Database Support Blog

  • Oracle Database
  • Oracle Cloud
2022.08.17

クラウドでのデータセキュリティはオンプレとどう違う?~Oracle Data Safe概要~

クラウドでのデータセキュリティはオンプレとどう違う?~Oracle Data Safe概要~

これまでに、データベースセキュリティの考え方と5つの観点をご紹介し、解説しました。今回はこれに加えてクラウド環境でのデータベースセキュリティも併せて考えてみましょう。5つの観点については以下の「今だから見直そうデータベースセキュリティ(前編)~DBセキュリティとはCIA(機密性、完全性、可用性)を正しく保つこと~」に記載していますので、併せてお読みください。

※これまでの記事はこちらから

今だから見直そうデータベースセキュリティ(前編)~DBセキュリティとはCIA(機密性、完全性、可用性)を正しく保つこと~
今だから見直そうデータベースセキュリティ(後編)~「アイデンティティとアクセスの管理」と「発見的統制の実現」とは?~



クラウド環境でのデータベースセキュリティとは

まず、これまでもお伝えしたデータベースのセキュリティをどのように考えるかを振り返りたいと思います。この点を考えるにあたって、セキュリティの3要素であるCIAを理解することが近道になると考えています。

C:Confidentiality 機密性 しかるべきエンティティのみがデータにアクセスすることが可能な状態
I :Integrity 完全性 データが最新の状態でありかつ不整合がない状態
A:Availability 可用性 データをいつでも利用できる状態

この原則に則ると「データがどのように扱われることが、正しい状態であるか」の答えが見えてきます。

つまり、データベースをセキュアに保つということは「データがしかるべき人物によって(機密性)、正しい状態のデータ(完全性)をいつでも利用できる状態(可用性)」と言い換えることができ、データベースのセキュリティを考える際の基本原則となります。

この考えはオンプレミスとクラウド両方に共通します。それでは、クラウド環境のデータベースセキュリティを考えるにあたって、オンプレミス環境と何が異なるのかを見ていきたいと思います。

オンプレミスとの相違点を理解しよう

オンプレミスのデータベース環境が社内環境(内部)からパブリッククラウド環境(外部)に出ていくということは、インターネットを介したデータのやり取りとデータの保存が行われるということです。ユーザー自身でクラウドサービスを立ち上げて運用していないため、クラウドサービスを提供し、それを管理するクラウドサービスプロバイダーがユーザーのシステムに登場してきます。

具体的に言うと機微・非機微に関わらず、データを他者が提供しているプラットフォームに預けることになります

データベースをセキュアに稼働させるために、クラウドサービスプロバイダーが何をしてくれるのか。そして、クラウド環境を利用するユーザーが何をしなければならないのか。言い換えると、誰が何に対してどこまで責任を負うのか。これを考えることが、今までと違うところです。

データベースセキュリティを担保するために、やることはオンプレミス環境と変わらないが、視点が変わることを理解する必要があります。本ブログでは、クラウド環境上で稼働するデータベースを取り巻くセキュリティリスクとOracle Cloud Infrastructureの機能を活用し、どのように対応できるかについてご紹介します。


責任共有モデルの理解

前述したクラウドサービスプロバイダーとクラウド環境を利用するユーザーの責任範囲はどこまでなのか。この点を考えるにあたって責任共有モデルを理解する必要があります。責任共有モデルとは、システムを稼働させるにあたってクラウドサービスプロバイダーとユーザーの間における責任を負う範囲を規定するもの、つまり分界点と理解いただければと思います。

クラウドサービスの代表的なものとしてSaaS、PaaS、IaaSが挙げられますが、それぞれでクラウドサービスプロバイダーとユーザーの間における責任の分界点も当然異なってきます。

下図は責任共有モデルの概念図となります。責任共有モデルは各クラウドサービスプロバイダーとユーザー間の契約となりますので、クラウド環境を利用する際には契約する内容について、誰が何に対してどこまで責任を負うのかを確認する必要があります。


【責任共有モデルの概念図】

責任共有モデルの概念図

「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(総務省)
https://www.soumu.go.jp/main_content/000771515.pdf )をもとに株式会社アシストにて作成

データベースセキュリティの観点で見ると、データのセキュリティは結局、それを利用するユーザーによって担保される必要があるということです。それでは、クラウド環境においてデータベースセキュリティを担保するために何をする必要があるのでしょうか。


多層防御によるデータ保護

多層防御は、クラウド環境とオンプレミス環境問わず用いられている概念です。簡単に言うとデータベースとそれに関連する各レイヤで多層的に防御対策を施すということです。Oracle Cloud Infrastructureにおけるセキュリティ機能の代表例は、ネットワークにおいてはWAF(Web Application Firewall)、IDとアクセス管理においてはIdentity Cloud Service、インフラストラクチャの保護においてはCloud Guard、最後にデータベースを保護するためのData Safeがあります。


