Database Support Blog

  • Oracle Cloud
  • Oracle Database
2024.06.07

クラウドセキュリティで気になるポイントを徹底解説!

クラウド環境へのリフト・シフトはスタンダードとなっています。しかし、オンプレミスの既存システムと比較して同等のセキュリティを担保できるか、という懸念をお持ちのお客様は多数いらっしゃいます。

本記事ではクラウドセキュリティの基本と守るべきポイントを徹底解説します。今後、クラウド環境への移行を検討されているお客様にとって有益な情報となれば幸いです。

クラウドセキュリティの基本とは?

クラウドコンピューティングの概念

最初にクラウドコンピューティングの概念から確認しましょう。

米国国立標準技術研究所(NIST:National Institute of Standards and Technology)の発行するSP 800-145によると、以下5つの基本的特性を有しているものをクラウドサービスと定義しています。

(原文)「The NIST Definition of Cloud Computing」https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-145.pdf(NISTのサイトに移動します)
(IPAによる日本語訳)「NISTによるクラウドコンピューティングの定義」https://www.ipa.go.jp/files/000025366.pdf(IPAのサイトに移動します)
をもとに株式会社アシストにて作成


サービスの種類としては、IaaS、PaaS、SaaSなどが挙げられます。オンプレミス環境と異なり、クラウド環境で考慮すべきことは責任共有モデルという考え方です。具体的には、ユーザーとクラウドサービスプロバイダーとの間での管理責任範囲を指します。これまでの話はこのブログを見ていただいている方にも馴染み深いものだと思います。

【責任共有モデルの概念図】

「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(総務省)https://www.soumu.go.jp/main_content/000771515.pdf )をもとに株式会社アシストにて作成

クラウドセキュリティのポイント

先ほど、ユーザーとクラウドサービスプロバイダーとの間での管理責任分界点を意識する必要があると書きました。ここで注目すべきなのは、まずはクラウドサービスプロバイダーの管理対象となっている基盤自体の堅牢性(セキュアな環境か否か)です。クラウドサービスプロバイダー側の基盤自体にユーザーは関与できないため、提供されているものの中からどれを選択するかが鍵となるからです。

それぞれを見ていきましょう。Oracle Cloud Infrastrusctureでは、以下のような国内外の各種コンプライアンス基準に準拠したインフラをユーザーに提供しており、基盤としてのセキュリティは担保されていると言えます。

出典:オラクル社「Shared Management Model」
https://www.oracle.com/jp/corporate/cloud-compliance/ )(オラクル社のサイトに移動します)


このように考えると、前述の責任共有モデルに当てはめてクラウドセキュリティを担保するためのポイントが明らかになってきます。

すなわち、資産としてのデータ、データを扱うデータベース(DB)自体のセキュリティ、およびそれを稼働させるインフラストラクチャ(OS、NW)のセキュリティ、データに対するアクセス権を持つエンティティ(ID管理)のセキュリティ、アプリケーションからのリクエストに対するセキュリティを保つことが、クラウドセキュリティを考えるにあたって必要なポイントとなります。


Oracle Cloud Infrastrusctureは、データを中心とした多層防御を実現するための各種サービスを提供しています。前述の責任共有モデルに当てはめても、データを中心とした多層防御が重要です。これらの概略を図示したものが以下となります。

【多層防御の概要とOracle Cloud Infrastructureのセキュリティ機能の代表例】

データベースのセキュリティを担保するための機能としてData Safe、インフラストラクチャのセキュリティを担保するための機能としてのCloud Guard、ID管理のセキュリティを担保するためのIdentity Cloud Service、Webアプリケーションを保護するためのWeb Application Firewall。これらの機能を活用することによってデータを中心とした多層防御を実現できると思います。


さて、クラウドセキュリティの最初のステップとしては、クラウドコンピューティングへの脅威を確認することが重要です。特にデータを中心とした多層防御を考える場合、インフラストラクチャのセキュリティを考えることが優先されます。

IPAが発表したコンピュータウイルス・不正アクセスの届出状況2022 年(1月~12月)においても、設定の不備に関する指摘が多く見受けられます。クラウドサービスの利用においても同様に、情報漏洩が顕著なのは、クラウド環境に保存されているデータに対するアクセス制御の設定の不備によるものであることが分かります。

【不正アクセス被害内容別件数の推移(2020~2022年)】

出典:「コンピュータウイルス・ 不正アクセスの届出状況 [2022年(1月~12月)]」https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/000108005.pdf(IPAのサイトに移動します)

最後に

クラウド環境へのリフト・シフトはスタンダードとなっています。しかし、オンプレミスの既存システムと同等レベルのセキュリティを担保できるか、という懸念をお持ちのお客様は多数いらっしゃいます。管理対象の環境が増えるほど管理者個人に依存することになり、設定ミスによる脆弱性が顕著に現れます。


クラウド環境における設定ミスに対応するため、Oracle Cloud Infrastructure(OCI)では、Cloud Guardというクラウド環境の設定に関わる診断・修正をおこなう機能が提供されています。この機能を利用することで管理者の運用負荷を軽減し、セキュアなクラウド環境を実現することが可能です。
Cloud Guardについては、また別の記事で詳しくご紹介します。お楽しみに。



執筆者情報

わたなべ あつし プロフィール画像

2017年入社。Oracle DatabaseのプリセールスとOracle Cloud Infrastructureのフィールドエンジニア業務を担当。
また、長年のOracle Databaseセキュリティ製品の経験を活かして、データベースセキュリティ、クラウドセキュリティ全般の提案/啓蒙活動も担当している。



■本記事の内容について
 本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。

■商標に関して
 ・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
 ・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
  文中の社名、商品名等は各社の商標または登録商標である場合があります。

関連している記事

  • Oracle Database
  • Oracle Cloud
  • AWS
2024.07.09

Oracle Databaseライセンスの定義とルールを正しく理解する ~第4回:クラウド編~

今回はOracle Databaseライセンス「クラウド環境編」です。これまでエディション、ライセンスの種類、カウントの方法、という基本的な部分と、構成面の理解として仮想化環境の考え方をご紹介してきました。今回はクラウド環境におけるOracle Databaseライセンスの定義やルールを解説します。

  • Oracle Cloud
2024.07.02

OCI CLIでデータベースインスタンスを作成する方法

OCI CLIは、OCIの各種サービスを操作するためのコマンドラインツールです。OCI CLIを使用してデータベースインスタンスを構築する方法についてご紹介します。

  • Oracle Database
2024.06.27

新人オラクル技術者の「登竜門」を2年目が紹介!~DB支援説明テスト編~

本記事で紹介する「DB支援説明テスト」は、アシスト独自の社内育成カリキュラムの一つです。新卒入社後にゼロからデータベース構築技術を学んだ筆者(23卒入社・2年目)の立場から、DB支援説明テストの裏側と経験談をお伝えします!

ページの先頭へ戻る