- Oracle Cloud
- Oracle Database
OCI Computeメンテナンス時のダウンタイムを極小化!「ライブ移行」を徹底解説!
OCI Computeのメンテナンスの仕組みと、メンテナンスによるシステムのダウンタイムを最小限に抑えるライブ移行について解説します。
|
Index
本連載の初回「今だから見直そうデータベースセキュリティ(前編)~DBセキュリティとはCIA(機密性、完全性、可用性)を正しく保つこと~ 」でセキュリティの3要素であるCIAについてご説明しました。アイデンティティとアクセスの管理とは、CIAのうちのC(機密性: Confidentiality)に大きく関わります。
C:Confidentiality | 機密性 | しかるべきエンティティのみがデータにアクセスすることが可能な状態 |
I :Integrity | 完全性 | データが最新の状態でありかつ不整合がない状態 |
A:Availability | 可用性 | データをいつでも利用できる状態 |
C(機密性: Confidentiality)とは、「しかるべきエンティティ(存在)のみがデータにアクセスすることが可能な状態」と説明しました。「しかるべきエンティティ(存在)」とは何か。これを定義することがアイデンティティの管理を行なうために必要です。そして「しかるべきエンティティ(存在)」をどのように判別するのか、どのデータに対してアクセスすることを許可するかを定義することがアクセスの管理となります。
本記事では、これらの基本的な考え方を説明したいと思います。
しかるべきエンティティとは何か。これは、基本的に実在する人物=アイデンティティを指します。ITシステムにアクセスする実在する人物を特定することと同じ意味です。加えて、その実在する人物が使用する端末もアイデンティティとして識別する余地があります。これらのアイデンティティの概念を包含するものがエンティティとご理解いただければと思います。
実在する人物とシステムにアクセスするためのアカウント、言い換えると実在する人物=アイデンティティ=エンティティとアカウントを適合させることです。さらに、しかるべきエンティティが実在する人物本人であることを証明することも必要です。最後に、しかるべきエンティティがどのシステムにアクセスできるか、システムに格納されているどのデータにアクセスできるか。これらを規定することも必要です。これがアイデンティティとアクセスの管理と理解いただければと思います。
実在する人物を特定する。その人物をシステムにアクセスするためのアカウントを整理する。その人物・端末がどの情報にアクセスできるのか。これは識別・認証・認可の3つの概念に該当します。こちらを紹介します。
システムにアクセスするユーザー自身が誰なのかを特定できるようにすることが「識別」です。例えば、ユーザーIDやIPアドレス、MACアドレス、プロセスIDなどがユーザーを特定するための情報となります。
ユーザーがシステムにアクセスする際に、実在する人物・端末とその人物がシステムにアクセスするために付与されたアカウントが適合しているか、つまり本人であるかを検証することが「認証」です。認証の方法の代表的なものとして、ユーザーIDとそれに紐づくパスワードで実施することが挙げられます。
ユーザーIDとパスワードによる認証の他に、最近では以下の3要素を複数使用した多要素認証の採用も増えています。
「識別」のプロセスでは、システムにアクセスする人物が誰なのか、また「認証」のプロセスでその人物・端末がシステムにアクセスできるようにするために、本人であるかを特定してきました。そして認証された人物がどのようなデータにアクセス可能なのかを定義することが「認可」です。
実在しない人物のIDが存在し、それを使用できる状態は、ITシステムを運用するうえで統制が取れている状態とは言い難いです。誰がどのITシステム(および格納されているデータ)にアクセスできるかを規定することは、機密性(Confidentiality)を実現するために必要です。
また、識別・認証・認可のプロセスにおいて、誰がいつ何をしたのかの証跡を確保することも重要です。それが、誰によってシステムにアクセス可能な人物が定義され、システムおよび格納されているデータへのアクセスを許可されたのかに関する説明責任(Accountability)を果たすことにつながります。
Oracle Cloud Infrastructureでは、OCI IAM Identity Domainの機能を使用することで、識別されたユーザーの認証と認可の仕組みを構築することができます。具体的には、強力なID/パスワード認証や多要素認証、IDのライフサイクル管理、SAML、OAuth、OpenID Connectを用いたフェデレーション、ポリシーによるアクセスコントロールなどです。
識別・認証・認可についてのガイドラインとしては、米国国立標準技術研究所(NIST: National Institute of Standards and Technology, 以下 NISTと称す)のSP800-63シリーズ(Digital Identity Guidelines https://pages.nist.gov/800-63-3/
)が有名です。お時間のある方はこちらも併せて参照いただければと思います。
本記事では、アイデンティティとアクセスの管理の概念をご理解いただけたかと思います。識別・認証・認可の仕組みを構築することに加えて、そのプロセスを経たうえでアクセスされる情報資産の重要度を常に管理することも求められます。
情報は日々増減し、情報の重要度も変わります。このような状況において、自身が保有する情報を常に以下のように分類することが極めて重要です。「極秘」・「機密」・「社外秘」・「部外秘」のような情報の分類を行ない、情報の破壊・漏洩が発生した場合の影響度を確認すること。また、誰が・何に対して・どのような操作を行なうことができるのかを常にモニタリングすることもセキュリティを担保するうえで必要となります。
次回は、実際にOCIの機能を使用してどのようにアイデンティティとアクセスの管理を行うのか。その設定方法について次回解説します。お楽しみに。
企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?
2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。...show more
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
OCI Computeのメンテナンスの仕組みと、メンテナンスによるシステムのダウンタイムを最小限に抑えるライブ移行について解説します。
2024年9月ラスベガスで開催された「Oracle CloudWorld 2024」。そのハイライトとアシストの注目ポイントをイベント全体の雰囲気とともにお伝えします。
OCIで提供されている生成AIサービスとGPUインスタンスを前回の記事「生成AIにGPUが適している理由」で紹介しました。本記事では、GPUインスタンスをデプロイして、インスタンス上でLLM(大規模言語モデル)の動作環境を構築する方法をご紹介します。