クラウド化するだけで暗号化対策も可能
「運用」とは該当するシステムの機能を継続的、安定的に正常稼働させることだ。つまり、システムに障害を発生させないようにし、万一障害が発生しても迅速に復旧できるようにする。また、障害を予防・検出し、障害から復旧することもシステム運用の重要な要素だ。
障害を予防するためには、障害が発生しそうな傾向を掴み事前に防ぐことはもちろんだが、万一障害が発生したときに備えて、それをいち早く検出できるようにしておくことも必要だ。そして障害が発生したとしても、システムを正常な状態に迅速に戻せるようにも備えなければならない。「システム運用においてはこの3つが非常に重要です」と、株式会社アシスト クラウド技術本部 技術統括部の原田拓朗氏は語る。
原田氏はセミナーにおいて「セキュリティ」「モニタリング」「バックアップ・DR(Disaster Recovery)」の観点から、Oracle Cloudでデータベースを運用する際における“3つの重要項目”にどう対処すれば良いのかについて説明している。
もし、悪意のある攻撃により重大なセキュリティ事故が引き起こされた場合、その攻撃で狙われるのは「データ」だ。そしてデータを管理しているのがデータベースであり「システム運用ではデータベースのセキュリティが重要となります」と原田氏は指摘する。
セキュリティ事故は、外部からの不正アクセスや内部での不正利用、ランサムウェア攻撃などさまざまなものがあるため、これら事故原因ごとに対策するのは限界がある。そこで個々に対処するのではなく「守るべきはデータ、つまりはデータベースです」と原田氏。
日本では、ネットワークを主軸としたセキュリティ対策が主流だが、これからはデータを中心としたセキュリティが重要になってくる。また、海外に比べてクラウドセキュリティの高さに対する理解が遅れている側面もある。Oracle Databaseには、たくさんのセキュリティ対策機能があり、それらはOracle Cloudでも利用できる。むしろオンプレミスよりも「簡単に使える仕組みやサービスがある」というのだ。
まず「Oracle Base Database Service」では、Oracle Databaseでは10gR2から採用され、実績のあるTDE(透過的データベース)暗号化機能が無償で利用でき、デフォルトでデータベースの暗号化が適用される。また、TDE暗号化機能では、データファイルだけでなく、バックアップファイルやエクスポート・ダンプファイルなども暗号化される。Oracle Cloudでは、データベースにデフォルトで暗号化が適用される。注目すべきは、TDE暗号化の機能を利用するために、オンプレミスではEnterprise EditionのAdvanced Securityが必要である一方、Oracle Base Database Serviceであれば、Standard Editionでも無償でTDE暗号化機能を利用でき、安全・安心に運用できるという点だ。
また、Oracle Data Safeも無償で利用できる。これにはセキュリティアセスメント機能があり、データベースの基本構成、監査状況など約50項目を調査可能だ。さらにログイン情報やパスワード変更履歴など、ユーザーに特化したアセスメント機能もある。
リスクレベルの表示やレポートのダウンロードなどはWebコンソールから利用でき、スケジュール実行機能を使えば継続的にセキュリティリスクのチェックが可能となっているという。「実装時だけでなく“継続して”できることは、セキュリティを守る上で大きなポイントになる」と原田氏は指摘する。
また、Oracle Data Safeではリスクレベルがあらかじめ定義されているので、何をリスクとするかを決める手間はなく、すぐにアセスメント機能を使い始められる。これも大きなメリットだ。その上でリスクの是正策も提示され、チェックした結果からセキュリティ事故発生の予防にすぐにつなげられるという。
さらには、監査ログの収集機能も欠かせない。このログを用いて、あらかじめ定義された監査ポリシーに従いセキュリティチェックを行えるという。ここでもリスクレベルが提供されているため、何をリスクとするかに頭を悩ませることなく、すぐに利用を始められるのだ。監査ログは取得していても活用できていない組織が多い中、Oracle Data Safeでは監査ログからリスクをすぐに検出でき、監査ログの長期保管にも対応できる。
このようにOracle Cloudでは簡単かつ、すぐに使えるデータベースセキュリティ機能がある一方で、注意すべき点もある。その一つが、リスクレベルのカスタマイズができないことだ。低リスクから中リスクへの変更や、任意のリスクの追加はできない。そのためOracle Cloudの基準に合わせて運用するか、より高いレベルの監査などには、別途サードパーティ製のデータベース監査ツールを併用する必要もある。
すぐに簡単に使えるモニタリング機能
また、システムの問題の多くはハードウェアやソフトウェアの異常が原因だ。その多様な異常を検知するためには、CPU使用率などのメトリクス情報やOS上に出力されるログ情報等のモニタリングが必要になってくる。障害を予防するためにも、モニタリングにより異常を検知する必要があるのだ。もちろん、既にシステムに関するさまざまな情報を収集しているというユーザーは多いだろう。しかしながら、そういった情報を集めるだけでなく「障害を防ぎ、復旧のトリガーとするところまで考慮できるかがポイントです」と原田氏は言う。
