mask Copyright © 2024, Oracle and/or its affiliates

Data Safeが提供する機能 37 セキュリティアセスメントユーザーアセスメント機密データの検出データ
マスキングアクテビティ監査 SQL Firewall データディクショナリからデータベース全体のリスク評価過度な権限付与や休眠アカウント等のリスク評価監査ログの収集やレポート、アラート等のモニタリング 23aiの新機能 SQL Firewallを GUIで管理列定義や実データのフォーマットから機密列を検出数値や文字列をテスト用に任意の値へとマスキング Copyright © 2024, Oracle and/or its affiliates

データベースの設定をスキャンし、STIG, CIS Benchmarkなどのセキュリティ要件と比較してリスクを評価基本構成、ユーザーアカウント、権限・ロール、アクセス制御、監査、暗号化等のカテゴリで評価データ・ディクショナリから必要な情報を収集するため、データベースへの影響はなしアセスメントは、定期的なスケジュール実行が可能アセスメント結果は、ベースラインとして登録することができ、比較分析や過去の実行結果履歴が参照可能セキュリティ・アセスメント 38 Copyright
© 2024, Oracle and/or its affiliates

ユーザー・アカウントをスキャンし、アカウントの使用状況や付与された権限・ロールからリスクを分析 DBAやDatabase Vault、Auditなどの管理者権限の付与状況を一括で可視化アカウントに付与された不要になる可能性があるシステム権限やロールを識別休眠アカウントやパスワードが失効しているユーザーを特定セキュリティアセスメントど同様に、スケジュール実行、ベースラインとの比較分析、実行履歴の参照が可能ユーザー・アセスメント 39 Copyright ©
2024, Oracle and/or its affiliates

Oracle Databaseの監査ログを定期的に収集し、ログ分析やレポートを提供対象は、データベースの監査表のみ (Unified Audit, Database Vault, SQL Firewallの違反ログ等) Data
Safeまたはオンプレミス・コネクターがターゲットDBに直接アクセスして監査ログを収集 Data Safeのコンソールからデータベースへの監査ポリシーの設定が可能 • 変更履歴やログイン失敗などの定義済みポリシー • ユーザー・アクティビティ • CISベンチマークやSTIGなどのコンプラインス対応向けポリシーコンプライアンス要件に対応する監査ログの長期保管 • オンライン保持期間は1～12カ月 • リストア可能なアーカイブとして最大6年保持可能目的ごとにプリセットされたアクティビティ・レポートアラートによるプロアクティブな情報連携月あたり100万レコードまでは無償 (超えると1万レコードごとに課金) アクティビティ監査 40 Data Safe Oracle Database AUD$ FGA_LOG$ Unified Audit On-Premises Connector 監査ポリシーの取得・反映監査ログの収集アップロード監査ポリシーとログの取得 ※オンプレミスの場合は必要 Copyright © 2024, Oracle and/or its affiliates

データベース内の機密データの列を検出する検出方法は、以下の2パータン • NAME, ID, PASSWORDといった機密列を示すキーワードを含んでいる列 • メールやクレジット番号といったデータ形式が一般的に固定化されておりかつ推測できる列 200以上の定義済みの機密タイプ
ユーザー独自の機密タイプの定義を追加可能 • マイナンバー, 運転免許証番号, 携帯電話, 社員番号など日本語の列名にも対応検出された機密タイプは、機密データ・モデルとしてData Safeに登録され任意の値にマスキングができる機密データ検出 41 ABC Table Emp No 1234567 Column 2 xxxxxxx First Name Oracle Last Name Taro Column 5 xxxxxxx Card No 4123123488990121 Copyright © 2024, Oracle and/or its affiliates

機密性の高いデータを不可逆な形式にてマスキングデータベースの特性を考慮したアーキテクチャ • 表の制約や表の親子関係を認識した一貫性のあるマスキング • 列データの要素数、分布、件数など、本番データの特性を維持 • マスキングはデータベース内でPL/SQLスクリプトとして実行される GUIで自由に定義できる様々なマスキング・タイプを提供 60を超える定義済みのマスキング・テンプレート
• 各ブランドのクレジット・カード番号, Eメール, URL, 郵便番号, マイナンバーユーザー独自のマスキング定義を作成可能 • 携帯番号, 社員番号, パスポート番号等の日本独自のデータ形式条件分岐や日本語を含む複雑なマスキングはユーザー定義関数で対応注意事項 • マスキング中は一時的にマスキングする表の数倍の表領域の空きが必要 • マスキング実行前にはDBのバックアップ、表の複製等の対応が必須データ・マスキング 42 Oracle Database Data Safe Copyright © 2024, Oracle and/or its affiliates

サポートされるターゲット・データベース 43 Oracle Cloud Database Versions Autonomous Data (Shared Exadata
Infrastructure) latest version Autonomous Data (Dedicated Exadata Infrastructure) latest version Base Database, Exadata on Dedicated Infrastructure - Oracle Database Edition (SE, EE, EEHP, EEEP) 11.2.0.4*, 12.1*, 12.2.0.1 or later Oracle Database on Compute instance - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later On-Premises Oracle Database - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later Oracle Databae@Azure 19c Amazon RDS for Oracle 19c, 21c Copyright © 2024, Oracle and/or its affiliates

価格 44 サービス名単価単位 1 Data Safe for Database
Cloud Service (*) 無償 2 Data Safe for Database Cloud Service – Audit Record Collection Over 1 Million Records ¥15.5 1万レコード/ターゲット/月 3 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases (**) ¥31,000 1DBあたり 4 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases – 10,000 Audit Records Per Target Per Month ¥15.5 1万レコード/ターゲット/月 * 監査機能は、 100万レコード/ターゲット/月まで無償、その他の機能は無償 **監査機能は、 100万レコード/ターゲット/月まで利用可能、その他の機能は追加コストなく利用可能最初の100ターゲットまで。100ターゲット以上は単価が下がるため、詳しくは価格リストを参照 Copyright © 2024, Oracle and/or its affiliates

柔軟なアクセス制御 Identity and Access Management Copyright © 2024, Oracle and/or
its affiliates. All rights reserved 46 OCIアカウント内のセキュリティ IAMユーザーの認証ポリシー設定によるアクセス制御ポリシーの設定により複雑なルールも簡単に定義可能誰がOCIアカウントにアクセス可能か、どのクラウド・リソースへのアクセス権を持つか、どのようにサービスやリソースを利用可能か組織構造にも対応コンパートメント Tenancy CompartmentA CompartmentB Groups GroupX Users User1 User2 Policies PolicyA: allow group GroupX to manage all- resources in compartment CompartmentA PolicyB: allow group GroupY to manage all- resources in compartment CompartmentB PolicyA PolicyB Block Storage Object Storage Virtual Machine VPN/ FastConnect DRG

