- Oracle Cloud
- Oracle Database
OCIでGPUインスタンスを構築してみた
OCIで提供されている生成AIサービスとGPUインスタンスを前回の記事「生成AIにGPUが適している理由」で紹介しました。本記事では、GPUインスタンスをデプロイして、インスタンス上でLLM(大規模言語モデル)の動作環境を構築する方法をご紹介します。
|
これまでに、データベースセキュリティの考え方と5つの観点をご紹介し、解説しました。今回はこれに加えてクラウド環境でのデータベースセキュリティも併せて考えてみましょう。5つの観点については以下の「今だから見直そうデータベースセキュリティ(前編)~DBセキュリティとはCIA(機密性、完全性、可用性)を正しく保つこと~」に記載していますので、併せてお読みください。
※これまでの記事はこちらから
Index
まず、これまでもお伝えしたデータベースのセキュリティをどのように考えるかを振り返りたいと思います。この点を考えるにあたって、セキュリティの3要素であるCIAを理解することが近道になると考えています。
C:Confidentiality | 機密性 | しかるべきエンティティのみがデータにアクセスすることが可能な状態 |
I :Integrity | 完全性 | データが最新の状態でありかつ不整合がない状態 |
A:Availability | 可用性 | データをいつでも利用できる状態 |
この原則に則ると「データがどのように扱われることが、正しい状態であるか」の答えが見えてきます。
つまり、データベースをセキュアに保つということは「データがしかるべき人物によって(機密性)、正しい状態のデータ(完全性)をいつでも利用できる状態(可用性)」と言い換えることができ、データベースのセキュリティを考える際の基本原則となります。
この考えはオンプレミスとクラウド両方に共通します。それでは、クラウド環境のデータベースセキュリティを考えるにあたって、オンプレミス環境と何が異なるのかを見ていきたいと思います。
オンプレミスのデータベース環境が社内環境(内部)からパブリッククラウド環境(外部)に出ていくということは、インターネットを介したデータのやり取りとデータの保存が行われるということです。ユーザー自身でクラウドサービスを立ち上げて運用していないため、クラウドサービスを提供し、それを管理するクラウドサービスプロバイダーがユーザーのシステムに登場してきます。
具体的に言うと機微・非機微に関わらず、データを他者が提供しているプラットフォームに預けることになります。
データベースをセキュアに稼働させるために、クラウドサービスプロバイダーが何をしてくれるのか。そして、クラウド環境を利用するユーザーが何をしなければならないのか。言い換えると、誰が何に対してどこまで責任を負うのか。これを考えることが、今までと違うところです。
データベースセキュリティを担保するために、やることはオンプレミス環境と変わらないが、視点が変わることを理解する必要があります。本ブログでは、クラウド環境上で稼働するデータベースを取り巻くセキュリティリスクとOracle Cloud Infrastructureの機能を活用し、どのように対応できるかについてご紹介します。
前述したクラウドサービスプロバイダーとクラウド環境を利用するユーザーの責任範囲はどこまでなのか。この点を考えるにあたって責任共有モデルを理解する必要があります。責任共有モデルとは、システムを稼働させるにあたってクラウドサービスプロバイダーとユーザーの間における責任を負う範囲を規定するもの、つまり分界点と理解いただければと思います。
クラウドサービスの代表的なものとしてSaaS、PaaS、IaaSが挙げられますが、それぞれでクラウドサービスプロバイダーとユーザーの間における責任の分界点も当然異なってきます。
下図は責任共有モデルの概念図となります。責任共有モデルは各クラウドサービスプロバイダーとユーザー間の契約となりますので、クラウド環境を利用する際には契約する内容について、誰が何に対してどこまで責任を負うのかを確認する必要があります。
【責任共有モデルの概念図】
|
データベースセキュリティの観点で見ると、データのセキュリティは結局、それを利用するユーザーによって担保される必要があるということです。それでは、クラウド環境においてデータベースセキュリティを担保するために何をする必要があるのでしょうか。
多層防御は、クラウド環境とオンプレミス環境問わず用いられている概念です。簡単に言うとデータベースとそれに関連する各レイヤで多層的に防御対策を施すということです。Oracle Cloud Infrastructureにおけるセキュリティ機能の代表例は、ネットワークにおいてはWAF(Web Application Firewall)、IDとアクセス管理においてはIdentity Cloud Service、インフラストラクチャの保護においてはCloud Guard、最後にデータベースを保護するためのData Safeがあります。
