負け続けているサイバー戦争に勝つには自動化が必要
エリソン氏は、現状のサイバー・ディフェンスシステムの自動化の率はまだまだ100%には至っていないと指摘。対してOracle Autonomous Database Cloud Serviceでは、高度な自動化を実現している。これを既存のサイバー・ディフェンスの仕組みと一緒に使うことで、よりセキュアな環境が実現できるという。
これまで米国は、サイバー戦争に負け続けている。つい先日も米信用情報サービス企業のEquifaxから、1億4,300万以上の個人情報が漏洩した。この時攻撃者に盗まれた個人情報は、アンダーグラウンド市場に売り出されていない。そのことからも「これはどこかの国が盗んだ事件だと思われます」とエリソン氏。つまり、今のサイバー・ディフェンスの敵となっているのは、ライバル企業などではなく国であり、国をあげての攻撃から企業が自分の力だけで情報を守るのは容易ではない。Equifaxでは結局、経営層は辞任しIT関連の管理職も辞任、企業としての存続を危ぶまれる深刻な事態に陥っている。
情報漏洩は他にもたくさんある。米国の人事局も2,000万人の情報が流出した。漏洩した情報は、ホワイトハウスで勤務している人や国防総省、海外の大使館で働く人の情報であり、これも相手はどこかの国だと思われる。結果的に米国では大勢のエージェントを各国から引き上げることにもなった。
このようにサイバー戦争に米国は負けている。つまり今のサイバー・ディフェンスの戦略は、それだけでは上手く機能していないことになる。ログを見て問題を発見し、誰かがどこかのタイミングで人の手を介してパッチを当てるのでは十分ではない。パッチを当てる際にダウンタイムが発生するのも良くないとエリソン氏は指摘する。
オープンソースを使うこと自体に問題はないが、それをきちんと管理できているか。EquifaxではStrutsを使っていて、すでに明らかになっていた脆弱性を攻撃され情報が漏洩している。Strutsにパッチを当てなければならなかったのだが、おそらく彼らは全てのセキュリティホールを見つけ出すことができなかったのだろう。
企業のデータセンターの中には、ハードウェア、ソフトウェア、ネットワークなどさまざまなものが何千、何万とある。それら1つ1つに、完璧に人がパッチを当てていくのは簡単なことではない。なのでそこを自動化するのが大事だ。そしてパッチを当てるのにダウンタイムあっても駄目だ。
「来月の半ばに予定されているダウンタイムのタイミングを待ってパッチを当てても駄目なのです。企業はセキュリティの脅威を深刻に受け止めていないのではと心配になります」(エリソン氏)
セキュリティ担当は真剣に対応していても、経営者や他のビジネス担当者などはそう捉えていない。セキュリティ対策をすることで、自分のビジネスのための処理が遅くなるようなことはやりたくないのだ。そのため処理が遅くなるような方法をとらずにセキュリティを確保できなければならない。
つまりデータを守るには自動化が必要であり、攻撃を自動で検知し自動でパッチを当てることが重要。企業で動いている一連のデータベースのインスタンスを見て、どこかにセキュリティパッチが当たっていないものがあるかもしれない。1つでもパッチが欠けていると分かれば、それを攻撃される前に検出し自動的に直す必要がある。それを人が介入せずに自動で行うために、Autonomous DatabaseのOracle Database 18cが作られたのだ。