二要素認証サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2023, Oracle and/or its affiliates 47
◆ 管理者は任意の二要素認証の手段を選択して有効化することが可能 ◆ モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能 ◆ 二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供メール SMS モバイルアプリケーション【二要素認証の要素】モバイルアプリケーション FIDO2 ワンタイム・パスコード通知秘密の質問生体認証 ※Oracle Mobile Authenticatorのみ利用可 ※RFC 6238に準拠している Authenticatorを利用可能 ※SMSの数量により別途追加費用が発生

リスク・ベース認証ユーザーの行動分析に応じた認証強化 Copyright © 2023, Oracle and/or its affiliates 48
◆ ユーザーの疑わしい行動履歴(下記項目)から、リスク・スコアを算出 ✓ ログインの失敗 ✓ MFAの試行 ✓ 未知の端末からのアクセス ◆ リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置を指定可能 ◆ 増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減少評価項目毎のリスク値の定義 ✓ 疑わしいIPからのアクセス ✓ 通常とは異なる場所からのアクセス ✓ 一定時間内の移動距離ユーザー毎のリスク値の推移確認

認証ポリシーアプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 Copyright © 2023, Oracle and/or its affiliates 49
サインオン・ポリシーインターネット社内ネットワークサインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス＋管理者権限ログイン拒否社外からのアクセス二要素認証 Web業務アプリケーション社内からのアクセスパスワード認証サインオン・ルールの例 ◆ サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可/拒否/再認証の要求/多要素認証の要求のいずれかの対応を設定することが可能 ◆ サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 ◆ サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の条件や条件が当てはまる場合のアクションを指定条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • 管理者権限の有無アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制条件アクション他社クラウドサービス Oracle PaaS/SaaS

フェデレーション技術による認証連携 Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2023, Oracle and/or its
affiliates 50 ◆ SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、 Oracle Public Cloudや他社SaaSやオンプレミスアプリケーションにシングル・サインオン ◆ 事前設定定義カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能 ✓ 他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供 ◆ アプリケーションごとに、ユーザーのアクセスの可否を設定可能 ECサイト Web業務アプリケーションオンプレミス・on IaaS 他社SaaS Oracle Public Cloud フェデレーション技術による認証情報連携シングルサインオン SAML OAuth OpenID Connect OCI IAM Identity Domain

OCI IAM Identity Domain 外部認証基盤(外部IdP)との認証連携 Azure ADなど既存の認証基盤をマスターとする認証連携 Copyright © 2023,
Oracle and/or its affiliates 51 ◆ Azure AD、ADFS(Active Directory Federation Service)など、SAMLのIdPをマスターとする認証連携が可能 SP クラウドサービス OCIコンソール SP SP アプリケーション各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ)：クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ)：クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Azure AD その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 既存認証基盤(マスタ) シングルサインオン IdP SAML 外部 IdP 連携 IdPポリシー複数のIdPと連携が可能 IdP利用ルールを定義可能

ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2023, Oracle and/or its affiliates 52
◆ FacebookやTwitterなどのSNSを認証マスターとして、それらのアカウントを利用してOCI IAMにログイン ◆ SNSとOCI IAMはOpenID Connect(一部OAuth)を利用してフェデレーション ◆ SNS(一部)との連携設定は事前定義済み ◆ 事前定義がないSNSも定義をインポートすることで連携可能 ◆ SNSのアカウントとの紐付け方法 ✓既存OCI IAMアカウントとソーシャル・アカウントとの紐づけ(1：Nの紐づけが可能) ✓OCI IAMへのソーシャル・アカウントの新規自己登録 SNS OCI IAM Identity Domain SP アプリケーションアプリケーション SP SP アプリケーション各アプリケーション(フェデレーション対応) IdP シングルサインオンログイン連携 OpenID Connect (一部OAuth) 認証マスタ AさんログインID：Facebook ID パスワード：なし BさんログインID：ローカルのID パスワード：あり Facebook ID Twitter ID SNSアカウント

IAM with Identity Domains Copyright © 2023, Oracle and/or its
affiliates 53 •認証連携 •認可制御 •多要素認証 •ユーザー管理等オンプレミス OCI IAM Identity Domains 認証連携(シングルサインオン) 認証強化管理 • モバイルやEmail、SMSを利用したワンタイムパスコード • 利用者情報(IPアドレス,所属グループ)に応じた認証制御 • ユーザー行動分析によるリスク評価 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • Gatewayモジュールによるオンプレミスアプリとの認証連携 • Azure ADなどの外部IdPとの認証連携 • 様々な方式によるユーザーやグループの管理 • Active Directoryを利用したユーザー管理 • アクセス証跡の管理と確認他社クラウド Webシステムクラウドイントラインターネット利用者 WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) Oracle SaaS/PaaS 開発 • REST APIによる操作 • ログイン画面等の開発認証強化認証連携認証連携認証連携

IAM with Identity Domains ユースケース Copyright © 2023, Oracle and/or
its affiliates 54 OCI IAM Identity Domains 1 従業員向け統合認証基盤従業員が業務で利用するオンスレミスのWebアプリケーションや SaaSを中心としたクラウドサービス等の認証管理・認証強化を実現したエンタープライズレベルの認証基盤を構築 2 従業員向けSaaSの認証基盤従業員が業務で利用するSaaSを中心としたクラウドサービスの認証管理・認証強化を実現したクラウド向け認証管理基盤を構築利用者：従業員(正社員、契約、業務委託) 対象アプリケーション：オンプレミスWebアプリ、クラウドサービス(SaaS等) 利用者：従業員(正社員、契約、業務委託) 対象アプリケーション：クラウドサービス(SaaS等) 3 外部ビジネスユーザー向け認証基盤取引先・サプライヤ・仕入先向けのWebアプリケーションや企業向け自社開発のパッケージの認証管理や認証強化を実現利用者：取引先、サプライヤ、パッケージ契約者(企業または消費者) 対象アプリケーション：Webアプリ、パッケージ(オンプレミスまたはSaaS) 4 会員(コンシューマ)向けの認証基盤会員向けECサイトやモバイルアプリの認証強化やソーシャル認証連携、複数ECサイトの認証連携を実現することで、会員IDの統合による UX向上とマーケティングを促進利用者：会員(サイト利用者) 対象アプリケーション：ECサイト、モバイルアプリケーション

