複雑化する攻撃対策にはデータを中心としたゼロトラストセキュリティが必要
2021年7月、ある国内製造業の企業がランサムウェアの攻撃を受け、サーバーや端末が同時多発的に暗号化され使えなくなる被害が発生した。このときグループ企業にまで被害が広がりバックアップデータまで暗号化されたという。
人見氏によれば「決算報告が遅れる被害が発生しています」という。他にも病院がランサムウェア被害に遭い、復旧までに2ヵ月かかり、一部診療科での新規患者の受入を中止する事態も発生したとのこと。
このようなインシデントが発生すれば、損害は広範囲に拡がり対応コストもかなり大きくなる。事業が止まることによる損害、第三者への賠償、法令違反による罰金など損害は多岐にわたり、日本国内でも1社あたり数億円の損失が発生すると試算されている。
今やセキュリティインシデントは「単なる情報システムの問題ではなく、企業の経営層として取り組むべき課題です」と人見氏は指摘。
脅威に対処するために米国では、1990年代の境界防御に始まり、2001年の米国同時多発テロ事件以降の縦深防御、その後は被害から迅速に復旧するサイバーレジリエンスのセキュリティモデルで取り組んできた。
「米国では昨今、ゼロトラストおよびデータ中心型防御に注目が集まっています」と人見氏。ゼロトラストセキュリティについては、2020年くらいから米国のNIST(National Institute of Standards and Technology(米国国立標準技術研究所))がガイドラインを出し、米国国防総省はそれに倣いリファレンスアーキテクチャを出している。米国国防総省でも、ゼロトラストセキュリティに注力しているのが現状だ。
人見氏によれば、ポイントはデータ中心のセキュリティモデルにシフトしていることだという。クラウドなど様々なIT環境の変化があり、守るべきITリソース環境が分散しているため、ネットワーク中心のセキュリティでは守れなくなっている。ゆえに「もっとも守るべき資産であるデータへの侵害を防ぐために、ゼロトラストのモデルで対応しているのです」と指摘する。
ゼロトラストではデータにアクセスする度に、その正しさを検証する。あるいは重要なデータがきちんと守られているかを、モニタリングすることが重要となっている。
これらの流れを背景に、2022年のセキュリティトピックとして以下の5つが挙げられている。
- ゼロトラストセキュリティの実装
- 事業継続視点での完全性、可用性の対策強化
- AI/機械学習を活用したインテリジェントな対策
- セキュリティ向上のために必要となる状況の可視化
- CISO(Chief Information Security Officer)の役割と責任範囲
まず1つ目の「ゼロトラストセキュリティの実装」と2つ目の「事業継続視点での完全性、可用性の対策強化」については、ランサムウェアの被害に遭うと、平均的なダウンタイムは19日間におよび、復旧コストは1億円以上かかる。身代金を払っても、すべてのデータを取り戻せた割合は8%しかない。つまり事業継続の視点では、データをどう守っていくかが重要な観点になる。
3つ目として、セキュリティを強化する際に有効となる「AI/機械学習を活用したインテリジェントな対策」が挙げられている。IT環境が複雑化する中では、監視すべきログやコンポーネントが数多くある。それらをきちんと正しく保つには、膨大なデータをうまく扱えなければならない。その上でパッチ適用の自動化も進める必要があり、多岐にわたる対応にはAIを用いたインテリジェントな対策が必要だ。
そして4つ目として挙げられているのが「セキュリティ向上のために必要となる状況の可視化」だ。既に重要な情報の30%はクラウドにあり、それを守るためには、情報が守られているかを明らかにする可視化が必要となる。またクラウドを使う上で大きな脅威となるのが、人為的な設定ミスなど。環境をセキュアに保つための管理の自動化だ。もっとも、そうすると最初から高いセキュリティ性のあるクラウドも求められるであろう。
高いセキュリティを組織として実現する際に重要なのが、5つ目のトピックの「CISO(Chief Information Security Officer)の役割と責任範囲」だ。さらにビジネス観点から情報セキュリティに責任を持つ、ビジネス情報セキュリティ責任者の採用も必要となっているという。
Oracle Cloud、Exadata Cloudの導入、運用のパートナーをお探しでしたら、ぜひアシストへ!
