Oracle Cloud Guardで実際にセキュリティ設定の修正をやってみよう！～Oracle Cloud Guardの使い方～

前回は、クラウド環境でのデータベースセキュリティについて、Oracle Cloud Infrastructure で提供される、データベースを稼働させるインフラストラクチャ、すなわちテナントを保護するためのサービスであるOracle Cloud Guard の概要と初期設定を行う方法について解説しました。今回は、Oracle Cloud Guard が検出した問題に対して実際に対処する方法を説明していきます。

※前回までの記事はこちらから
・クラウドでのデータセキュリティはオンプレとどう違う？～Oracle Data Safe概要～
・マルチクラウド環境やオンプレミスのOracle DBも同じツールで一括管理！～Oracle Data Safeの設定方法～
・統合DBセキュリティサービス「Oracle Data Safe」でワンランク上のデータセキュリティを実現！～Oracle Data Safeの主要機能～

・セキュリティ問題の検知だけ？適切な設定変更の提案も実行もしてくれるサービスを使わないなんてもったいない！～Oracle Cloud Guardの概要と設定方法～

Index

Oracle Cloud Guardとは

Oracle Cloud Guard は、Oracle Cloud Infrastructure が提供する無料のサービスです。セキュリティの問題を監視・検出し、特定された問題を修正するための設定変更の提案もしてくれます。また、ユーザーに代わって設定変更を実行することも可能です。

Oracle Cloud Guard は、ターゲットとなるコンパートメントに関するセキュリティ上の様々な問題を一覧表示します。

Oracle Cloud 環境の利用に際して、データベースを稼働させるインフラストラクチャを保護することは非常に重要です。特に設定ミスによって発生するセキュリティ問題は、データの改竄・外部への漏洩、テナント自体の破壊などの致命的なセキュリティ・インシデントに直結します。

本記事では、Oracle Cloud Guard がリストアップする様々なセキュリティ問題のうち、設定ミス、具体的には「インスタンスとバケットがパブリック公開されている」という以下の2 つの問題を Oracle Cloud Guard で修正してみます。

　1. Instance is publicly accesible: インスタンスがパブリック公開されている。

　2. Bucket is public: バケットがパブリック公開されている。

インスタンスがパブリック公開されている問題への対処

まず、インスタンスがパブリック公開されている問題に対処していきます。インスタンスがパブリック公開されている場合は、Oracle Cloud Guardから対象となるインスタンスを特定し、停止する作業が必要です。

クラウド・ガードのページで「問題」をクリックし、コンピュート・インスタンスに関連付けられている「Instance is publicly accesible（インスタンスがパブリック公開されている）」をクリックします。

表示されるページで「修正」をクリックします。

以下の画面が表示され、修正レスポンダ・ルールを選択すると、選択したレスポンダ・ルールに応じた修正を実行できるよう、いくつかのポリシー・ステートメントを追加する許可を求められます。

修正レスポンダ・ルールに「Stop compute instance」を選択すると、それに応じてポリシー・ステートメントが変更されることが確認できます。今回はインスタンスがパブリック公開されている問題を修正するために、「Stop compute instance」修正レスポンダ・ルールを選択します。

前述のポリシー・ステートメントを追加するために、「ステートメントの追加」をクリックします。

「修正」をクリックし、Oracle Cloud Guard のレスポンダが当該のコンピュート・インスタンスを停止できるようにします。

「修正」をクリックします。

修正が開始され、すぐに完了します。しばらくすると、問題の履歴一覧のイベント・ステータスに「解決」と表示され、インスタンスの状態が「停止済」となっていることが確認できます。

Oracle Cloud Guard の「ダッシュボード」から「レスポンダ・ステータス」と時系列の変化が表示される「修正のトレンド線」に実行した修正が反映されていることが確認できます。

バケットがパブリックに公開されている問題への対処

次にバケットがパブリック公開されている問題に対処します。

この問題を修正するには、クラウド・ガードのページで「問題」をクリックし、公開バケットに関連付けられている「Bucket is public」（バケットが公開されている）をクリックします。

表示されるページで「修正」をクリックします。

選択した修正ルールを実行できるように、ポリシー・ステートメントを追加する許可を求める以下の画面が表示されます。

ポリシーを追加するために、「修正レスポンダ・ルール」に「Make Bucket Private」を選択し「ステートメントの追加」をクリックします。

ここで「修正」をクリックすると、対応するバケットが Oracle Cloud Guard のレスポンダによって、パブリック公開からプライベート公開に変更されます。

「修正」をクリックします。

しばらくすると、「問題の履歴」の一覧のイベント・ステータス列に「解決」と表示されます。また、当該のバケットが「非公開」になっていることがわかります。

このようにして、Oracle Cloud Guard で 2 つのセキュリティの問題を修正することができました。

推奨事項とレスポンダ・アクティビティ

Oracle Cloud Guard には推奨事項という機能もあります。これは、設定変更によりセキュリティの向上が可能な項目を提案してくれる機能です。

「推奨事項」をクリックすると、上位 10 件の推奨事項のリストが表示され、優先度の高い問題をすぐに特定して対処できます。

Oracle Cloud Guard

また、「レスポンダ・アクティビティ」をクリックすることで、レスポンダが実行したアクションが表示されます。

このページでは、レスポンダが実行したアクションが表示されます。

Oracle Cloud Guard

さいごに

本記事では、Oracle Cloud Guard を使用し、 2 つのセキュリティの問題を解決方法と「推奨事項」機能を紹介しました。Oracle Cloud Guardの活用により、データベースを稼働させるインフラストラクチャのセキュリティ上の問題を簡単に検知・修正できるため、クラウド環境を利用するうえで是非とも活用したいサービスと言えるでしょう。

次回『今だから見直そうデータベースセキュリティ（Oracle Cloud Infrastructure編 Part6:アイデンティティとアクセスの管理1）』を読む

データベースセキュリティウェビナーのご案内

企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは？

以下の観点で、クラウドならではのセキュリティ対策の活用法をお伝えします。

約20分の本ウェビナーでサクッとポイントを確認してみませんか？

オンデマンドでいつでもご視聴いただけます！

・クラウドコンピューティングのサービスモデル（IaaS、PaaS、SaaS）の違いと責任分界点
・クラウド環境の堅牢性は何で示されるか
・クラウド環境ならではの脅威
・Oracle Cloudに備わるデータベースセキュリティ

データベースセキュリティの基本を理解したい方、これからOracle Databaseのクラウド化を検討される方など、セキュリティ対策を担当する方にオススメです。

講師：渡邊敦（本記事の執筆者）

オンデマンドウェビナーの視聴はこちらから

執筆者情報

渡邊敦

2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案／啓蒙活動も担当し、二足の草鞋で活躍中。...show more

Aarthi Mudhalvan

2019年5月よりアシストでデータベースエンジニア、コンサルタントとして勤務。...show more

■本記事の内容について
　本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。

■商標に関して
　・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
　・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
　　文中の社名、商品名等は各社の商標または登録商標である場合があります。