Identity and Access Managementの課金タイプ Copyright © 2023, Oracle and/or its
affiliates 55 • OCI IAM Identity Domainsに4つのタイプ(課金タイプ)を用意 ※Oracle SaaSテナンシでのみ利用可能なタイプも用意 • 1つのIdentity Domainには1つの課金タイプを設定タイプ Free Oracle Apps Premium Premium External User 概要 (Usecase） • テナンシ作成時にデフォルト・ドメインとして作成されるタイプ • OCI IaaSおよびPaaSのリソースへのアクセス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへのアクセス管理 • 加えてオンプレミスやOCI IaaS上のOracle アプリケーション(Oracle EBS、PeopleSoft等) のアクセス管理 • 完全なIAM機能を提供し、すべてのOracleアプリケーションおよび Oracle以外のアプリケーションに対するアクセス管理 • 完全なIAM機能を提供しコンシューマ向けのアプリケーションに対するアクセス管理機能制限ありありなしありオブジェクト制限ありありありあり利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリケーションのアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証価格無償 ¥35（User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Oracle Apps Premium ¥448（User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Premium ¥2.24（User Per Month) Oracle Cloud Infrastructure Identity and Access Management – External User 注意事項ーー • OCI IAM Identity Domainが必須となる「お客様の開発が入らないPaaSサービス (OCMやOAC等)」のみでも利用可ーー • デフォルトドメインを本タイプにすることは不可 • OCIリソース(OACやOCM等のPaaS含む) へのアクセス不可

Identity and Access Managementタイプ毎の機能制限 (一部) Copyright © 2023, Oracle and/or
its affiliates 56 タイプ機能 Free Oracle Apps Premium Premium External User Oracle CloudサービスのSSO • • • • 現在のOCI IAMの機能 • • • ーー OCIリソースへのアクセス管理 • • • ーー動的グループ(OCI用) • • • ーー OCI固有の資格証明タイプ • • • ーーサードパーティ・アプリへのアウトバウンドSSO 外部アプリ：2つまで外部アプリ：10つまで • • サードパーティ・アプリのOAuth/トークン管理 • • 汎用SCIMアプリ・テンプレート • • 外部IdPsおよびソーシャル・ログイン外部IdP：5つまで • • • 柔軟なIdPルーティング・ポリシー • • • • ADからIdentity Domainへの同期 (単方向Active Directory同期) • • • ーー MFAとアダプティブ・セキュリティ SMSは利用不可 • • • サインオン・ポリシー 5つまで • • • App Gatewayの利用ーー Oracle Applicationsのみに制限 • • 詳細：https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm ※外部またはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、またはカスタム開発のアプリケーション(Visual Builder Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。

ログ管理 57 Copyright © 2024, Oracle and/or its affiliates. All
rights reserved

Logging 58 Copyright © 2024, Oracle and/or its affiliates. All
rights reserved

OCI内のログ出力を管理し、ログの簡易的な分析と連携管理を提供 Auditログ - デフォルトで有効化されているOCIコンソールやAPIの操作ログサービス・ログ - 各OCIサービスを利用時に発生するログ - VCN Flow
Logs, Load Balancers, Object Storage, Functionsなど Auditログは最大365日、サービスログは最大6カ月保持 Logging AnalyticsやObject Storageにログデータを移動することで永続的な保管が可能ログの分析やレポーティングは、操作性が高いLogging Analytics に集約して使用するのが効果的 Logging 59 Logging Auditing Object Storage VCN Flow Logs Auditログサービス・ログ etc Service Connector Hub Logging Analytics Copyright © 2023, Oracle and/or its affiliates

Auditログ OCIの全てのアクティビティログを記録するサービス • コンソール、CLI、SDKを含むすべてのAPIコールを自動的に記録 • 一部の例外を除く全サービスが対応 • コンソール、APIから閲覧・検索可能
• テナンシー単位で365日分保持 • 利用料は無料 • SR申請によりオブジェクト・ストレージに一括エクスポート設定も可能 • ロギング・サービスとの連携 • ロギング・サービスの仕組みを使って監査ログを検索、管理することも可能 • サービス・コネクタ・ハブを利用してログデータを他のサービスに連携 Logging 60 Copyright © 2023, Oracle and/or its affiliates

機械学習のテクノロジーを活用した高度なログ分析・サービス基盤 - 200種類以上のログに対応した事前定義済みパーサー - OCIやオンプレミスにある様々なOSやミドルウェアのログに対応 - 未サポートのログにはガイド付きカスタムパーサーで簡単作成直感的な操作で分析可能できるログ・エクスプローラー大量のログを高速にビジュアライズするクラスタ分析ログ・データの値に応じた自動ラベリング
様々な分析軸を保存したダッシュボードラベルやログ・データに応じたアラート通知アーカイブ機能によりTBを超えるログ保存のコストを削減 Loggingサービスとの連携しログ分析基盤として活用インストールした管理エージェントが、自動的にアップロード Logging Analytics 62 Logging Analytics Logging Compute Instance Service Connector Hub 管理エージェント連携 Syslog、セキュアログ Windowイベントログミドルウェア、アプリケーションログネットワーク、データベースログ etc.. Database System 他社クラウド管理エージェント連携管理エージェント連携サービス連携オンプレミス Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ログ・エクスプローラドラッグ&ドロップ、クリックなどの直感的な操作でログを検索、分析 Logging Analytics 63 検索クエリー GUI操作に連動して自動生成直接コマンド編集も可能フィールドログパーサーによって解析され
たフィールドと関連付いた値フィールドを用いたフィルタ処理や検索、複数のフィードを組み合わせたグループ化など柔軟な分析ができるビジュアライゼーション分析結果を様々な形式でグラフ化 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

機械学習を用いたログ分析「無視してよい大量のログ」「大切な一行のログ」を効率的に探索類似したパターンを持つログを自動的に認識しグルーピング膨大な量のログイベントを少量のパターン情報 (クラスタ)へと集約 - 例外的パターンや断続的に発生するイベントを素早く検知することで迅速なトラブルシューティングや、異常の検出を可能に Logging Analytics
64 クラスター: ログ・レコードのパターンを識別し、類似したパターンを持つログをグループ化潜在的な問題: Error, Fatal(致命的), Exception(例外) などのキーワードを含むログ・レコードのクラスタ外れ値: 特定の期間中に一度のみ発生し、クラスタに含まれなかったログ・レコードトレンド: クラスタのトレンド。類似した傾向を持つクラスタ同士をトレンドとして表示 Aug 18 11:00:57 Unable to create file ABC.txt for user root Aug 18 23:07:26 Unable to create file DEF.txt for user larry Aug 18 23:08:30 Unable to create file XYZ.ppt for user moe 上記ログエントリを、1つのパターンおよび1つの例外に集約 ID パターン件数 1 <Date> Unable to create file <File> for user <User> 1000 2 Aug 18 23:08:01 Succeeded authorizing right 'system.priv.admin' 1 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

