【Oracle Cloud ウェビナー】【失敗しない運用】セキュアな仕組みで実現するゼロトラスト・セキュリティ

Transcript

1. Oracle Cloud ウェビナー 日本オラクル株式会社 事業戦略統括 事業開発本部 大澤 清吾, CISSP 2024年6月26日

   【失敗しない運用】セキュアな仕組みで実現するゼロトラスト・セキュリティ

2. • 「情報セキュリティ10大脅威」は、前年に発生し た社会的に影響が大きかったと考えられる情報 セキュリティにおける事案から、IPAが脅威候補を 選出し、情報セキュリティ分野の研究者、企業 の実務担当者などのメンバーからなる「10大脅威 選考会」が脅威候補に対して審議・投票を行い、 決定したもの • 2006年から毎年公開

   IPA 情報セキュリティ10大脅威 Copyright © 2024, Oracle and/or its affiliates 2 引用: https://www.ipa.go.jp/security/10threats/index.html

3. 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

   2016 2017 2018 2019 2020 2021 2022 2023 2024 第1位 事件化するSQL インジェクション 漏えい情報 のWinnyに よる止まらな い流通 高まる「誘導 型」攻撃の脅 威 DNSキャッシュポ イズニングの脅威 （組織） 変化を続ける ウェブサイト改 ざんの手口 「人」が起こし てしまう情報 えい 機密情報が盗ま れる！？新しい タイプの攻撃 クライアントソ フトの脆弱性 を突いた攻撃 標的型メール を用いた組織 へのスパイ・諜 報活動 インターネットバン キングやクレジット カード情報の不正 利用 標的型攻撃によ る情報流出 標的型攻撃に よる情報流出 標的型攻撃 による被害 標的型攻撃 による被害 標的型攻撃 による機密情 報の窃取 ランサムウェア による被害 ランサムウェアに よる被害 ランサムウェア による被害 ランサムウェアに よる被害 第2位 Winnyを通じた ウイルス感染によ る情報漏えいの 多発 表面化しづ らい標的型 （スピア 型）攻撃 ウェブサイトを 狙った攻撃の 広まり 正規のウェブサイ トを経由した攻撃 の猛威（管理 者・開発者） アップデートし ていないクライ アントソフト 止まらない！ ウェブサイトを 経由した攻 撃 予測不能の災害 発生！引き起こ された業務停止 標的型諜報 攻擊 不正ログイン・ 不正利用 内部不正による 情報漏えい 内部不正による 情報漏えい ランサムウェアに よる被害 ランサムウェア による被害 ビジネスメー ル詐欺による 被害 内部不正に よる情報漏え い 標的型攻撃 による機密情 報の窃取 標的型攻撃に よる機密情報 の窃取 サプライチェー ンの弱点を悪 用した攻撃 サプライチェーン の弱点を悪用 した攻撃 第3位 音楽CDに格納さ れた「ルートキット に類似した機能」 の事件化 悪質化・潜 在化する ボット 恒常化する情 報漏えい 巧妙化する標的 型攻撃（組 織） 悪質なウイル スやボットの 多目的化 定番ソフト ウェアの施弱 性を狙った攻 撃 特定できぬ、共 通思想集団によ る攻撃 スマートデバイ スを狙った悪 意あるアプリの 横行 ウェブサイトの 改ざん 標的型攻撃によ る諜報活動 ウェブサービスから の個人情報の窃 取 ウェブサービスか らの個人情報の 窃取 ビジネスメー ル詐欺による 被害 ランサムウェア による被害 ビジネスメー ル詐欺による 金銭被害 テレワーク等の ニューノーマル な働き方を 狙った攻撃 サプライチェーン の弱点を悪用 した攻撃 標的型攻撃に よる機密情報 の窃取 内部不正によ る情報漏えい 等の被害 第4位 悪質化するフィッ シング詐欺 深刻化する ゼロデイ攻 撃 巧妙化する標 的型攻撃 多様化するウイル スやボットの感染 経路（利用 者） 対策をしてい ないサーバ製 品の脆弱性 狙われだした スマートフォン 今もどこかで・・・ 更新忘れのクライ アントソフトを狙っ た攻撃 ウイルスを使っ た遠隔操作 ウェブサービス からのユー ザー情報の漏 えい ウェブサービスへの 不正ログイン サービス妨害攻 撃によるサービス 停止 サービス妨害攻 撃によるサービス の停止 脆弱性対策 情報の公開 に伴う悪用 増加 サプライチェー ンの弱点を 悪用した攻 撃の高まり サプライチェー ンの弱点を悪 用した攻撃 サプライチェー ンの弱点を悪 用した攻撃 テレワーク等の ニューノーマル な働き方を狙っ た攻撃 内部不正によ る情報漏えい 標的型攻撃に よる機密情報 の窃取 第5位 巧妙化するスパイ ウェア ますます多 様化する フィッシング 詐欺 信用できなく なった正規サイ ト 恒常化する情報 漏洩（組織） あわせて事後 対応を！情 報漏えい事 件 複数の攻撃 を組み合わせ た新しいタイ プの攻撃 止まらない！