Oracleは5月25日、「Oracle Cloud Infrastructure(OCI)」におけるセキュリティ機能の強化などを発表した。「OCI Network Firewall」など5つのセキュリティサービスを新たに提供する。
Oracle OCI Security担当シニアバイスプレジデントのMahesh Thiagarajan氏
新サービスなどについて説明したOCI Security担当シニアバイスプレジデントのMahesh Thiagarajan氏は、「われわれは、セキュリティにおいて複雑な統合作業などがあってはいけないと考えており、OCIではセキュリティ機能をビルドインで提供する。また、今回発表した機能のうちOCI Network Firewall以外は、追加投資の必要がなく、無償提供する」と述べた。
さらに、「われわれは、セキュリティは難しいものではないと考える。セキュリティにおけるユーザーの負担を減らすことが目標だ。クラウドセキュリティを実現するための障壁を下げることがオラクルの基本的な考え方になる」とし、「クラウドセキュリティは基本的機能であり、ビルトインされているべき。コストが低いこと、あるいは追加コストがなく提供されるべきだ」として、今回のセキュリティサービスの提供における基本的な姿勢を示して見せた。
今回発表したのは、「OCI Network Firewall、「Oracle Threat Intelligence Service」、「Oracle Cloud Guard Threat Detector」「Oracle Security Zones」「Oracle Cloud Guard Fusion Applications Detector」の5つのセキュリティサービスの強化・追加だ。インフラからアプリケーションレイヤーまでの包括的なセキュリティを実現するという。
多層防御における新セキュリティ機能の位置付け
OCI Network Firewallは、パロアルトネットワークスの「VM Series Next Generation Firewall」を活用したマネージドファイアウォールサービスであり、OCI全体へのサイバー攻撃に対する一元的な防御を提供する。追加の設定や管理の必要がなく、ファイアウォール機能を迅速に有効化し、アプリケーションとクラウド環境を保護する。具体的には、カスタムのURLフィルタリングや侵入検知/防御(IDS/IPS)、TLSインスペクションなどにより、セキュリティ制御や脅威防御・緩和の機能を提供する。「次世代ファイアウォールの活用で、クラウドネイティブなセキュリティを実現する。全てのワークロードを対象にしたファイアウォールを設定できる。運用はOCIのコンソールから利用する」(Thiagarajan氏)とした。
Oracle Security Zonesは、従来のサービスの機能を拡張して提供する。ニーズに適した形で設定した「Security Zone」のカスタムポリシーセットを、OCIの統合プラットフォーム機能に適用する。セキュリティポスチャーを弱める(セキュリティの観点で脆弱な設定状況)可能性を持ったアクションを防止できるようになり、OCIのセキュリティサービス全体を強化する。Security Zoneのポリシーは、ネットワークやコンピューティング、ストレージ、データベースなどの各種クラウドインフラストラクチャーに適用でき、クラウドリソースの安全性を維持するとともに、セキュリティの誤設定も防止する。
「セキュリティを選択肢にしないのがOracle Security Zonesのコンセプトだ。カスタムポリシーセットの設定に加えて、ポスチャー管理を統合した。ミスがない形でクラウド上のアプリケーションを構築できる。高いセキュリティレベルを求めるエンタープライズユーザーの要望に応える」(Thiagarajan氏)という。
新サービスとなるOracle Threat Intelligence Serviceは、同社のセキュリティ分析者や独自のテレメトリーのほか、「abuse.ch」などのオープンソースフィード、クラウドストライクなどパートナーからのインサイトを活用して、脅威インテリジェンスのデータを集約、これを利用して「Oracle Cloud Guard」や各種OCIサービスにおける脅威の検出と予防のための実用的なガイダンスを提供する。
Oracle Cloud Guard Threat Detectorは、誤った設定がなされているリソースや、安全ではないテナント間の振る舞い、悪意のある脅威の振る舞いを特定して、クラウド上のセキュリティ問題における対応の優先順位を付け、解決のための可視性をセキュリティ管理者に提供する。あらかじめ用意されているOracle Cloud Guardの「セキュリティレシピ」を用いてセキュリティの観点から不整合な状況を自動的に修復できるのも特徴になる。
Oracle Cloud Guardでは数百種類のレシピを活用できるよう拡張を図るとともに、優先順位付けを自動的に行う機能を用意した。高度な機械学習技術を活用して、ユーザー行動を基にした相関情報から必要なアラートだけを管理者へ通知できるようにしている。「セキュリティチームが適切なアクションが行えるように支援する」(Thiagarajan氏)という。
Oracle Cloud Guard Fusion Applications Detectorでは、Oracle Cloud Guardの対象を拡張しており、「Oracle Fusion Cloud Applications」も監視対象とした。これによりIaaSとSaaSの両方を対象にしたセキュリティ監視、ポリシー適用が可能になる。まずは「Oracle Fusion Cloud Human Capital Management」「Oracle Fusion Cloud Enterprise Resource Planning」が対応し、両アプリケーション内部の潜在的なセキュリティ違反を監視できる。
「Oracle Cloud Guardのレシピを活用して、ユーザー特権の変更や削除など重要なデータアクセスに影響を与える設定変更、機密性の高い設定変更については、アラートで警告する機能も提供し、SaaSに適したセキュリティ機能の強化を図っている」(Thiagarajan氏)とした。
Thiagarajan氏はクラウドセキュリティサービスの導入事例についても触れた。水道の配管用品などを販売する米Fergusonは、Oracle Cloud GuardとOracle Security Zonesを利用し、検証済みのセキュリティポスチャー管理を実現したという。
世界的な通信企業がミッションクリティカル環境を維持するために、OCIセキュリティサービスを採用している例も紹介。データセキュリティに対して関心が高い企業や、「Oracle Dedicated Region Cloud@Customer」を採用している顧客でもOCIのセキュリティサービスに高い評価があることを強調した。
Thiagarajan氏は、「オンプレミスで培ってきたセキュリティの知見をOCIの構築でも活用し、強固で使いやすいコンポーネントの提供で、セキュリティを問題としたダウンを最小限に抑えている」と述べる。クラウドセキュリティの課題は、ツールが複雑化し、分断化し、管理が難しく、コストが高い点にあるといい、「今回のセキュリティ機能の強化で、クラウド環境のセキュリティ課題の解決に向けて、障壁を下げることができる。シンプルでありマルチクラウド環境でも管理でき、脅威管理、監視、予防、防止、ネットワークにおけるセキュリティ強化を実現できる。クラウドへの移行を加速でき、ユーザーがセキュリティ人材を多数確保せず済む」と述べた。