クラスタ分析によるパターン検出例① Logging Analytics 65 テスト環境でアプリケーションからDBへの接続エラーのトラブルシュート中、同時間帯にリスナーログが大幅増加していることを確認クラスタリング結果から、接続要求自体は届いているものの、接続記述子に問題があることを即座に確認 Copyright
© 2024, Oracle and/or its affiliates. All rights reserved

ラベル Logging Analytics 66 ラベル機能 • 特定の値を持つログエントリに「ラベル」＝「わかりやすいキーワード」を付与 • 人間にわかりやすい言葉でログを検索することが可能事前定義済ラベル
• ラベルとラベル付与ルールを事前定義済で提供 • ユーザー自身がカスタムで作成することも可能 Tue Feb 14 22:24:23 2017 … Errors in file … (PDBNAME=CDB$ROOT): ORA-04031: unable to allocate 512 bytes of shared memory Exception in thread "Thread-4" java.lang.OutOfMemoryError: Java heap space at org.apache….. 「メモリエラー」 Oracle Database アラートログ WebLogic Server サーバーログラベルラベルの付与ラベルによる検索「メモリエラー」に関するログを教えて！ Copyright © 2024, Oracle and/or its affiliates. All rights reserved

事前定義済みのログ・パーサー 200を超える事前定義済みのログ・パーサーを提供例：Windowsイベント, Linux/Solaris等のOS関連ログ Oracle Database, MySQL, SQL Server等のDB関連ログ WebLogic
Server, Tomcat, JBoss, IIS等のAP関連ログ Palo Alto, Bluecoat,F5等のネットワーク機器関連ログ OCI Audit, VPN Flow Logなどクラウドサービス関連ログテキスト、XML、JSON、データベース表のログにも対応マルチライン対応事前定義済みのパーサーにない未対応のミドルウェアやアプリケーションのログには、ガイド付きパーサー・ビルダーで簡単に正規表現のパーサー作成が可能 Logging Analytics 67 フィールド分割の作業や場所の指定なしですぐに分析に取りかかることが可能ログ・パーサーログレコードの解析定義(正規表現) ログ・ソースログの場所やログに対する前処理の設定 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ガイド付きパーサー・ビルダー Logging Analytics 68 ①対象のログファイルの選択 ②サンプル・ログレコードの入力 ③ログレコードとフィールドの紐づけ ④生成された正規表現でサンプルログレコードのテスト実際のログからGUI操作で
解析定義を生成 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ログのアーカイブ・パージ Logging Analyticsの２つのストレージ領域 - アクティブ・ストレージ (デフォルト) - アーカイブ・ストレージアクティブに参照する必要のないログは、アーカイブストレージに移動し、ストレージコストを抑えることが可能
アーカイブは、アクティブストレージに30日以上経過し、 1TBを超えるデータが対象となるリコールにてデータをアーカイブからアクティブストレージにいつでも呼び戻すことも可能古いログは、パージによってログを削除パージ・ポリシーを設定することで、1カ月以上前のログや特定のシステムのログだけを削除するなど、定期的なログ削除のジョブを実行 Logging Analytics 69 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

検出ルールとアラート２種類の検出ルール - 検出したいログの検索クエリーをスケジュール化して定期的に実行(最小5分間隔)、結果をメトリックとして更新 - ログ取り込み時にラベルの有無をチェックし、結果をメトリックとして更新メトリックは、モニタリングの独自メトリックとして定義されるメトリックには、しきい値を設定したアラートの実行
- モニタリングのアラート機能を使用アラートの通知先には、通知サービスを使用したメール, Slack, SMS, Webhook, Functionsと連携したコードの自動実行など、しきい値を検知した際のアクションの設定が可能 OCI上のリソースが削除された内容のログを検索する検索クエリーを定期的に実行し、1件でも一致するログがあればアラームを受け取る Logging Analytics 70 OCI上のリソースが削除されたログを検索する検索クエリーを 5分毎に実行 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

脅威インテリジェンスと連携し高リスクのIPアドレスを検出 OCIの脅威インテリジェンス・サービスと連携しログ内に含まれているIPアドレスを評価しリスクを検出脅威データベースに該当する場合は、Threat IPのフィールドとして出力される脅威となるIPアドレスの主なタイプ -Bruteforce, Criminal, Botnets,
Sqlinjectionattack Mobilemalware, Banking, Targetedcrimewareなど IPアドレスは、脅威タイプと信頼度が定義されており常に最新の動向を反映したリストに保たれる Logging Analyticsには、IPアドレスからジオロケーションを抽出する機能があるが、その設定の一部としてチェックするだけ有効になるので設定も簡単機能を有効化した後のログからチェックが開始され既に格納されているログは対象外 Logging Analytics 71 Threat Intelligence Logging Analytics ログに含まれるIPアドレスを分析しThreat IPとして評価最新の脅威情報を同期 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ダッシュボードログ・エクスプローラーで検索した条件を保存し、一目でユーザーの参照したい画面をダッシュボードにして作成日付に応じた画面のリフレッシュ OCI AuditやVNC Flow Logsなどのビルドインされたダッシュボードの提供ログ・エクスプローラーの画面に遷移し、さらに詳細な
分析を行うことも可能ダッシュボードをクローンすることで、事前定義済みダッシュボードのカスタマイズダッシュボードの定義をエクスポートし、別のテナントにインポート可能 Logging Analytics 72 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

サービス価格 73 【Logging Analytics】サービス価格メトリック Logging Analytics: Active
Storage （最初の35Unitまで）※ ¥57,660 1Unit/月 Logging Analytics: Active Storage （36~103Unitまで） ¥40,362 1Unit/月 Logging Analytics: Active Storage （104Unit以降） ¥34,596 1Unit/月 Logging Analytics: Archive Storage ¥3.1 1Unit/時間 ※Logging, Logging Analyticsは、最初の10GBまで無償 LAは、11～300GBが1unit、以降 300GB単位で1Unit換算 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