ウェ ブサイトを狙った 攻撃 金銭窃取を 目的としたウ イルスの横行 オンラインバン キングからの 不正送金 ウェブサービスから の顧客情報の窃 取 ウェブサイトの改 ざん 内部不正による 情報漏洩とそれ に伴う業務停止 脅威に対応 するためのセ キュリティ人 材の不足 内部不正に よる情報漏 えい ランサムウェア による被害 ビジネスメール 詐欺による金 銭被害 内部不正によ る情報漏えい テレワーク等の ニューノーマル な働き方を 狙った攻撃 修正プログラム の公開前を狙 う攻撃（ゼロデ イ攻撃） 第6位 流行が続くボット 増え続ける スパムメール 検知されにくい ボット、潜在化 するコンピュータ ウイルス 脆弱な無線LAN 暗号方式におけ る脅威（利用 者） 被害に気づけ ない標的型 攻撃 セキュリティ対 策不備がもた らすトラブル 続々発覚、ス マートフォンやタブ レットを狙った攻 撃 予期せぬ業 務停止 悪意あるス マートフォンア プリ ハッカー集団によ るサイバーテロ 対策情報の公 開に伴い公知と なる脆弱性の悪 用増加 ウェブサイトの改 ざん ウェブサービス からの個人 情報の窃取 サービス妨害 攻撃による サービスの停 止 予期せぬIT 基盤の障害 に伴う業務停 止 内部不正によ る情報漏えい 脆弱性対策情 報の公開に伴 う悪用増加 修正プログラム の公開前を狙 う攻撃（ゼロ デイ攻撃） 不注意による 情報漏えい等 の被害 第7位 ウェブサイトを狙う CSRFの流行 減らない情 報漏えい 検索エンジンか らマルウェア配 信サイトに誘 導 誘導型攻撃の顕 在化（管理者・ 開発者） 深刻な DDoS攻撃 携帯電話向 けウェブサイト のセキュリティ 大丈夫！？電 子証明書に思わ ぬ落し穴 ウェブサイトを 狙った攻撃 SNS への軽 率な情報公 開 ウェブサイトの改ざ ん ランサムウェアを 使った詐欺・恐 喝 ウェブサービスへ の不正ログイン IoT機器の 脆弱性の顕 在化 インターネット サービスから の個人情報 の窃取 不注意による 情報漏えい （規則は遵 守） 予期せぬIT 基盤の障害に 伴う業務停止 修正プログラム の公開前を狙 う攻撃（ゼロデ イ攻撃） ビジネスメール 詐欺による金 銭被害 脆弱性対策情 報の公開に伴 う悪用増加 第8位 情報家電、携帯 機器などの組込 みソフトウェアにひ そむ施弱性 狙われ続け る安易なパ スワード 国内製品の施 弱性が頻発 減らないスパム メール（利用 者） 正規のアカウ ントを悪用さ れる脅威 攻撃に気づ けない標的 型攻撃 身近に潜む魔の 手・・・あなたの職 場は大丈夫？ パスワード流 出の脅威 紛失や設定 不備による情 報漏えい インターネット基 盤技術を悪用し た攻撃 インターネットバン キングやクレジット カード情報の不 正利用 IoT機器の脆 弱性の顕在化 内部不正に よる情報漏え い IoT機器の 脆弱性の顕 在化 インターネット 上のサービス からの個人情 報の窃取 インターネット 上のサービス への不正ログ イン ビジネスメール 詐欺による金 銭被害 脆弱性対策の 公開に伴う悪 用増加 ビジネスメール 詐欺による金 銭被害 第9位 セキュリティ製品 の持つ脆弱性 攻撃が急増 するSQLイ ンジェクション 減らないスパム メール 組込み製品に潜 む脆弱性（管理 者・開発者） クラウド・コン ピューティング のセキュリティ 問題 クラウド・コン ピューティング のセキュリティ 危ない！アカウン トの使いまわしが 被害を拡大！ 内部犯行 ウイルスを使っ た詐欺・恐喝 脆弱性公表に伴 う攻撃 ウェブサービスへ の不正ログイン 攻撃のビジネス 化（アンダーグ ラウンドサービ ス） サービス妨害 攻撃による サービスの停 止 脆弱性対策 情報の公開 に伴う悪用 増加 IoT機器の 不正利用 不注意による 情報漏えい等 の被害 予期せぬIT基 盤の障害に伴 う業務停止 不注意による 情報漏えい等 の被害 テレワーク等の ニューノーマルな 働き方を狙った 攻撃 第10位 ゼロデイ攻撃 不適切な設 定のDNS サーバを狙う 攻撃の発生 組み込み製品 の脆弱性の増 加 ユーザIDとパス ワードの使いまわ しによる危険性 （利用者） インターネット インフラを支え るプロトコルの 胎弱性 ミニブログサー ビスや SNS の利用者を 狙った攻撃 利用者情報の不 適切な取扱いに よる信用失墜 フィッシング詐 欺 サービス妨書 悪意のあるスマー トフォンアプリ 過失による情報 漏えい インターネットバ ンキングやクレ ジットカード情報 の不正利用 犯罪のビジネ ス化（アン ダーグラウンド サービス） 不注意によ る情報漏え い サービス妨害 攻撃による サービスの停 止 脆弱性対策 情報の公開に 伴う悪用増加 不注意による 情報漏えい等 の被害 犯罪のビジネ ス化（アンダー グラウンドサー ビス） 犯罪のビジネス 化（アンダーグ ラウンドサービ ス） IPA 情報セキュリティ10大脅威：経年推移 Copyright © 2024, Oracle and/or its affiliates 3 標的型攻撃・ランサムウェア 内部不正 (悪意・ミス) Webサイトへの不正アクセス 脆弱性 サービス・業務停止 サイバー犯罪