アシストの支援やサポートの詳細、ダウンロード資料などはこちらのページでご確認ください。
Oracleは製品、サービスにあらかじめセキュリティを組み込んでいる
Oracleは1977年に米国CIAのプロジェクトへの参画から始まり、最初から機密情報を扱っている。1979年には商用化した世界初のデータベースであるOracle Version 2が米軍の空軍基地で採用された。以降、長きにわたり製品はもちろん企業文化においてもセキュリティを重視しているのがOracleだ。
実際、CTO配下にはセキュリティプログラミングを推進するエンジニアが1,700名以上在籍している。「ソフトウェア、ハードウェア、クラウドすべてにおいて、製品の設計、開発、構築、テスト、運用に至るまでセキュリティを組み込むことで、セキュリティ性を高めています」と人見氏。それらを通して顧客の扱うデータの機密性、完全性、可用性を保護しているのだ。
Oracleではオンプレミスで培った高度な技術をクラウドへ、またその逆も行えるようにするためにクラウドとオンプレミスで同じアーキテクチャとなっている。主力であるデータベースも、オンプレミスからパブリッククラウド、プライベートクラウドすべてにおいて、高いセキュリティでデータの管理、保護、活用ができるようになっている。
そしてクラウドはデータベースだけで成り立つわけではないため、Oracle Cloud全体も堅牢なセキュリティを実現している。例えばクラウドでは、すべてのデータ、データベース、ストレージ、ネットワークは暗号化される。「暗号化されていないデータはストアされません」と人見氏。人為的なミスの削減では、リスクのある設定を検知しセキュリティポリシーを有効化。脆弱性があれば修復し、顧客が利用するクラウド環境を自動で安全なものにする。
Oracleの一番の強みであるデータ中心のセキュリティでも、セキュリティ対策の自動化を行う。また特権ユーザーのアクセスも制御でき、ID認証では多要素認証やリスクベースの認証などゼロトラストで求められる機能が組み込まれており、これらセキュリティ機能は年々進化し、昨今のサイバー攻撃の多様化に対応する。
実際にデータ中心のゼロトラストセキュリティを実現する際には、外部だけでなく内部からの攻撃にも対処しなければならない。これには強制的な暗号化と特権ユーザーの管理が有効だ。加えて、アプリケーションがアクセスできるデータの範囲を行や列という、細かなレベルで制御もできる。それらがきちんと運用されているかは、監査ログを取り詳細に追跡でき、これをクラウドだけでなくオンプレミスでも適用され、ハイブリッドクラウドにも対応する。
データ自体の改ざんに対しては、オブジェクトストレージの保持ルール機能やデータベースへの改ざん防止機能が備わっており、ランサムウェア対策にはバックアップデータを守る機能も用意されている。データレベルできちんと守り、障害の直前まで復旧できるようになっているのだ。
また機密データがどこにありマスキングされているか、ユーザーアクティビティなども可視化している。そして重要なこととして、Oracleでは国内外、各国のセキュリティ基準にも対応している。このように、Oracleはデータを中心としてセキュリティを高めることに注力しており、そこに期待して同社の製品、サービスを使ってほしいと人見氏は言う。
Oracle Cloud、Exadata Cloudの導入、運用のパートナーをお探しでしたら、ぜひアシストへ!
