Database Support Blog

  • Oracle Database
  • Oracle Cloud
2022.12.26

誰がどのデータにアクセスできるのか?~今あらためて注目されるクラウドでの「アイデンティティとアクセスの管理」~

誰がどのデータにアクセスできるのか?~今あらためて注目されるクラウドでの「アイデンティティとアクセスの管理」~

これまで、クラウド環境でのデータベースセキュリティについてOracle Cloud Infrastructure で提供される、データベース自体、そしてデータベースを稼働させるインフラストラクチャ、すなわちテナントを保護するためのサービスであるOracle Data SafeとOracle Cloud Guard の概要と初期設定を行う方法を解説してきました。
今回は、上記サービスを利用するにあたっての上位概念であるアイデンティティとアクセスの管理について説明します。

※前回までの記事はこちらから
クラウドでのデータセキュリティはオンプレとどう違う?~Oracle Data Safe概要~
マルチクラウド環境やオンプレミスのOracle DBも同じツールで一括管理!~Oracle Data Safeの設定方法~
統合DBセキュリティサービス「Oracle Data Safe」でワンランク上のデータセキュリティを実現!~Oracle Data Safeの主要機能~
セキュリティ問題の検知だけ?適切な設定変更の提案も実行もしてくれるサービスを使わないなんてもったいない!~Oracle Cloud Guardの概要と設定方法~
Oracle Cloud Guardで実際にセキュリティ設定の修正をやってみよう!~Oracle Cloud Guardの使い方~



アイデンティティとアクセスの管理とは

本連載の初回「今だから見直そうデータベースセキュリティ(前編)~DBセキュリティとはCIA(機密性、完全性、可用性)を正しく保つこと~ 」でセキュリティの3要素であるCIAについてご説明しました。アイデンティティとアクセスの管理とは、CIAのうちのC(機密性: Confidentiality)に大きく関わります。

C:Confidentiality 機密性 しかるべきエンティティのみがデータにアクセスすることが可能な状態
I :Integrity 完全性 データが最新の状態でありかつ不整合がない状態
A:Availability 可用性 データをいつでも利用できる状態

C(機密性: Confidentiality)とは、「しかるべきエンティティ(存在)のみがデータにアクセスすることが可能な状態」と説明しました。「しかるべきエンティティ(存在)」とは何か。これを定義することがアイデンティティの管理を行なうために必要です。そして「しかるべきエンティティ(存在)」をどのように判別するのか、どのデータに対してアクセスすることを許可するかを定義することがアクセスの管理となります。

本記事では、これらの基本的な考え方を説明したいと思います。


識別・認証・認可

しかるべきエンティティとは何か。これは、基本的に実在する人物=アイデンティティを指します。ITシステムにアクセスする実在する人物を特定することと同じ意味です。加えて、その実在する人物が使用する端末もアイデンティティとして識別する余地があります。これらのアイデンティティの概念を包含するものがエンティティとご理解いただければと思います。

実在する人物とシステムにアクセスするためのアカウント、言い換えると実在する人物=アイデンティティ=エンティティとアカウントを適合させることです。さらに、しかるべきエンティティが実在する人物本人であることを証明することも必要です。最後に、しかるべきエンティティがどのシステムにアクセスできるか、システムに格納されているどのデータにアクセスできるか。これらを規定することも必要です。これがアイデンティティとアクセスの管理と理解いただければと思います。

実在する人物を特定する。その人物をシステムにアクセスするためのアカウントを整理する。その人物・端末がどの情報にアクセスできるのか。これは識別・認証・認可の3つの概念に該当します。こちらを紹介します。


1) 識別:実在する人物とシステムにアクセスするためのアカウントを適合させること

システムにアクセスするユーザー自身が誰なのかを特定できるようにすることが「識別」です。例えば、ユーザーIDやIPアドレス、MACアドレス、プロセスIDなどがユーザーを特定するための情報となります。


2) 認証:実在する人物・端末の正当性を検証すること

ユーザーがシステムにアクセスする際に、実在する人物・端末とその人物がシステムにアクセスするために付与されたアカウントが適合しているか、つまり本人であるかを検証することが「認証」です。認証の方法の代表的なものとして、ユーザーIDとそれに紐づくパスワードで実施することが挙げられます。

ユーザーIDとパスワードによる認証の他に、最近では以下の3要素を複数使用した多要素認証の採用も増えています。


  • Something You Know(あなたが知っているもの(本人だけが知り得る情報))
    ※PIN、パスワードなど
  • Something You Have(あなたが所有しているもの)
    ※ICカード、トークンなど
  • Something You Are(あなたしか持ちえない生体的な特徴)
    ※指紋、虹彩、声紋など