4. 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

   2016 2017 2018 2019 2020 2021 2022 2023 2024 第1位 事件化するSQL インジェクション 漏えい情報 のWinnyに よる止まらな い流通 高まる「誘導 型」攻撃の脅 威 DNSキャッシュポ イズニングの脅威 （組織） 変化を続ける ウェブサイト改 ざんの手口 「人」が起こし てしまう情報 えい 機密情報が盗ま れる！？新しい タイプの攻撃 クライアントソ フトの脆弱性 を突いた攻撃 標的型メール を用いた組織 へのスパイ・諜 報活動 インターネットバン キングやクレジット カード情報の不正 利用 標的型攻撃によ る情報流出 標的型攻撃に よる情報流出 標的型攻撃 による被害 標的型攻撃 による被害 標的型攻撃 による機密情 報の窃取 ランサムウェア による被害 ランサムウェアに よる被害 ランサムウェア による被害 ランサムウェアに よる被害 第2位 Winnyを通じた ウイルス感染によ る情報漏えいの 多発 表面化しづ らい標的型 （スピア 型）攻撃 ウェブサイトを 狙った攻撃の 広まり 正規のウェブサイ トを経由した攻撃 の猛威（管理 者・開発者） アップデートし ていないクライ アントソフト 止まらない！ ウェブサイトを 経由した攻 撃 予測不能の災害 発生！引き起こ された業務停止 標的型諜報 攻擊 不正ログイン・ 不正利用 内部不正による 情報漏えい 内部不正による 情報漏えい ランサムウェアに よる被害 ランサムウェア による被害 ビジネスメー ル詐欺による 被害 内部不正に よる情報漏え い 標的型攻撃 による機密情 報の窃取 標的型攻撃に よる機密情報 の窃取 サプライチェー ンの弱点を悪 用した攻撃 サプライチェーン の弱点を悪用 した攻撃 第3位 音楽CDに格納さ れた「ルートキット に類似した機能」 の事件化 悪質化・潜 在化する ボット 恒常化する情 報漏えい 巧妙化する標的 型攻撃（組 織） 悪質なウイル スやボットの 多目的化 定番ソフト ウェアの施弱 性を狙った攻 撃 特定できぬ、共 通思想集団によ る攻撃 スマートデバイ スを狙った悪 意あるアプリの 横行 ウェブサイトの 改ざん 標的型攻撃によ る諜報活動 ウェブサービスから の個人情報の窃 取 ウェブサービスか らの個人情報の 窃取 ビジネスメー ル詐欺による 被害 ランサムウェア による被害 ビジネスメー ル詐欺による 金銭被害 テレワーク等の ニューノーマル な働き方を 狙った攻撃 サプライチェーン の弱点を悪用 した攻撃 標的型攻撃に よる機密情報 の窃取 内部不正によ る情報漏えい 等の被害 第4位 悪質化するフィッ シング詐欺 深刻化する ゼロデイ攻 撃 巧妙化する標 的型攻撃 多様化するウイル スやボットの感染 経路（利用 者） 対策をしてい ないサーバ製 品の脆弱性 狙われだした スマートフォン 今もどこかで・・・ 更新忘れのクライ アントソフトを狙っ た攻撃 ウイルスを使っ た遠隔操作 ウェブサービス からのユー ザー情報の漏 えい ウェブサービスへの 不正ログイン サービス妨害攻 撃によるサービス 停止 サービス妨害攻 撃によるサービス の停止 脆弱性対策 情報の公開 に伴う悪用 増加 サプライチェー ンの弱点を 悪用した攻 撃の高まり サプライチェー ンの弱点を悪 用した攻撃 サプライチェー ンの弱点を悪 用した攻撃 テレワーク等の ニューノーマル な働き方を狙っ た攻撃 内部不正によ る情報漏えい 標的型攻撃に よる機密情報 の窃取 第5位 巧妙化するスパイ ウェア ますます多 様化する フィッシング 詐欺 信用できなく なった正規サイ ト 恒常化する情報 漏洩（組織） あわせて事後 対応を！情 報漏えい事 件 複数の攻撃 を組み合わせ た新しいタイ プの攻撃 止まらない！ウェ ブサイトを狙った 攻撃 金銭窃取を 目的としたウ イルスの横行 オンラインバン キングからの 不正送金 ウェブサービスから の顧客情報の窃 取 ウェブサイトの改 ざん 内部不正による 情報漏洩とそれ に伴う業務停止 脅威に対応 するためのセ キュリティ人 材の不足 内部不正に よる情報漏 えい ランサムウェア による被害 ビジネスメール 詐欺による金 銭被害 内部不正によ る情報漏えい テレワーク等の ニューノーマル な働き方を 狙った攻撃 修正プログラム の公開前を狙 う攻撃（ゼロデ イ攻撃） 第6位 流行が続くボット 増え続ける スパムメール 検知されにくい ボット、潜在化 するコンピュータ ウイルス 脆弱な無線LAN 暗号方式におけ る脅威（利用 者） 被害に気づけ ない標的型 攻撃 セキュリティ対 策不備がもた らすトラブル 続々発覚、ス マートフォンやタブ レットを狙った攻 撃 予期せぬ業 務停止 悪意あるス マートフォンア プリ ハッカー集団によ るサイバーテロ 対策情報の公 開に伴い公知と なる脆弱性の悪 用増加 ウェブサイトの改 ざん ウェブサービス からの個人 情報の窃取 サービス妨害 攻撃による サービスの停 止 予期せぬIT 基盤の障害 に伴う業務停 止 内部不正によ る情報漏えい 脆弱性対策情 報の公開に伴 う悪用増加 修正プログラム の公開前を狙 う攻撃（ゼロ デイ攻撃） 不注意による 情報漏えい等 の被害 第7位 ウェブサイトを狙う CSRFの流行 減らない情 報漏えい 検索エンジンか らマルウェア配 信サイトに誘 導 誘導型攻撃の顕 在化（管理者・ 開発者） 深刻な DDoS攻撃 携帯電話向 けウェブサイト のセキュリティ 大丈夫！？電 子証明書に思わ ぬ落し穴 ウェブサイトを 狙った攻撃 SNS への軽 率な情報公 開 ウェブサイトの改ざ ん ランサムウェアを 使った詐欺・恐 喝 ウェブサービスへ の不正ログイン IoT機器の 脆弱性の顕 在化 インターネット サービスから の個人情報 の窃取 不注意による 情報漏えい （規則は遵 守） 予期せぬIT 基盤の障害に 伴う業務停止 修正プログラム の公開前を狙 う攻撃（ゼロデ イ攻撃） ビジネスメール 詐欺による金 銭被害 脆弱性対策情 報の公開に伴 う悪用増加 第8位 情報家電、携帯 機器などの組込 みソフトウェアにひ そむ施弱性 狙われ続け る安易なパ スワード 国内製品の施 弱性が頻発 減らないスパム メール（利用 者） 正規のアカウ ントを悪用さ れる脅威 攻撃に気づ けない標的 型攻撃 身近に潜む魔の 手・・・あなたの職 場は大丈夫？ パスワード流 出の脅威 紛失や設定 不備による情 報漏えい インターネット基 盤技術を悪用し た攻撃 インターネットバン キングやクレジット カード情報の不 正利用 IoT機器の脆 弱性の顕在化 内部不正に よる情報漏え い IoT機器の 脆弱性の顕 在化 インターネット 上のサービス からの個人情 報の窃取 インターネット 上のサービス への不正ログ イン ビジネスメール 詐欺による金 銭被害 脆弱性対策の 公開に伴う悪 用増加 ビジネスメール 詐欺による金 銭被害 第9位 セキュリティ製品 の持つ脆弱性 攻撃が急増 するSQLイ ンジェクション 減らないスパム メール 組込み製品に潜 む脆弱性（管理 者・開発者） クラウド・コン ピューティング のセキュリティ 問題 クラウド・コン ピューティング のセキュリティ 危ない！アカウン トの使いまわしが 被害を拡大！ 内部犯行 ウイルスを使っ た詐欺・恐喝 脆弱性公表に伴 う攻撃 ウェブサービスへ の不正ログイン 攻撃のビジネス 化（アンダーグ ラウンドサービ ス） サービス妨害 攻撃による サービスの停 止 脆弱性対策 情報の公開 に伴う悪用 増加 IoT機器の 不正利用 不注意による 情報漏えい等 の被害 予期せぬIT基 盤の障害に伴 う業務停止 不注意による 情報漏えい等 の被害 テレワーク等の ニューノーマルな 働き方を狙った 攻撃 第10位 ゼロデイ攻撃 不適切な設 定のDNS サーバを狙う 攻撃の発生 組み込み製品 の脆弱性の増 加 ユーザIDとパス ワードの使いまわ しによる危険性 （利用者） インターネット インフラを支え るプロトコルの 胎弱性 ミニブログサー ビスや SNS の利用者を 狙った攻撃 利用者情報の不 適切な取扱いに よる信用失墜 フィッシング詐 欺 サービス妨書 悪意のあるスマー トフォンアプリ 過失による情報 漏えい インターネットバ ンキングやクレ ジットカード情報 の不正利用 犯罪のビジネ ス化（アン ダーグラウンド サービス） 不注意によ る情報漏え い サービス妨害 攻撃による サービスの停 止 脆弱性対策 情報の公開に 伴う悪用増加 不注意による 情報漏えい等 の被害 犯罪のビジネ ス化（アンダー グラウンドサー ビス） 犯罪のビジネス 化（アンダーグ ラウンドサービ ス） IPA 情報セキュリティ10大脅威：経年推移 Copyright © 2024, Oracle and/or its affiliates 4 標的型攻撃・ランサムウェア 内部不正 (悪意・ミス) Webサイトへの不正アクセス 脆弱性 サービス・業務停止 サイバー犯罪 内部不正 ランサムウェア 不注意 （ミス） 標的型