脆弱な設定を防止するために、強固なセキュリティ・ポリシーが強制されたコンパートメントコンピュート・インスタンス、ネットワーク、ストレージ、データベースなどのリソースに対する 30を超えるポリシーがOracle管理で提供されるポリシーの一例: - セキュリティゾーン内のリソースを標準コンパートメントに移動することはできない - パブリック・アクセスに関するリソースはすべて作成できず、プライベート・サブネットのみ許可される - ストレージ・ボリュームはVaultによる暗号鍵管理が必要
- データベースのバックアップは必須、バックアップはセキュリティゾーン以外では使用できない - カスタム・イメージは作成できないすべてのポリシーを強制させる最大セキュリティ方式、ユーザー自身で必要なポリシーのみを選択する方式の２種類のSecurity Zonesが作成可能基本機能として無償セキュアに保護されたコンパートメント Security Zones VM Database Security Zones Admin 75 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Webアプリケーションの保護をクラウド型で提供するOCIのマネージドサービス OWASP Top10に代表される様々なサイバー攻撃のトラフィックを解析し、Webアプリケーションを保護 Webアプリケーションのプロキシとして動作し、多層的に不正なアクセスを検出・遮断 Oracle Cloudだけでなくオンプレミスや他クラウド上にあるWebアプリケーションも同等の保護が可能用途に合わせたGlobal WAFとRegional WAFの２種類のWAFをサポート Web
Application Firewall 77 WAF and Anti-Bot Protection クラウドベース Web APP オンプレミス Web APP Oracle Cloud Web APP 悪意のボットハッカーユーザー善良なボットスパムメールアクセス制御脅威インテリジェンスボット対策保護ルールすぐにデプロイできる俊敏性マネージドサービスによる設定・運用管理の容易性特定の国, URL IP, ユーザーエージェント等の制限最新の脅威情報を基に脆弱性をつく攻撃を防御悪意のボットをブロックさせるためのトラフィック行動分析サイバー攻撃を遮断する600を超えるルールおよびOWASP トップ10への対応専門チーム極度な状況の場合に動員される専門家 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Global WAF Webサーバー(オリジンサーバー)の前段にリバースプロキシとして配置実際のWAFリバースプロキシサーバーは、世界中の11拠点に展開するエッジPoPに分散配置 IPエニキャストによりクライアントに最も近いWAFにルーティングされ、フィルタリングされたトラフィックのみバックエンドに転送設定(WAFポリシー)はOCIのグローバルリソースとして一括管理、「反映」ボタンを押すと世界中のWAFにキャスト Web Application Firewallのグローバル・アーキテクチャ 78
Web Server 攻撃者攻撃者攻撃者リージョン内WAF Edge PoP Edge PoP OCI REGION VCN WAF Policy Internet Gateway Customer Premises Equipment 他クラウド / オンプレミスも保護可能 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Regional WAF VCN内のフレキシブル・ロード・バランサー（パブリック/プライベート）に対してWAF保護ポリシーを適用 - インターネット・アプリケーションだけではなく、VCN内部のプライベートなアクセスに対してもWAFでの保護が可能に DNSには、ロードバランサーのIPアドレスを登録することで、クライアントはWAFを経由したアクセスになる WAFのバックエンドサーバーとして保護できるのは、VNCインスタンスのみフレキシブル・ロード・バランサーに直接デプロイするWeb Application Firewall
79 OCI パブリック・サブネットプライベート・サブネット VCN DRG パブリック・ロード・バランサインターネット・ゲートウェイインスタンスインスタンスプライベート・ロード・バランサ WAFポリシー WAFポリシーオンプレミス保護保護インターネット Copyright © 2024, Oracle and/or its affiliates. All rights reserved

それぞれのWAFの特徴 80 Global WAF (エッジポリシー ) Regional WAF (WAF
ポリシー) 機能提供開始 2019年2月～ 2021年10月～特徴ドメインのDNSレコード更新を用いてフルスタックのWAF機能を使用できる OCI Flexible Load Balancerに直接デプロイし従来よりも簡単でシンプルな設定・構成対象アプリケーションすべてのパブリックのWEBアプリケーション OCIのVNC内のWEBアプリケーションのみアプリケーション・エンドポイントパブリックのみパブリック及びプライベートアクセス制御〇〇脅威インテリジェンス〇 × (予定) WAF保護ルール〇〇 BOT対策〇 × (予定) レート制限〇〇キャッシュ〇 × (予定) アクセス・ログ WAF Service内 Logging サービス連携ポリシーの反映 10分～1時間 10秒～1分グローバルなエッジPoPに展開する負荷分散型のGlobal WAFは、エッジポリシー Flexible Load Balancerに直接デプロイするOCIネイティブ型のRegional WAFは、WAFポリシーと呼ぶ Copyright © 2024, Oracle and/or its affiliates. All rights reserved

ルールに基づいて悪意のあるトラフィックからアプリケーションを保護保護ルール (Protection Rules) 81 事前定義済ルールがサービスに同梱 • 現時点で600以上のルールが定義済 • 最新の脅威情報を元に随時アップデート
ユーザーがルールの適用可否をカスタマイズ • Block(ブロック)、Detect(検知のみ) 、Off(無効) • mod_security フォーマットによるカスタム・ルールの登録 AI機能による運用サポート • 一定期間のトラフィックを機械学習(ML)で自動的に分析し、推奨アクションを提示 (※エッジポリシーの場合) • OWASPの推奨事項などをタグでフィルタリングブロック時のアクション指定 • レスポンスコード • エラーページエッジポリシー WAFポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved

アクセス・ルール (Access Rules) トラフィック制御の条件に設定できるパラメータアクセス制御 (Access Control) 82 評価基準内容
備考 URL • URL is • URL is not • URL starts with • URL ends with • URL contains • URL regex URL正規表現マッチングはPerl互換の正規表現 IPアドレス • Client IP Address is • Client IP Address is not 地域 / 国 • Country is • Country is not APIには、2文字の国別コードを使用 UserAgent • User Agent is • User Agent is not HTTPヘッダ • HTTP Header contains 値は、コロンで区切った<name>：<value>で入力する必要があるエッジポリシー WAFポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved

状況に応じインテリジェントに判断してアプリケーションを保護するWAFの応用機能ボット管理 (Bot Management) 83 単純なルールでは判別不可能なBotを、複雑なロジックを用いアダプティブに判断して検知、ブロックを行う 5種類の保護をサポート • JavaScriptチャレンジ
• ヒューマン・インタラクション・チャレンジ • デバイスのフィンガープリント・チャレンジ • アクセス・レート制限 (API経由で設定可能) • CAPCHAチャレンジ良好なBotホワイトリスト機能で、サーチエンジンなどにも対応エッジポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved

エッジポリシーのアクセスログは、WAFサービス内で独自管理される WAFサービスのコンソール内に簡易的なログ表示機能ログの最大保持期間は7日間, SRリクエストでログを定期的にオブジェクト・ストレージにアーカイブさせるような設定が可能 WAFポリシーのアクセスログはLoggingサービスで管理される Loggingサービスが提供する簡易的なログ検索とグラフ機能ログの最大保持期間は6カ月 Service Connector
Hubで、ログをオブジェクト・ストレージや Logging Analyticsなどにアーカイブして長期保管が可能 84 エッジポリシー WAFポリシー Object Storage WAF ログファイルの保存 WAF Logging Service Connector Hub WAFのアクセス・ログ Logging Analytics Object Storage Logging Analytics Copyright © 2024, Oracle and/or its affiliates. All rights reserved

オブジェクト・ストレージに格納されるエッジポリシーのログや LoggingサービスからService Connector Hub経由で送信されたWAFポリシーのログをLogging Analyticsで分析 Logging Analyticsは、機械学習のテクノロジーを活用した高度なログ分析を提供 -
250種類以上のログに対応した事前定義済みパーサー - OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - ユーザー独自のアプリケーションや未サポートのログに対応するカスタム・パーサを簡単に手動作成異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析手法が可能ログデータに応じたアラート通知 Logging Analyticsを組み合わせたログのビジュアライズ 85 アクセス急増によるDDoS攻撃の検出アクセスログを包括的に監視するダッシュボード Copyright © 2024, Oracle and/or its affiliates. All rights reserved

価格 86 SKU メトリック単価 Web Application Firewall – Instance
1インスタンス ¥0 2インスタンスからは、1インスタンスごとに ¥775/月 Web Application Firewall - Requests 1000万リクエスト/月 ¥0 1000万リクエストからは、100万リクエストごとに ¥93/月 WAFの課金体系は、インスタンスとリクエストのメトリックで構成されるインスタンスは、WAFのポリシー、リクエストは実際にWAFが処理するHTTPリクエストを意味するひとつめのWAFポリシーで1000万リクエスト/月までは、無償として提供される Copyright © 2024, Oracle and/or its affiliates. All rights reserved

OCIネイティブの次世代ファイアーウォール Network Firewall 88 Network Firewall ✓ ステートフル・ネットワーク・フィルタリング ✓ URLフィルタリング
✓ 不正侵入検知・防止 (IPS/IDS) ✓ SSLインスペクション ✓ ✕ Copyright © 2024, Oracle and/or its affiliates. All rights reserved 不正なトラフィックやマルウェアからOCIネットワークを保護するファイアウォール・サービス Palo Alto Networksの最先端のテクノロジーを活用した脅威検出インテリジェンスを搭載高可用性を考慮したデプロイメントを数ステップで作成可能 - 4Gbps(デフォルト)から最大25Gbpまで拡張可能なネットワーク帯域 - Active-ActiveのHA構成、それぞれ別のADにデプロイ Oracleマネージドで提供されるメンテナンスフリーの脅威検出シグネチャユーザー要件に応じた様々なファイアウォール・ポリシーの作成インターネット、閉域網、OCIリージョン間など様々なネットワーク構成に適用が可能 VTAPのミラーパケットを検査するトンネル・インスペクション主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づくアクセス制御 - URLフィルタリング: ドメインやURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 最新の脅威インテリジェンスで不正なトラフィックを検出し遮断 - SSLインスペクション: クライアントとサーバー間のHTTPS通信を復号しトラフィックを検査

ステートフル・ネットワーク・フィルタリング送信元および宛先のIPアドレス、ポート、プロトコルに基づいてトラフィックを許可または拒否するポリシーに使用できるルール要素 - 送信元IPアドレス (IPv4/IPv6) - 送信元ポート番号 -
宛先IPアドレス - 宛先ポート番号 (IPv4/IPv6) - プロトコル例) SSH: TCP/22, HTTPS: TCP/443 範囲指定: TCP/5901-5910 デフォルトの動作を下記選択することが可能 - ホワイトリスト: デフォルト拒否、許可するルールを指定 - ブラックリスト: デフォルト許可、拒否するルールを指定 VCNのセキュリティリスト、セキュリティグループとは共存 89 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

インバウンドおよびアウトバウンドのHTTP/HTTPSトラフィックを FQDNやワイルドカードを用いたURL指定などで制限ファイアウォール・ポリシーのルール要素として使用することができ条件に合致したURLへの接続を許可・拒否する URL例) *.example.com - www.docs.example.comや www.example.com.uaはマッチする *.example.com/
- www.docs.example.comはマッチするが www.example.com.uaはマッチしない mail.^.com - mail.example.com はマッチするが mail.example.sso.comはマッチしない 90 URLフィルタリング Copyright © 2024, Oracle and/or its affiliates. All rights reserved

不正侵入検知・防止(IDS・IPS) 91 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築されたIDS・IPSソリューション最新の脅威シグネチャと検知メカニズムで脅威を識別既知の脆弱性の悪用、マルウェア、悪意のあるURL、スパイウェア、C&C攻撃に対する検知やブロックを行う App-IDテクノロジーを使用してアプリケーション層に対する
不正アクセスから正確に保護 - App-IDは、ポート、プロトコル、暗号化または回避技術に関係なくアプリケーションを正確に識別するPalo Alto独自のトラフィック分類テクノロジー IDS(不正侵入検知)は、脅威を検出しログ出力のみ IPS(不正侵入防止)は、検知だけでなくトラフィックを切断する Copyright © 2024, Oracle and/or its affiliates. All rights reserved

TLSで暗号化されたHTTPS通信をNetwork Firewallが復号し、本来は暗号化されて可視化できない通信内容に対する検査が可能に 2つのSSL復号方式をサポート - SSLフォワード・プロキシ - SSLインバウンド・インスペクション暗号化・復号に使用なシークレット情報(秘密鍵と証明書)は
OCI Vaultでセキュアに管理 SSL証明書やSSL暗号プロトコルの検証も実施復号後のトラフィック検査には、侵入検知・防止の脅威分析エンジンにより、マルウェアや不正なアクテビティを検出・遮断 92 SSLインスペクション Copyright © 2024, Oracle and/or its affiliates. All rights reserved