Oracle Cloudのモニタリング機能には、Database Managementがある。これはデータベースを中心としたモニタリング機能で、CPUやメモリ使用率、表領域などデータベースの基本的なメトリックスを一元的に監視できる。そしてこの機能は「Enterprise Editionで本領を発揮します」と原田氏。Oracle Base Database ServiceのEnterprise Editionは、Diagnostics Pack、Tuning Packが無償利用でき、これらオプションの利用が前提のAWR(自動ワークロード・リポジトリ)やASH(Active Session History)分析、SQLチューニングなどが、Database Managementを用いて簡単に実施できる。
モニタリングのもう1つの機能が「OCI-Logging」だ。これはログ収集および監視サービスで、Oracle Cloud Infrastructure(OCI)コンソールの監査ログやマネージドサービスのログ、ネットワーク通信のログに加え、OSやその他任意のログを一元管理できると。エージェントを入れることができるならば、オンプレミスシステムのログ収集も可能だ。
これらDatabase ManagementとOCI-Loggingを使い、作り込まれたEMCC(Enterprise Manager Cloud Control)運用監視の環境を、どこまでカバーできるかをアシストでは検証している。
同社によれば、Database Managementは使いやすさの点において高く評価できるという。特にEMCCのようなマネージドサーバーが不要で、すぐに利用できる点は使い勝手が良い。一方、予防、検出の観点ではEMCCと同程度のことはできるものの、ある程度の作り込みも必要になるという。
一方で、OCI-Loggingについては厳しい評価となった。「特に使い勝手の評価はバツとなりました」と原田氏。EMCCでは検出ルールはあらかじめ提供されているが、OCI-Loggingにはそれがなく“かなりの作り込み”が必須になるからだ。とはいえOCI-Loggingは、オブジェクトストレージと連携してログ保管がやりやすい点は評価できるという。セキュリティで足りない機能は、Oracle Cloudにも用意されている。それぞれのツールの特徴を掴んだ使い分けがポイントだと原田氏は指摘する。
オンプレミスで実績あるバックアップ・DRがクラウドでも利用できる
Oracle Cloudにおけるバックアップ・DRの方法は主に3つある。まず「RMAN(Recovery Manager)」を使ったバックアップの取得だ。Webコンソールでスケジュール実行や遠隔バックアップなどの実施が簡単にでき、リストアも容易だという。また、中身はRMANのため、従来のOracle Database管理の知識やノウハウを生かした運用も可能となっている。
さらに、冗長化には「Oracle RAC(Real Applications Cluster)」や「Oracle Data Guard」が利用できる。これらは、長年オンプレミスで実績があり、Oracle RACについては他のクラウドではサポートされておらず“Oracle Cloudでのみ利用できる”点も忘れてはいけない。加えて、Oracle Data GuardはWebコンソールから簡単に構築でき、有効化やフェイルオーバーなどの操作も簡単だ。
可用性に関してはデータベースだけでなく、IaaSで動くWebサーバーやアプリケーションサーバーも一緒にシステム全体で考える必要があるとも原田氏は指摘。大規模災害に備えることを考えるならば、東京・大阪リージョン間のネットワーク構成なども十分に検討する必要があるという。
Oracle Cloudに限らず、どのクラウドでも片方のリージョンが使えなくなれば、もう一方のリージョンにワークロードが集中するため、リソースの確保も考慮する必要がある。たとえば、Active-StandbyではなくActive-Activeで常にリソースを確保したり、容量予約機能を利用したりすることも有効だ。
また、セミナーの中で紹介された事例では、お客様のデータセンター内にクラウド環境を設置するExadata Cloud@Customerと“OCI上のExadata Cloud”のハイブリッド構成で、Oracle Data Guardを用いてDRを実現している。通常時はOCIの構成は最小にして効率化し、有事の際にはクラウドの柔軟性を使い無停止でスケールアップし対処。「OCIのバックアップ・DRは非常に良いサービスなので、是非採用を検討してほしい」と原田氏は言う。
「セキュリティ」「モニタリング」「バックアップ・DR」のいずれもが、Oracle Cloudのサービスを利用すれば簡単かつ、すぐに始められる。とはいえ、これらを使えば100点満点の運用となるわけではない。簡単に80点は取れるが「100点にするには、他のサービスやソリューションの検討も必要です。そのためのサービスもOracle Cloudには用意されているので、自社に合った方法を工夫したり、困ったらアシストに相談してほしい」と原田氏はアドバイスを送り、セミナーを締めくくった。
サイバーセキュリティ対策は経営課題!
クラウドはセキュリティが不安と言われていたのは昔の話。ランサムウェアや標的型攻撃による機密情報の搾取、あるいは内部不正による情報漏洩など、セキュリティインシデントが過去に例を見ないほど多発している今こそ、クラウドセキュリティの高さを理解し、活用することが経営に求められています。
セキュリティ・ファーストで設計されたクラウドへの移行と、ネットワークを主軸としたセキュリティ対策からデータ中心のセキュリティ対策へのシフトを実現してみませんか。
『サイバーセキュリティ対策は経営課題! 今こそセキュリティ・ファーストで設計されたクラウドを活用する』の詳細とお申し込みはこちら