5. 従来のバックアップ方式では 完全に対応できない 日本におけるランサムウエアの被害状況 Copyright © 2024, Oracle and/or its affiliates

   5 実際に取得していた バックアップからデータを 復元できた割合 被害企業でバックアップ を取得していた割合 出典：警察庁 サイバー空間をめぐる脅威の情勢等について [令和5年] 二重の脅迫(恐喝) の割合 94 % 17% 74% 1週間以内に 復旧できた割合 24%

6. 昨今は「データ破壊」の前に、「データ搾取」を行う二重の脅迫(恐喝)の攻撃により被害が甚大化 ランサムウエア対策の被害：この1年で大幅に増加 Copyright © 2024, Oracle and/or its affiliates 6

   A社：複数サービスが感染し、完全復旧に２ヶ月強かかる見込み B社：閉域網神話に頼った対策の限界とバックアップまで破壊 相次ぐSaaSサービスへのランサムウェア被害：ソースコードが搾取されダークWebで公開 グループ会社が運用する複数のサーバーがランサムウェアに感染し、会員サービス の新規入会、利用履歴やクレジット利用の照会、その他多数のサービスを休止 完全復旧に２ヶ月強かかるの見込みで決算発表を延期 ランサムウェアと攻撃により電子カルテシステムに障害が発生 自社は対策していたが、システム連携先がパッチ末適用で侵入され、全システムの復旧に時間を要した ・ファイル転送サービス：ソースコード、社内情報が窃取され、ダークWeb上で公開された ・社会保険労務業務システム：ランサムウェアの被害により３ヶ月システムが停止 データ搾取 への対策 目標復旧時点 の最小化 目標復旧時間 の最小化

7. 従来の3-2-1のルールに加え、現在の脅威に対応するため下記の提唱が行われている 3-2-1ルール 米国CISAのUS-CERT（United States Computer Emergency Readiness Team）が 2012年に、バックアップ時に守るべきルールとして提示 3-2-1-1-0

   ルール 現在の脅威の状況には不十分であるとの考えのもとに、 対策として新しいバックアップルールが提唱されています。 最新のランサムウェア脅威に求められる対策 Copyright © 2024, Oracle and/or its affiliates 7 引用：https://enterprisezine.jp/article/detail/18203?p=2 ランサムウェア対策では、リカバリが担保されること、改ざん不可であることが肝要 最新の3つのデータをコピー ３ 2つの異なるメディアを使用 2 1つはオフサイトで保管 1 最新の3つのデータをコピー ３ 2つの異なるメディアを使用 2 1つはオフサイトで保管 1 1つのコピーはイミュータブル（不変） 1 バックアップからのリカバリでエラーがゼロ 0

8. ランサムウェア対策 DBA 1000人へのアンケートから見たDBセキュリティ対策とDBA意識 Copyright © 2024, Oracle and/or its affiliates

   8 バックアップからデータを戻す訓練など は実施している割合 23% 36% 25% 17% 23% 「３－２－１のルール」にのっとった、 データベースのバックアップを取得 26% 27% 25% 23% 26% 30分以内 半数以上の方が設定している RTO/RPO *の値 * RTO：目標復旧時間 * RPO：目標復旧時点 引用:データベース・セキュリティ・コンソーシアム (DBSC): 『「DBA 1,000人に聞きました」アンケート調査報告書』(2023) http://www.db-security.org/report/dba_seika_2023.html