IDS・IPSルールで不正なトラフィックを検出・遮断 93 VCN Firewall Subnet Subnet Instance Network Firewall Internet
Subnet Instance Database インターネットや専用線との境界にNetwork Firewallを配置し、VNC内のリソースをサイバー攻撃から保護する同様にマルウェア感染等よるVNC内部からの外向きの不正なアクセスを未然に防止する VCN Firewall Subnet Subnet Instance Network Firewall Instance Subnet Database VCN Firewall Subnet Network Firewall VNC内のサブネット間やVCN間の通信の保護を目的とした構成など、Network Firewallの配置位置によって対象のリソースを限定することもできる VCN内の疑わしいアクティビティの監視や情報漏洩対策としても有用 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

インターネットアクセスを監視する基本的な設定例 94 VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet Gateway Secure
Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ ：インバウンド：アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Network Firewallログのサービス連携 95 Service Connector Hubから直接Logging Analyticsにデータ連携し、詳細なログ分析が可能 Logging Analyticsは、機械学習のテクノロジーを活用した横断的なログ分析やダッシュボードを提供 -
OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - 異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析 - ログデータに応じたアラート通知 (Notificationサービス連携) Logging Service Connector Hub Logging Analytics JSON形式の TrafficとThreatログ Network Firewall ログの出力管理 Loggingのログを Logging Analyticに直接転送する可読性の高いログのビジュアライズとダッシュボードによる網羅的なログ分析 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

検出された不正トラフィック例 96 Network Firewallが検知した1週間の不正トラフィックどこの国からのアクセスか？不正トラフィックのカテゴリと比率 Network Firewallが判別した不正トラフィックの種類 ※これらの画面はLogging Analyticsのものです
Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Network Firewallの課金体系は、Firewall InstanceとData processingの２種類インスタンスの課金はアクティブなインスタンスの数に基づいており、データ処理の課金はインスタンスによって処理されるトラフィック量を対象とする価格 97 SKU PAYG（Pay
As You Go rate） Oracle Cloud Infrastructure - Network Firewall Instance ¥426/時 Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.6/GB （1ヶ月あたり10TBまで無料） Copyright © 2024, Oracle and/or its affiliates. All rights reserved

VTAPのミラーパケットを検査するトンネル・インスペクション VXLANのサポートによりVTAPとの連携が可能 VTAPは各サービスの通信トラフィックをミラーリングしてターゲットに送信するOCIネイティブのパケット・キャプチャ機能 VTAPが可能なリソース - コンピュート・インスタンス、ロードバランサー、データベース・システム等 VTAPのミラーパケットはVXLANによってカプセル化されているため Network Firewallによって非カプセル化しトラフィックを検査
侵入検知(IDS)のセキュリティ・ルールによりサイバー攻撃を検知 - XSS (クロスサイトスクリプティング)、CSRF、SQLインジェクション - DDoS、ブルートフォース、マルウェア、C&C攻撃など既存のネットワークに影響を与えないアウトオブバンド構成が可能 - VTAPソースとターゲット間にNetwork Firewallを配置トンネル・インスペクションのログはLoggingに出力 Network Firewall Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 98 VTAP Flexible Load Balancer Compute Database System Exadata VM Cluster VTAP ソース VTAP ターゲット Network Firewall 対象サービスのトラフィックをミラー Load Balancer User packet packet packet VXLAN VXLAN 非カプセル化及びパケット検査 2024年8月新機能

トンネル・インスペクションの設定例 Copyright © 2024 Oracle and/or its affiliates. All rights
reserved. 99 Tokyo Region nwfw-vcn1 172.16.0.0/21 Internet Gateway Internet Webapp Subnet 172.16.1.0/24 Instance LB Subnet 172.16.0.0/24 Instance VTAP LB Subnet 172.16.3.0/24 Load Balancer Flexible Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Destination CIDR Route Target 172.16.3.0/24 172.16.2.31 追加 ①Network Firewall用のサブネットにFWを作成する ②VTAPのターゲット作成 - LBとバックエンドセットを作成 ③VTAPの作成 - ソースとターゲットを指定する ④LBサブネットのルート表に FWのルートを追加する - VTAPソースからターゲットに流れるトラフィックはFWを経由するようにする ⑤FWのポリシーにトンネル検査ルールとセキュリティルールのアクションをIDSで追加する VTAP Backend Subnet 172.16.5.0/24 Instance VTAPソース ① ② ③ ④ 2024年8月新機能 ⑤

トンネル・インスペクションの設定例 Copyright © 2024 Oracle and/or its affiliates. All rights
reserved. 100 Tokyo Region nwfw-vcn1 Public Subnet Public Subnet Flexible Load Balancer Database Subnet Backend Webapp Subnet Database Instance Instance VTAPソース VTAPソース VTAPソース VTAPソース VTAP LB Subnet 172.16.3.0/24 Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Backend Subnet Instance Internet Gateway ルート表ルート表ルート表ルート表 VTAP 既存ネットワークへの影響という点では、以下が追加となる 1. Network Firewallの作成 × 1 2. VTAPターゲットの作成 × 1 3. VTAPの作成 × n 4. 各VTAPソースのサブネットのルート表に FWへのルールを追加 × n 2024年8月新機能 Destination CIDR Route Target 172.16.3.0/24 172.16.2.31

ユーザーの暗号鍵・シークレットをセキュアに集中管理 OCIの各ストレージサービスはデフォルト暗号化暗号鍵の管理をデフォルトのOracle管理からユーザー自身による管理を実現 • 対応する暗号鍵: AES, RSA, ECDSA • 暗号鍵の作成・削除、ローテーション、インポート、バージョン管理、モニタリング等
• キー作成や署名等のオペレーションはOCIのAPIを使用 • OCIサービスの各サービスとシームレスに連携 • クロスリージョン・レプリケーション、バックアップ (※Virtual Private Vaultのみ) FIPS 140-2 Security Level 3 に準拠したHSMを利用 2種類のVault • Default Vault : 共有パーティション内で仮想的にユーザーのVaultを提供 • Virtual Private Vault : ユーザー専用に完全分離された専用パーティションとして提供シークレット (パスワード、証明書、SSHキー、認証トークン)なども格納可能新機能 External KMS、Dedicated KMSの提供 Vault 102 Block Volume Object Storage Key A Key B 暗号化暗号化ユーザー File Storage Secret A コード Vault Copyright © 2024, Oracle and/or its affiliates

Vault の基本要素 103 Vault 暗号鍵シークレット Virtual Private Vault Default
Vault • ユーザー自身による暗号鍵の管理 (AES, RSA, ECDSA) • HSMまたはソフトウェアによるマスター暗号鍵の保護を選択 • BYOKのサポート • 高い信頼性と冗長化 • Vaultの暗号鍵によってシークレットのストレージを暗号化 • シークレットの安全な格納と取り出し • OCI CLI, REST API, 各種SDK, Terraformの幅広い利用 Block Storage Object Storage File Storage Streaming Kubernetes Database System HSM HSM Keys Software Keys HSM Keys Software Keys HSM Copyright © 2024, Oracle and/or its affiliates