【多層防御の概要略とOracle Cloud Infrastructureのセキュリティ機能の代表例】

多層防御の概要略とOracle Cloud Infrastructureのセキュリティ機能の代表例

データベースを保護するためにOracle Databaseの機能を使用する点については、これまでのブログに記載したとおりです。クラウド環境においては、オンプレミス環境で利用可能な機能に加えて、クラウドサービスプロバイダーが提供しているセキュリティ機能を利用することで、オンプレミスよりスピーディに多層防御を実現することが可能です。この点は、クラウド環境を利用する大きなメリットと言えます。

こうした点を踏まえて今回は、Oracle Cloud InfrastructureのData Safeをご紹介します。


Oracle Data Safe概要

Oracle Data Safeは、Oracle Cloud Infrastructureで提供される統合データベースセキュリティ管理サービスです。Oracle Data Safeを利用することによって、Oracle Databaseをよりセキュアに稼働させることが可能となります。主な機能は以下の5つです。

  • アクティビティの監査
  • セキュリティ構成の評価
  • ユーザーのリスク評価
  • 機密データの発見
  • データマスキング

管理するデータベースのセキュリティ設定は大丈夫なのか。データベースに対するアクセスに不正なものがなく運用できているという説明責任を果たせているのか。データベースユーザーに必要以上の権限を付与していないか。など、データベースの管理業務を行った方であれば、一度は誰もが考えたことがあると思います。

また、データベースをセキュアに稼働させるためには、セキュリティを一度だけ設定しておけばよいというものではありません。データベースに格納されるデータの機微度が変わった、データベースユーザを新たに追加した、既存のデータベースユーザーに追加で権限を付与する必要がでてきた、など、データベースに対する参照、更新、削除、設定変更、すなわちデータベースのアクティビティを常に監査し、データベースをセキュアに保つことが必要ですが、それを常にマニュアルで行うのは人的リソースの面からも厳しい点があるかと思います。これらの課題を解決する助けとなる機能がOracle Data Safeです。

仮に不正なアクセスが発生し、情報漏洩が発生した場合、当該ユーザーからデータベースに対してどのようなアクセスがあったのか、漏洩したと考えられるデータはどの程度の範囲であったか、漏洩時のデータベースの状態がどのようなものであったのかを把握することは、訴訟問題に発生した際に、自らの立場を正しく証明するための材料となります。

Oracle Data Safeが持っているデータベースのアクティビティ監査、データベースのセキュリティ構成評価と評価後の構成見直しなどを行っていない場合、訴訟において非常に不利な立場に立たされることになり、損害賠償金の支払いや企業の社会的信用の失墜など、経営へのインパクトが多大なものとなることは容易に想像できます。


さいごに

クラウド環境でのデータベースセキュリティについて、オンプレミス環境との相違点という観点で、責任共有モデルの理解、多層防御によるデータ保護、Oracle Data Safeについて説明いたしました。特にデータベースに格納されたデータを安全に取り扱うためにOracle Data Safeの機能は非常に有益なものだと思います。

次回は、データベースをセキュアに稼働させるための第一歩として、アクティビティの監査に注目し、Oracle Data Safeを利用することによる発見的統制を実現し、運用するためのポイントを解説したいと思います。お楽しみに。


データベースセキュリティウェビナーのご案内

企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?

以下の観点で、クラウドならではのセキュリティ対策の活用法をお伝えします。
約20分の本ウェビナーでサクッとポイントを確認してみませんか?
オンデマンドでいつでもご視聴いただけます!

・クラウドコンピューティングのサービスモデル(IaaS、PaaS、SaaS)の違いと責任分界点
・クラウド環境の堅牢性は何で示されるか
・クラウド環境ならではの脅威
・Oracle Cloudに備わるデータベースセキュリティ

データベースセキュリティの基本を理解したい方、これからOracle Databaseのクラウド化を検討される方など、セキュリティ対策を担当する方にオススメです。

講師:渡邊 敦(本記事の執筆者)




執筆者情報

わたなべ あつし プロフィール画像

2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。...show more


■本記事の内容について
 本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。

■商標に関して
 ・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
 ・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
  文中の社名、商品名等は各社の商標または登録商標である場合があります。

関連している記事

  • Oracle Cloud
  • Oracle Database
2024.12.02

OCIでGPUインスタンスを構築してみた

OCIで提供されている生成AIサービスとGPUインスタンスを前回の記事「生成AIにGPUが適している理由」で紹介しました。本記事では、GPUインスタンスをデプロイして、インスタンス上でLLM(大規模言語モデル)の動作環境を構築する方法をご紹介します。

  • Oracle Cloud
  • Oracle Database
2024.11.15

Oracle Cloud VMware SolutionにおけるVMware HCXとは?

前回の記事でお伝えしたとおり、OCVSを構築するとVMwareの複数の機能が利用可能です。 それらの機能の中で、今回はHCXの概要や具体的な機能、OCVSでHCXを利用するメリットなどをお伝えします!

  • Oracle Database
  • Oracle Cloud
2024.11.05

Oracle Database 23ai新機能!メモリーを有効活用する統合メモリー管理

2024年5月にOracle Cloud環境にて、先行してOracle DB 23aiがリリースされました。 Oracle Base Database ServiceにおけるOracle Database 23aiの検証結果を報告します。 今回は「統合メモリー管理」をテーマにお伝えします。

ページの先頭へ戻る