9. 金融機関での調査結果 バックアップの対策状況 Copyright © 2024, Oracle and/or its affiliates 9

   地域金融 保険 証券 バックアップの対策 RPO（目標復旧時間の設定） 33％ 52％ 48％ 52% 62% 30% 67% 70% 78% 81% 99% 88% 0% 20% 40% 60% 80% 100% 証券 保険 地域金融 複数世代の保管 オフサイトへの保管 破壊・改竄対策 引用：https://www.fsa.go.jp/news/r5/cyber/20240423.html

10. 内部不正事案の課題と解決策 Copyright © 2024, Oracle and/or its affiliates 10 •

    境界突破、内部不正を想定した対策が必要です • 日本の企業の多くは、1人の権限者に偏った仕組みで運用され、不正アクセスを阻止できていません。 • 米国では、特権者も「Need to Knowが当たり前」で、暗号化、管理者の職務分掌が実装されています。 事件を 未然に 防ぐ 事案の課題 求められる解決策 OSの管理者権限を使用した 機密データの持ち出し データ暗号化 データベースの管理者権限 による機密データの持ち出し 管理者の職務分掌 故意犯が1人いた時に 不正アクセスを阻止できなかった 複数人いないと犯行が出来ない仕組み ログの削除等によって 不正操作の内容が特定できない ログの改竄・消去の防止 怪しい振る舞いを見つけられない 異常操作の発見＆警告 不正行為を 早期に発見

11. 昨今の情報漏洩事件の攻撃手法 Copyright © 2024, Oracle and/or its affiliates 11 初期アクセス

    攻撃者は侵入経路を探索 脆弱性の 悪用 メール 利用者の 認証情報 侵入拡大 内部不正 基盤構築と攻撃準備 侵入を拡大、サーバーへ侵入 遠隔操作 の仕組み を構築 特権 ユーザー へ昇格 バックアップ 破壊 データ搾取 本番データ の暗号化 (破壊) インターネット 公開サービス マルウェア 攻撃実行 データを盗み、データを破壊 • フィッシング • パスワード推測 • 設定ミス • パッチ不適用 • 悪意の ある文章 ! https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/ から加筆

12. 人的ミスによるデータ損失リスク Copyright © 2024, Oracle and/or its affiliates 12 出典：CISA:

    Top 30 Targeted High Risk Vulnerabilities 67% クラウドプラットフォームの 設定ミス／誤った設定が、 最大のセキュリティ脅威 出典：ISC 2021 Cloud Security Report セキュリティ侵害の85%は、 CVE公表後に発生 （防御可能だった） 85%

13. セキュリティ脅威の原因と求められる対策 Copyright © 2024, Oracle and/or its affiliates 13 脆弱性を突いた攻撃

    設定ミスを突いた攻撃 データが復旧できない 操作内容が不明 アカウントの乗っ取り 管理者権限の不正利用 機密データの持出 対策 課題 攻撃 実行 基盤構築と 攻撃準備 初期 アクセス 脆弱性の自動修復 リスクのある設定を自動検知、ポリシーの自動有効 バックアップ保護と確実なデータ復旧 ログの保全・モニタリング、不正操作の早期発見 多要素認証とリスクベース認証 権限付与状況の把握と管理者の権限分掌 データの暗号化と暗号鍵管理

14. 米国におけるサイバーセキュリティモデルは急速に変化・発展しています Copyright © 2024, Oracle and/or its affiliates 1990 2000

    2010 2020 データ量 境界防御 （Perimeter Defense） 縦深防御 （Defense in Depth） サイバーレジリエンス （Cyber Resilience ） ゼロトラスト＋データ中心型防御 Zero Trust ＋ Data-Centric Defense Build Security Into Your Network’s DNA: The Zero Trust Network Architecture Forrester 2010 Policy Decision Point(PDP) Policy Enforcement Point(PEP) X.500 電子ディレクトリ・サービス 情報機関改革 及びテロ予防法（2004） Federal Identity, Credentialing and Access Management (FICAM) De-Perimeterization (非境界化) Jericho Forum 2007 NIST SP 800-207 Zero Trust Architecture, 2020 NCSC Zero trust principles – Beta Release, 2020 DoD Zero Trust Reference Architecture, 2021 Executive Order on Improving the Nation’s Cybersecurity, 2021 Cybersecurity Performance Goals for Critical Infrastructure, 2022 DoDブラックコア The Road to Zero Trust(Security): DIB Zero Trust White Paper, Defense Innovation Board, 2019 エドワード・スノーデン (2013) アメリカ同時多発テロ事件 (2001) 重要インフラへの攻撃(2021) セキュリティモデルは数年毎に大波を迎え、過去の思想を塗り替えながら（過去のモデルの全否定ではなく）発展しています。 その要因としてサイバー攻撃の高度化、組織化が挙げられます。 14

15. SP 800-160 Volume 2 Revision 1 サイバーレジリエンスのゴール • 予測力:攻撃に備え、情報に基づいた準備を維持 •

    抵抗力:攻撃中にも重要な使命や事業機能を継続 • 回復力:攻撃時や攻撃後にビジネス機能を迅速に回復 • 適応力:予測される技術・運用・脅威環境の変化に応 じて、業務機能、あるいはそれを支える能力を改善 Revision 1 の作成の目的 従来の境界防御戦略を覆し、外部からではなく内部から システムを防御するためのサイバーレジリエンス戦略へと 組織を移行 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach Copyright © 2024, Oracle and/or its affiliates 15

16. • ゼロトラストとは、「ネットワーク内のすべての人、すべて のものが疑わしい」という前提に基づくセキュリティ哲学 です。ゼロトラストは、セキュリティの焦点を、境界防御 からデータ中心へと変えること • 成熟度モデルは、以下の5つの柱に対して従来型、 初期、先進型、最適型のゼロトラスト・アーキテクチャ の具体的な例を提示 •