HSM マスター暗号鍵は、FIPS140-2 Level 3に準拠したHSMに格納暗号化・復号はHSM内で処理され、鍵がHSM外に出ることはないマスター暗号鍵をエクスポートすることはできない Default Vault (共有HSMパーティション) -
各テナントで共有され、トランザクションを最適化 - 無償、10Vaultまで、 1Vaultあたり最大100キー Virtual Private Vault (専用HSMパーティション) - 高い独立性と高速なトランザクションを保証(3K-5K) - 有償、1Vaultあたり最大1000キーの格納を保証 - バックアップ、クロスリージョン・レプリケーションのサポートソフトウェアマスター暗号鍵は、Vaultサーバー内に暗号化され保管暗号化・復号は、サーバーのCPU/メモリで処理実行されるマスター暗号鍵のエクスポートが可能無償マスター暗号鍵の保護方式 104 Native OCI Storage Database Data Key1 TDE Data Key マスター暗号鍵 Secrets Encrypts/ Decrypts Encrypts/ Decrypts Protected Copyright © 2024, Oracle and/or its affiliates

専用KMS 専用のHSMパーティションとユーザー自身での直接管理が可能 FIPS 140-2 Level 3に準拠したHSM 3つ以上のHSMパーティションから構成されたHSMクラスターで高可用性とトランザクション性能を向上 PKCS#11 APIに対応したライブラリを提供
- 暗号化/復号、署名/検証、ダイジェスト関数等ユーザー管理機能 - Crypto Officer: ユーザーの作成、キーの検索・所有権の転送などの管理業務 - Crypto User: キーの生成、公開キーのエクスポートなどの実運用を行うアプリケーションの暗号化や署名機能に組み込んだ用途に対応 OCIのストレージ・サービスなどのネイティブ・サービスは対応しない作成可能なキー数は最大3000 Dedicated KMS Copyright © 2024, Oracle and/or its affiliates 105 Dedicated KMS HSM Cluster HSM Partition ユーザー管理ユーティリティキー管理ユーティリティ PKCS#11 Library Crypto Officer (暗号管理者) Crypto User (暗号ユーザー) HSM Partition HSM Partition 暗号化・復号署名・検証

外部のHSM暗号鍵を参照して使用することが可能既存HSMと連携することによる暗号鍵の一元化サポートするHSMは、THALES CipherTrust Manager (※2024年2月時点) 参照できる暗号鍵は、AES 256のみ暗号鍵の作成・削除等の管理は、外部HSM側にて行うマスター暗号鍵はOCI側でキャッシュ・保管されることはない
参照可能なキー数は最大100 External KMS Copyright © 2024, Oracle and/or its affiliates 106 External KMS THALES CipherTrust Manager HSM HSM HSM 暗号化・復号リクエスト

各Vaultの違い Copyright © 2024, Oracle and/or its affiliates 107 Default
Vault Virtual Private Vault Dedicated KMS External KMS 特徴無償でHSMを使用できる基本のVaultサービス専用パーティションによりセキュアかつ安定した暗号処理パフォーマンスを提供 Default Vaultでは不足するリソース確保、レプリケーションによる可用性が必要な用途向け専用パーティションによりセキュアかつ安定した暗号処理パフォーマンスを提供 PKCS#11の標準ライブラリを使用したアプリケーションなど、より HSMネイティブの機能が必要な用途向け外部HSMの暗号鍵と連携した暗号処理サービス既存のHSMを有効活用する用途向け対応するOCIサービスの暗号化各Storage Service Database Cloud Service等各Storage Service Database Cloud Service等 × 各Storage Service Database Cloud Service等キーの制限 100 1000 3000 100 HSMパーティション共有占有占有外部HSMに依存バックアップ × 〇〇外部HSMに依存クロスリージョン・レプリケーション × 〇 × N/A HSM内のコントロール × × 〇外部HSMに依存 API OCI CLI, SDK OCI CLI, SDK PKCS#11 OCI CLI, SDK 価格最初の20キー・バージョン無料以降1キー・バージョンあたり ¥83/月 1 Vaultあたり ¥577/時間 1 KMS(3パーティション)あたり ¥813/時間 1キー・バージョンあたり ¥465/月

ユース・ケース Vault 108 暗号鍵シークレット • コンプライアンス要件上、データ暗号化の暗号鍵の管理をサービスベンダーでなく、ユーザー自身で管理することが必須、または推奨されている •
コンプライアンス要件上、定期的な暗号鍵の変更が求められている • コンプライアンス要件上、暗号鍵はHSMに格納することを推奨事項として明記されている • HSMの利用の場合、FIPS140-2 Level3準拠することが金融や公共・ヘルスケアといったシステムではデファクトスタンダートとして求められる • データの暗号化やデジタル署名のクラウド基盤 • バッチやアプリケーション内でデータベースのユーザー名・パスワード、接続文字列といった接続情報を直接ハードコーディングすることを禁止したい • クラウドリソースのユーザー名やパスワード、 SSHキーなどをメールやチャットツールなどで気軽に共有してしまう運用を辞めたい • Terraformやコンテナ等のインフラの自動化管理ジョブの中にできる限り機微な情報を含めたくない • だれが、いつ、どこからシークレットにアクセスしたのか、特定するための監視手段が必要 • シークレットの有効期限を設定したい Copyright © 2024, Oracle and/or its affiliates. All rights reserved

価格 Vault 109 暗号鍵シークレット Default Vault デフォルト共有パーティションとして提供 10Vaultまで使用可
テナントあたり20キー・バージョンまで無償、以降1キー・バージョンごとに(¥83) ※新規キー作成は、1キー・バージョンとしてカウントキーのローテーションは、1キー・バージョンとしてカウント Virtual Private Vault HSM内にユーザー専用のパーティションを提供し、仮想HSM と同等の分離レベルを提供 1 Vaultあたり最大 3000キーまで格納可能 1 Vaultあたり: (¥577/hour) ※上記のVaultではなく、ソフトウェア保護キーの場合は制限なく無償無償 5,000 シークレット 1シークレット最大50バージョン 1シークレット最大25KB 100000 Write APIコール/月無制限 Read APIコール/月 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

OCI Security サービス 概要

OCI Security サービス 概要

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript

OCI Security サービス概要

OCI Security サービス概要