アシストの支援やサポートの詳細、ダウンロード資料などはこちらのページでご確認ください。
Exadata Cloudにリフトするだけで主要なセキュリティ要件に準拠できる
人見氏の説明を踏まえ、続いて株式会社アシスト ビジネスインフラ技術本部 データベース技術統括部の寄川修辰氏が 「なぜ、クラウドこそが高セキュリティなのか? Oracle Cloudがミッションクリティカルシステムの安定稼働を叶える理由」と題し、Oracle Cloudが高いセキュリティ性がある理由について説明した。アシストでは350社以上のOracle Cloud導入の実績があり、自社でも様々なシステムでOracle Cloudを利用している。
Oracle Cloudは、データベースを中心に様々なセキュリティ機能を搭載しており、それらの機能が簡単に使える仕組み、サービスになっていると寄川氏は言う。その1つが暗号化だ。Oracle Cloudのデータベースのサービスでは、TDE暗号化、ネットワーク暗号化がデフォルトで有効化されている。これによりファイルを盗まれたりネットワークを盗聴されたりしても、データを読み取ることはできない。
データの投入、取得の際には透過的に暗号化、復号化の処理をするのでアプリケーション改修の必要はない。外部出力するバックアップファイルやダンプファイルなども暗号化が可能だ。これらはOracle Cloudのデータベースサービスでは標準機能として追加費用なしで利用できる。
データベースの構成上のセキュリティリスクを評価して分析するセキュリティアセスメント機能、データベースのユーザーアカウントの設定に関するセキュリティリスクを評価するユーザーアセスメントの機能も、無償で利用できる。結果はグラフ形式などで出力できリスクの高い問題の有無が一目でわかるようになっており「そのまま報告書としても利用できます」と寄川氏は言う。
このようにOracle Cloudではセキュリティ対策機能を簡単に、追加費用なく利用できる。データは自動的に暗号化され、アプリケーションの改修も必要ない。データベースのアセスメント機能で継続的にセキュリティリスクを監視できる。これらから「Oracle Cloudにデータベースのシステムをリフトするだけで、データベースのセキュリティ対策を十分に行うことができます」と寄川氏は言う。
また、Oracle Databaseに最適化された最上位のEngineered Systemである「Oracle Exadata」とOracle Cloudを組み合わせることで、セキュリティ上の強みが発揮できるとも寄川氏は指摘する。ExadataはOracle Databaseの性能を最大限に発揮するために、ハードウェア、ソフトウェアの構成が全体に最適化され、オンプレミスはもちろんCloud@Customerの形でプライベートクラウドでも、パブリックラウドのサービスとしても提供されている。
Oracle Cloud、Exadata Cloudの導入、運用のパートナーをお探しでしたら、ぜひアシストへ!
アシストの支援やサポートの詳細、ダウンロード資料などはこちらのページでご確認ください。
セキュリティ以外にも光る、Exadata Cloudの強み
プライベートクラウド、パブリッククラウドで利用できるExadata Cloudは、ISMAPなどの情報システムが守るべき法制度、ガイドラインに多数準拠しており、機密性、完全性、可用性の高いサービスとなっている。ISMAP以外にはISO、PCI DSSなど複数の認証制度に準拠した証明書を取得している。そのため「Exadata Cloudにリフトするだけでも、主要なセキュリティ要件に準拠したシステムが手に入ります」と寄川氏は言う。
その上でExadata Cloudでは、他のクラウドデータベースサービスでオプションとなるDatabase VaultやData Redactionの機能も標準で利用できる。ハードウェアも共有ではなく顧客単位で占有となっており、競合が発生する心配もない。
セキュリティ以外にもExadata Cloudでは、2台以上のDatabase Server、ストレージの3重化もなされており、極めて高い可用性となっている。サーバー同士を接続する内部ネットワークも100GbpsのEthernetに加えて独自のRDMA(Remote Direct Memory Access)技術で、従来よりも高い信頼性と高速性を両立したものとなっている。
SQL処理の一部をオフロードするインテリジェント・ストレージ・サーバー、1.5TB以上の永続メモリによるディスクキャッシュ機能などで極めて高いIO処理性能も発揮する。さらに、スケールアウトやシステム統合にも柔軟に対応できる。「Exadata Cloudを採用することで、非常に高いセキュリティかつ高性能なデータベースシステムを構築できます」と寄川氏は言う。
クラウド化に必要な要素を網羅したアシストの技術支援サービス
アシストでは、クラウド化に必要な要素を網羅した技術支援サービスを提供している。検討段階ではアセスメントやPoC、要件確認や整理、設計などの支援サービスがある。そこから実際の環境構築、テスト、データベースの移行も支援可能だ。
カットオーバー後にはクラウドのさらなる活用やサポートサービスも提供する。アシストには170名のサポート専任スタッフがおり、24時間365日の問い合わせ対応の体制がある。
また、クラウドマネージドサービス(ACMS)もある。こちらはACMSの顧客に対し、運用が変わったことでの不安、悩みどころにアシストのサポートセンターが一括で回答するものとなっている。寄川氏はOracle Cloudに興味を持ったならば「ぜひ問い合わせしてほしい」と話を締めた。
Oracle Cloud、Exadata Cloudの導入、運用のパートナーをお探しでしたら、ぜひアシストへ!
アシストの支援やサポートの詳細、ダウンロード資料などはこちらのページでご確認ください。