    「アイデンティティ」 • 「デバイス」 • 「ネットワーク/設備」 • 「アプリケーションワークロード」 • 「データ」 • これによって、ゼロトラストへの移行を支援するための 数多くの道筋として成熟度モデルを提供 CISA Zero Trust Maturity Model Copyright © 2024, Oracle and/or its affiliates 16 出典：https://www.cisa.gov/publication/zero-trust-maturity-model

17. 今後求められるセキュリティ対策と日本の取り組むべき点 Copyright © 2024, Oracle and/or its affiliates 17 考慮点

    ゼロトラストセキュリティの考え方 セキュリティ対策例 日本企業の状況 ネットワーク • 通信を監視し、未許可のクラウドサービスの 利用を制限 • CASB • Cloud Proxy • WAF グローバルより 注力している デバイス • デバイスの認証を常に実施 • 全てのデバイスの保護を徹底 • EDR、EPP • MDM グローバルと同様 IDアクセス管理 • ID・ユーザを必ず検証 • 必要に応じて多要素認証(MFA)を実施 • IAM • PAM • MFA グローバルより 対応が遅れている アプリケーション • すべてのアクセスを制限し、不正操作を監視 • CASB、UEBA • 標的型メール対策 • SIEM、SOAR グローバルと同様 データ • データが漏洩・改ざんされないように保護 • 必要最小限の権限付与 • 暗号化 • アクセス制御 グローバルより 対応が遅れている 17 出典: Oracle and KPMG Threat Report 2020 安全なクラウドセキュリティ環境を整備するためには、ネットワークセキュリティだけでなく、 ゼロ・トラスト・セキュリティな対策が必要となります。

18. 攻撃が起きる前提で考える 「私にとって最も大きな変化は、攻撃が起こることを完全 に受け入れるようになったことだ」と、ISTARIとオックスフォー ド大学が発表した報告書によると、40億ドルの欧州企業 のCEOは述べている。 「信じてほしいが、攻撃が起こることを受け入れる組織と、 攻撃を撃退できると考える組織では、アプローチに根本 的な違いがある」 CIA（機密性、完全性、可用性）のトライアッドにおける 可用性の要素の重要性が増している。なぜなら、業務

    の中断は業務継続性だけでなく、顧客の信頼や企業に 対する市場全体の評価にも影響を与えるからだ。 海外での考え方 Copyright © 2024, Oracle and/or its affiliates 18 引用：https://www.cio.com/article/2149150

19. 境界を突破し、侵入を突破する前提での対策が必要です 従来の単層式境界防御 ネットワーク中心型セキュリティモデル リソース防護重点型ゼロトラスト防御 データ中心型セキュリティモデル 守るべき経営資源（リソース）に焦点をあてセキュリティ対策を実施することが肝要です Copyright © 2024, Oracle

    and/or its affiliates 19 セキュリティ ポリシー ID管理 Detection & Response データ アプリ N/W 分析・可視化 自動化 Security Enforcement Endpoint(端末) データ アプリケーション ユーザ ネットワーク

20. Oracle Corporationの生い立ち SECURITY PART OF OUR DNA Security is not

    Optional, it is FOUNDATION. 設立前 AMPEX社に勤務していたLarry Ellisonが、CIAのプロ ジェクトOracleに参画 1977年 Software Development Labs設立 1978年 CIA が世界初の顧客となる。 採用されたデータベースは商用化前のもの。 1979年 世界で初めてリレーショナル・データベースを 商用化(Oracle Version 2) Wright-Patterson空軍基地が採用 1982年 企業名を “Oracle Corporation” に改名。 1998年 データベースベンダーとして初めて、 Common Criteria EAL4 を取得 2005年 Critical Patch Update を開始 2011年 DatabaseをPaaSサービスとして提供開始 2017年 Oracle Cloud 第二世代提供開始 2018年 Autonomous Database 提供開始 2020年 Maximum Security Zones 提供開始 Copyright © 2024, Oracle and/or its affiliates 20

21. オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY OF

    THE CLOUD SECURITY ON THE CLOUD ＋ 強力、完全なテナント分離 強制的な暗号化 (Database/Storage/Network) 階層型権限管理 リスクのある設定・行動を自動検知 Copyright © 2024, Oracle and/or its affiliates 21 * WAF: Web Application Firewall 脆弱性スキャン セキュリティポリシーの自動有効 特権ユーザーのアクセス制御 ボット対策とWAF/ 次世代ファイアウォール 多要素認証とリスクベース認証 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化 脆弱性自動修復 緑字：他社にないもの バックアップ保護と 確実なデータ復旧

22. クラウドプラットフォームレベルでの環境隔離と暗号化 階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセ スが可能、部署を跨いだシステム 構築も容易 ✓ コンパートメント毎のクオータ設定に

    より 使い過ぎを抑止 強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化 強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより 情報漏洩のリスクを最小化 Copyright © 2024, Oracle and/or its affiliates 22 セキュリティ ・バイ・デザイン AD2 リージョン1 AD2 リージョン2 MACSec 高速・スケーラブルな Layer2 暗号化 部署ごとにCompartment（サブアカウント）を作成 「コンパートメント」モデル テナント コンパートメント A コンパートメントB ユーザー グループ ポリシー ポリシー ポリシー 部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネル ネットワーク仮想化 物理サーバー すべてのデータ を暗号化

23. 人的ミスによるデータ損失リスクの軽減 自動化されたセキュリティ管理 Copyright © 2024, Oracle and/or its affiliates 23

    セキュリティ対策の自動化 セキュリティポリシーの自動有効 リスクのある設定を自動検知 強力、完全なテナント分離 IAM identity domains： 認証強化 Autonomous Database： 自動パッチ適用 格納時・転送時の 強制的な暗号化 Oracle Cloud Guard： クラウドセキュリティポスチャ管理 Oracle Data Safe： データベースのリスク評価 Oracle Security Zones： セキュリティポリシーの自動有効 VM Database Security Zones 管理者 自動化された セキュリティ 管理