3) 認可:認証によって検証されたエンティティがどのITシステムにアクセスでき、さらにITシステム内のどのデータにアクセスできるかを定義すること

「識別」のプロセスでは、システムにアクセスする人物が誰なのか、また「認証」のプロセスでその人物・端末がシステムにアクセスできるようにするために、本人であるかを特定してきました。そして認証された人物がどのようなデータにアクセス可能なのかを定義することが「認可」です。

実在しない人物のIDが存在し、それを使用できる状態は、ITシステムを運用するうえで統制が取れている状態とは言い難いです。誰がどのITシステム(および格納されているデータ)にアクセスできるかを規定することは、機密性(Confidentiality)を実現するために必要です。

また、識別・認証・認可のプロセスにおいて、誰がいつ何をしたのかの証跡を確保することも重要です。それが、誰によってシステムにアクセス可能な人物が定義され、システムおよび格納されているデータへのアクセスを許可されたのかに関する説明責任(Accountability)を果たすことにつながります。

Oracle Cloud Infrastructureでは、OCI IAM Identity Domainの機能を使用することで、識別されたユーザーの認証と認可の仕組みを構築することができます。具体的には、強力なID/パスワード認証や多要素認証、IDのライフサイクル管理、SAML、OAuth、OpenID Connectを用いたフェデレーション、ポリシーによるアクセスコントロールなどです。

識別・認証・認可についてのガイドラインとしては、米国国立標準技術研究所(NIST: National Institute of Standards and Technology, 以下 NISTと称す)のSP800-63シリーズ(Digital Identity Guidelines https://pages.nist.gov/800-63-3/ )が有名です。お時間のある方はこちらも併せて参照いただければと思います。


さいごに

本記事では、アイデンティティとアクセスの管理の概念をご理解いただけたかと思います。識別・認証・認可の仕組みを構築することに加えて、そのプロセスを経たうえでアクセスされる情報資産の重要度を常に管理することも求められます。

情報は日々増減し、情報の重要度も変わります。このような状況において、自身が保有する情報を常に以下のように分類することが極めて重要です。「極秘」・「機密」・「社外秘」・「部外秘」のような情報の分類を行ない、情報の破壊・漏洩が発生した場合の影響度を確認すること。また、誰が・何に対して・どのような操作を行なうことができるのかを常にモニタリングすることもセキュリティを担保するうえで必要となります。

次回は、実際にOCIの機能を使用してどのようにアイデンティティとアクセスの管理を行うのか。その設定方法について次回解説します。お楽しみに。


データベースセキュリティウェビナーのご案内

企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?

以下の観点で、クラウドならではのセキュリティ対策の活用法をお伝えします。
約20分の本ウェビナーでサクッとポイントを確認してみませんか?
オンデマンドでいつでもご視聴いただけます!

・クラウドコンピューティングのサービスモデル(IaaS、PaaS、SaaS)の違いと責任分界点
・クラウド環境の堅牢性は何で示されるか
・クラウド環境ならではの脅威
・Oracle Cloudに備わるデータベースセキュリティ

データベースセキュリティの基本を理解したい方、これからOracle Databaseのクラウド化を検討される方など、セキュリティ対策を担当する方にオススメです。

講師:渡邊 敦(本記事の執筆者)


執筆者情報

わたなべ あつし プロフィール画像

2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。...show more


■本記事の内容について
 本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。

■商標に関して
 ・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
 ・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
  文中の社名、商品名等は各社の商標または登録商標である場合があります。

関連している記事

  • Oracle Cloud
  • Oracle Database
2024.12.10

OCI Computeメンテナンス時のダウンタイムを極小化!「ライブ移行」を徹底解説!

OCI Computeのメンテナンスの仕組みと、メンテナンスによるシステムのダウンタイムを最小限に抑えるライブ移行について解説します。

  • Oracle Cloud
  • Oracle Database
2024.12.09

Oracle CloudWorld 2024視察記

2024年9月ラスベガスで開催された「Oracle CloudWorld 2024」。そのハイライトとアシストの注目ポイントをイベント全体の雰囲気とともにお伝えします。

  • Oracle Cloud
  • Oracle Database
2024.12.02

OCIでGPUインスタンスを構築してみた

OCIで提供されている生成AIサービスとGPUインスタンスを前回の記事「生成AIにGPUが適している理由」で紹介しました。本記事では、GPUインスタンスをデプロイして、インスタンス上でLLM(大規模言語モデル)の動作環境を構築する方法をご紹介します。

ページの先頭へ戻る