【多層防御の概要略とOracle Cloud Infrastructureのセキュリティ機能の代表例】
|
データベースを保護するためにOracle Databaseの機能を使用する点については、これまでのブログに記載したとおりです。クラウド環境においては、オンプレミス環境で利用可能な機能に加えて、クラウドサービスプロバイダーが提供しているセキュリティ機能を利用することで、オンプレミスよりスピーディに多層防御を実現することが可能です。この点は、クラウド環境を利用する大きなメリットと言えます。
こうした点を踏まえて今回は、Oracle Cloud InfrastructureのData Safeをご紹介します。
Oracle Data Safeは、Oracle Cloud Infrastructureで提供される統合データベースセキュリティ管理サービスです。Oracle Data Safeを利用することによって、Oracle Databaseをよりセキュアに稼働させることが可能となります。主な機能は以下の5つです。
管理するデータベースのセキュリティ設定は大丈夫なのか。データベースに対するアクセスに不正なものがなく運用できているという説明責任を果たせているのか。データベースユーザーに必要以上の権限を付与していないか。など、データベースの管理業務を行った方であれば、一度は誰もが考えたことがあると思います。
また、データベースをセキュアに稼働させるためには、セキュリティを一度だけ設定しておけばよいというものではありません。データベースに格納されるデータの機微度が変わった、データベースユーザを新たに追加した、既存のデータベースユーザーに追加で権限を付与する必要がでてきた、など、データベースに対する参照、更新、削除、設定変更、すなわちデータベースのアクティビティを常に監査し、データベースをセキュアに保つことが必要ですが、それを常にマニュアルで行うのは人的リソースの面からも厳しい点があるかと思います。これらの課題を解決する助けとなる機能がOracle Data Safeです。
仮に不正なアクセスが発生し、情報漏洩が発生した場合、当該ユーザーからデータベースに対してどのようなアクセスがあったのか、漏洩したと考えられるデータはどの程度の範囲であったか、漏洩時のデータベースの状態がどのようなものであったのかを把握することは、訴訟問題に発生した際に、自らの立場を正しく証明するための材料となります。
Oracle Data Safeが持っているデータベースのアクティビティ監査、データベースのセキュリティ構成評価と評価後の構成見直しなどを行っていない場合、訴訟において非常に不利な立場に立たされることになり、損害賠償金の支払いや企業の社会的信用の失墜など、経営へのインパクトが多大なものとなることは容易に想像できます。
クラウド環境でのデータベースセキュリティについて、オンプレミス環境との相違点という観点で、責任共有モデルの理解、多層防御によるデータ保護、Oracle Data Safeについて説明いたしました。特にデータベースに格納されたデータを安全に取り扱うためにOracle Data Safeの機能は非常に有益なものだと思います。
次回は、データベースをセキュアに稼働させるための第一歩として、アクティビティの監査に注目し、Oracle Data Safeを利用することによる発見的統制を実現し、運用するためのポイントを解説したいと思います。お楽しみに。
企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?
2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。...show more
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
OCIで提供されている生成AIサービスとGPUインスタンスを前回の記事「生成AIにGPUが適している理由」で紹介しました。本記事では、GPUインスタンスをデプロイして、インスタンス上でLLM(大規模言語モデル)の動作環境を構築する方法をご紹介します。
前回の記事でお伝えしたとおり、OCVSを構築するとVMwareの複数の機能が利用可能です。 それらの機能の中で、今回はHCXの概要や具体的な機能、OCVSでHCXを利用するメリットなどをお伝えします!
2024年5月にOracle Cloud環境にて、先行してOracle DB 23aiがリリースされました。 Oracle Base Database ServiceにおけるOracle Database 23aiの検証結果を報告します。 今回は「統合メモリー管理」をテーマにお伝えします。