24. 自動化されたEnd-to-Endのセキュリティで人的ミスを排除 Oracle Autonomous Database Copyright © 2024, Oracle and/or its

    affiliates 24 49% 19% 32% セキュリティアセスメント High Risk: 33 Medium Risk: 22 Low Risk: 13 68 Risks 18% 28% 24% 15% 15% Data Discovery Employee Basic Data: 27 Public Identifier: 49 Address: 42 Compensation data: 31 Oraganization Data: 32 179 Columns 56% 11% 31% ユーザーアセスメント Critical Risk: 47 High Risk: 9 Medium Risk: 2 Low Risk: 26 84 Users Compensation data: 27 . 自動パッチ適用アップグレード 管理者は顧客データにアクセス不可 通信と格納データのデフォルト暗号化 自動化された セキュリティ 管理

25. 多層防御によるデータ中心のセキュリティ Copyright © 2024, Oracle and/or its affiliates 25 データ中心の

    セキュリティ データ中心の セキュリティ 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS 内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース データ 強制的な 暗号化 監査証跡 行列レベルの アクセス制御 設定ミスの 検知・是正 多要素認証 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Web Application Firewall IAM Identity Domains/ Identity Cloud Service Security Zones Data Safe Observability and Management Threat Intelligence Autonomous Database Vulnerability Scanning OCI Network Firewall Cloud Guard Cloud Guard Threat Detector Database Vault

26. ハイブリットクラウドで利用するデータベース をよりセキュアに ✓ 統合されたデータベースセキュリティ管理サービス 1. 機密データの発見（Sensitive Data Discovery ） 2.

    データ・マスキング（Data Masking） 3. アクティビティの監査（Activity Auditing） 4. セキュリティ構成の評価（Security Assessment） 5. ユーザーのリスク評価（User Assessment） ✓ 特別なセキュリティの専門知識 ✓ 多層防御における重要なデータ・セキュリティ対策 ✓ 短時間でセキュリティ・リスクを軽減 ✓ Oracle Cloud Databaseの利用でサービスを無償提供 ※1 ✓ オンプレミス、他社クラウド上のオラクルDBへも対応 - 24,000円 /ターゲット/月 Oracle Data Safe Copyright © 2024, Oracle and/or its affiliates 26 ※ 監査機能は100万レコード/月まで無償、その他の機能は無償 Oracle Cloud上の データベース 監査 ユーザー 発見 アセス マスク オンプレミス のデータベース Data Safe AWS, Azure上の オラクルデータベース

27. オラクルはバックアップを堅牢に保護し、被害直前の状態へ迅速に復旧 ランサムウェア対策を可能にする バックアップリカバリサービス Copyright © 2024, Oracle and/or its affiliates

    ①攻撃者が簡単に アクセス可能 ③データ破壊が 簡単に行える ②データ 搾取 ④復旧:バックアップ時点 ⑤手動のリカバリ検証 ③指定期間 削除不可 ①攻撃者を 近づけない ②DB暗号化 ④復旧:破壊直前 ⑤リカバリの担保 Zero Data Loss Recovery Appliance Zero Data Loss Autonomous Recovery Service 犯人から見えない領域でバックアップを作成、保持 Redoログ取得と適用により、破壊直前までのデータを復旧 DB暗号化による保護 完全性の担保されたバックアップにより迅速な復旧 一般的なストレージ・バックアップ • OSコマンドで容易に特定し、簡単に破壊可能 • 暗号化されていないデータが持ち出される • バックアップ取得後のデータ復旧は不可能 • 多大な工数が必要になる手動のリストア作業 27

28. セキュリティのプロフェッショナルベンダーもSaaS基盤としてOracle Cloudを採用 Oracle Cloud Infrastructure のセキュリティ：採用事例 Copyright © 2024, Oracle

    and/or its affiliates 世界最大のコンピュータ ネットワーク機器ベンダー ハードウェアやソフトウェアセンサーから テレメトリー情報を収集し、データを高度な 機械学習技術によって分析するSaaS (Cisco Tetration) でOCIを採用 数千コア以上の大規模アプリケーションを 2ヶ月で稼働 インテリジェンス主導型の セキュリティ企業 なりすまし攻撃、フィッシング、スパムによる Eメール脅威の対策を提供するSaaSで OCIを採用 高度なリアルタイム分析をベアメタル・ インスタンスを活用することでクラウドで実現 業界をリードする サイバーセキュリティ企業 脅威の識別、調査、解決を行うクラウドベースの SIEMソリューション(McAfee ESM Cloud)で OCIを採用 他社クラウドに比べ1/4のコストで実現 60万データソースにおける1秒当たり 50万イベントをサポート 28

29. セキュリティ脅威の原因とオラクルが提供する対策 Copyright © 2024, Oracle and/or its affiliates 29 脆弱性を突いた攻撃

    設定ミスを突いた攻撃 データが復旧できない 操作内容が不明 アカウントの乗っ取り 管理者権限の不正利用 機密データの持出 オラクルのソリューション 課題 攻撃 実行 基盤構築と 攻撃準備 初期 アクセス Autonomous Database （脆弱性の自動修復） Cloud Guard/Data Safe *1 （リスクのある設定を自動検知） Autonomous Recovery Service （バックアップ保護と確実なデータ復旧） Cloud Guard/Data Safe*1 （ログの保存・モニタリング、不正操作の早期発見） OCI IAM Identity Domains *2 （多要素認証とリスクベース認証） Database Safe *1 （ユーザー・アセスメント） 強制的な暗号化 Database Vault *3（特権ユーザーのアクセス制御） Database Safe *1 （マスキング、機密データ検出） 標準/無償で提供 Autonomous Database 利用時に無償で利用可能 オプション機能（有償） 凡 例

30. セキュリティおける最新事例や取り組み状況 Copyright © 2024, Oracle and/or its affiliates 30 オラクルのIDaaSにより

