「セキュリティをもっと強化する必要がある」――米Oracleの経営執行役会長兼最高技術責任者(CTO)のLarry Ellison氏は、クラウド受け入れの阻害要因とされるセキュリティ分野での取り組みを明らかにした。
チップレベルからメモリ保護や暗号化を組み込み、常時オンにするというもの。Sunから引き継いだハードウェア資産を生かして、「スタックの土台にセキュリティを組み込む」という。同社のクラウド戦略の差別化となるかが注目される。
Heartbleed対策もばっちり? セキュリティを組み込んだ「SPARC M7」
Oracleの経営執行役会長兼CTO、Larry Ellison氏
米サンフランシスコで開催中の年次イベント「Oracle Open World」の3日目の基調講演で、Ellison氏はクラウドのセキュリティについてのOracleの回答を示した。これは、初日の基調講演で明かしていた「Oracle Cloud」の6つの特徴、(1)コスト、(2)信頼性、(3)性能、(4)標準技術、(5)互換性、(6)セキュリティ、の6つ目となる。
「(業界は)サイバー攻撃に負けている」とEllison氏は現状を指摘する。一例として参照したのが、今年6月に明らかになった2000万件規模の米連邦政府のデータ流出事件だ。流出したのは職員を特定できるのにほぼ十分な情報だったといい、「これは最悪の事態ではない。もっとひどいことが起こりうる」と警笛を鳴らす。
だがOracleは安全性という点で歴史があるという。「われわれの最初の顧客はCIA(米中央情報局)、2番目の顧客はNSA(米国家安全保障局)、3番目は米国防情報局だ。Oracle製品は最初から安全だ」とEllison氏は胸を張る(1978年に開発された最初の製品Oracle version 1の最初の顧客はCIAだった)。
ではOracleはセキュリティ問題にどのようにアプローチするのか――。マイクロプロセッサレベルでのセキュリティ機能の組み込みだ。会期中に発表した最新の「SPARC M7」では、”Silicon Secured Memory”として、メモリ内のデータに対するアクセスをリアルタイムでチェックし、他のアプリケーションメモリへのアクセスを防ぐメモリ侵入検出機能を備える。高速な暗号化技術も備えつつ、性能への影響は「ほぼゼロ」という。
”SQL in Silicon”として、高速なメモリデータ解凍でインメモリデータベースをさらに加速するという。「変更をリアルタイムで検出でき、VenomやHeartbleedのような悪意あるプログラムのアクセスを防ぐことができる。開発者は複雑で難しいバグもすぐに見つけることができる」とEllison氏は話す。
さらには、これらのセキュリティ機能を常時オンにした。「社内で議論があったが、これについては選択肢の提供は適切ではない。セキュリティではオン/オフスイッチは不要だ」とEllison氏は見解を示した。
SPARC M7プロセッサを搭載したシステムには「Oracle SuperCluster M7」「SPARC T7」「SPARC M7」がある。
Ellison氏はまた、OracleのLinuxディストリビューション「Oracle Linux」が搭載する、ライブパッチ機能「Ksplice」にも触れた。起動中にパッチを適用できるもので、「カーネルとユーザースペースでゼロ・ダウンタイムのパッチ適用はOracle Linuxのみ」という。
データ暗号化だけでなく、暗号化と復号に用いる鍵の管理も工夫を凝らした。Oracleのパブリッククラウドにあるデータの暗号化の鍵を、顧客がオンプレミスで管理できるという2層での鍵管理「Oracle Key Vault」だ。これにより、Oracleは自分たちのデータセンターにあるデータの中身を見ることができない。
「試しに、他のクラウドサービス事業者に、顧客のデータが見えるかどうか聞いてみればよい。ほぼ全てが”イエス”だろう」とEllison氏は述べ、このようなエンタープライズ向けのセキュリティ機能は「大きな差別化になる」とした。
給与情報など社内でも管理者が見るとふさわしくないと思われるものについては、データマスキング、条件ベースでのサブセットで見えてしまうのを防ぐことができるという。
このほかセキュリティでは、SQLインジェクション攻撃などから保護できる「Database Firewall」、データアクセスのモニタリングと監査の「Audit Vault」なども紹介した。