    スケーラブルで高機能・ 高セキュリティの認証管理基 盤を低コスト・短期間で構築 JRA様 OCI と Cloud Guard を活 用し、オンラインゲーム運用に おけるセキュリティと ガバナンスを強化 (**) マイネット 様 ERPマネージド・サービスHUE Classic Cloudで Cloud Guardを活用し、セキュリティ リスクを軽減 ワークスアプリケーションズ 様 データ分析基盤での人為的 ミスや悪意のある脅威に対し て多層で保護をするために 「データ」と「クラウド」の セキュリティ対策を実施 (*) KDDI 様 * https://speakerdeck.com/oracle4engineer/ocwc_20240117_security?slide=49 ** OCI … Oracle Cloud Infrastructure

31. データ分析基盤での人為的ミスや悪意のある 脅威に対して多層で保護をするために 「データ」と「クラウド」のセキュリティ対策を実施 KDDI 様 Copyright © 2024, Oracle and/or

    its affiliates 31 ©JRA ©JRA 脆弱性の自動修復と設定ミス・不審ユーザー検知、 監査、機密データの検出・保護により「データ」を保護 設定ミス検知・是正（CSPM）や脅威ユーザ検知、 暗号鍵管理（KMS）や多要素認証により 「クラウド」のセキュリティを強化 OCIサービスを活用した多層防御により、 ゼロトラストのセキュリティ対策を実現 Oracle Autonomous Database (脆弱性の自動修復) Oracle Data Safe (設定ミス・不審ユーザー検知、監査、 機密データの検出・保護) Oracle Cloud Guard (リスクのある設定を自動検知と脅威ユーザ検知) OCI Vault (暗号鍵管理：KMS) OCI Identity and Access Management (多要素認証)

32. お客様からの評価から Oracle Cloud のセキュリティの強み Copyright © 2024, Oracle and/or its

    affiliates 32 設計から組み込まれ セキュリティ不備を最小化 標準機能で提供 データ中心のセキュリティ • 全リージョン、全インスタンスがセキュリ ティ・バイ・デザインされた環境 • デフォルトがセキュアな設定で安全側に 倒されている (Default Deny) • データの暗号化はデフォルトで実施、 ユーザーが解除できない • 自動化されたセキュリティ管理を標 準・無償で提供されている • 他社では複数サービスが必要で、開 発工数とサブスクリプション価格で高コ ストになる • データベースのセキュリティ対策まできちん と取り組んでいるのは、Oracleぐらい • 重要データの所在・リスク評価・監査する データ・セキュリティ監視を無償で利用できる • データを中心に多層で保護するための構築 済みセキュリティサービスを提供している “最新のセキュリティ機能を積極的に無償で機能追加しているOCIも高く評価しています。私たちは これら新機能をいち早く利用し、セキュリティ強化に役立てています。” 株式会社マイネット 技術統括部 セキュリティグループ長, 前田 高宏 氏

33. 堅牢なセキュリティ機能を 無償/低コスト で提供 Copyright © 2024, Oracle and/or its affiliates

    33 機能 機能名 価格 セキュリティ・ バイ・デザイン 強力、完全なテナント分離 Isolated Network Virtualization / Bare Meta 標準機能 強制的な暗号化 Encryption by Default 標準機能 階層型権限管理 Compartment 標準機能 自動化された セキュリティ管理 リスクのある設定・行動を自動検知 Cloud Guard 無償 ポリシーの自動適用 Security Zones 無償 脆弱性スキャン Vulnerability Scanning 無償 オンラインでのパッチ適用 Autonomous Database 無償 (*1) 自動化されたログ分析 Logging Analytics 10GBまで無償 バックアップ保護と確実なデータ復旧 Zero Data Loss Autonomous Recovery Service 有償 データ中心の 多層防御 DBセキュリティ対策の自動化 Data Safe 無償～ (*2) 特権ユーザー管理 Database Vault DBCS HP ～ (*3) 多要素認証、リスクベース認証 IAM Identity Domains 無償～ (*4) ボット対策とWAF Web Application Firewall 無償～ (*5) 次世代ファイアウォール (NGFW) OCI Network Firewall 有償 *1 Autonomous Database 利用時に無償で利用可能 *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償 *3 DBCS High Performance以上で利用可能 *4 無償で利用できるユーザー数や機能に制限あり *5 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥84 [1,000,000インカミングリクエスト/月]、¥700[インスタンス/月]

34. • ネットワークを中心とした境界防御型のセキュリティ対策だけでは防ぐことができない事案が多発しています • ゼロトラストという考え方に則して、データに重点をおいたセキュリティ施策が必要とされています • ランサムウエアは2重の脅迫の手法が主流のため、「データ搾取」と「データ破壊」対策が必要とされます。 • サイバーレジリエンスの観点で、重要なデータの保護と早期の確実な復旧が重要となります。 • Oracle

    Cloud Infrastructure(OCI)は、強固にお客様データを保護し事業継続リスクを最小化し、 セキュリティ運用を自動化する機能を多く提供しています。また、セキュリティ機能を基本機能 （機能の大半は無償）として提供します 本日お伝えさせていただいたこと Copyright © 2024, Oracle and/or its affiliates 34

35. Q セキュリティに関連して、クラウドプラットフォーム（特にOracle Cloud）のサービスおよび情報を確認したいと考え ています。 各種サービス（IDaaS、PaaS/DB、IaaS/Server）などが生成するセキュリティに関連ログデータの一元管理をす る仕組み（SIEMなど）は、Oracle Cloudにありますでしょうか？ また、セキュリティイベントに応じて自動応答する仕組み（SOARなど）も機能として具備しているのか教えてくださ い。 ＃例えば競合他社の例で申し訳ないのですが、Microsoft

    Cloudでは「Microsoft Sentinel」などのサービスを 提供しており、これらに相当するサービスをOracle Cloudで提供しているのか教えてください。 A 新しく提供されましたOracle Cloud Guard Instance Security がご質問頂いたものに近いサービスとなります。 詳細につきましては、下記のBlogをご確認ください。 https://blogs.oracle.com/oracle4engineer/post/ja-instance-security-in-oracle-cloud-guard QA Copyright © 2024, Oracle and/or its affiliates 35
36. None