oracle infrastructure and platform cloud services …...2.oracle cloud services:...

Oracle Infrastructure and Platform Cloud Services Security O R A C L E W H I T E P A P E R | 2 0 1 6 年 1 1 月

ORACLE INFRASTRUCTURE AND PLATFORM CLOUD SERVICES SECURITY WHITE PAPER

免責事項

以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯

一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリア

ルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う

際の判断材料になさらないで下さい。オラクルの製品に関して記載されている機能の開発、リリース、

および時期については、弊社の裁量により決定されます。

ORACLE INFRASTRUCTURE AND PLATFORM CLOUD SERVICES SECURITY WHITE PAPER

目次

免責事項 1

1.はじめに 1

2.Oracle Cloud Services: 信頼性を追及した設計 4

3.お客様とオラクルのセキュリティ責任 6

4. Oracle Cloud インフラのセキュリティ 8

5. 共有アイデンティティおよびアクセス管理 14

6. サービス固有のセキュリティ 18

7. セキュアなクラウド・サービス設計のためのオラクルのアプローチ 39

8. 結論 40

1 | ORACLE INFRASTRUCTURE AND PLATFORM CLOUD SERVICES SECURITY WHITE PAPER

IaaSに関するグローバルな支出は、2015年には約165億USドルに達し、2014年から32.8パーセント上

昇しています。また、Gartnerの最新の予測では、2014年から2019年への複合年間成長率(CAGR)は、

29.1パーセントと予測されています。[http://www.gartner.com/newsroom/id/3055225]

Susan Moore氏 Gartner

1.はじめに Infrastructure as a Service (IaaS)へのグローバルな支出は急速に増加しています。しかし、多くの最

高情報責任者(CIO)は、クラウドのインフラおよびプラットフォーム・サービスを完全に活用すること

に抵抗を感じています。その疑念は、主にシステムやデータのセキュリティに関する懸念から生じて

います。CIO は、企業全体でデータを保護するための必要な措置を取る一方、スケーラブルでハイブ

リッドなソリューションの構築を求めています。適切なセキュリティ・ソリューションとプロセスを

用いれば、最も要求水準の高い企業でさえも、安心してクラウドに移行できます。

Oracle Cloud は、お客様がミッションクリティカルなエンタープライズ・ワークロードを実行しデー

タを格納するために使用される安全なインフラおよびプラットフォーム・サービスを提供するために

開発されました。オラクルのお客様が Oracle Cloud ソリューションを選択する理由は何でしょうか。

答えは簡単です。オラクルのお客様は、次に示すような他のベンダーでは提供されていない独自の価

値をオラクルから手に入れています。

» オラクルは、深く幅広い機能を備えた、統合インフラおよびプラットフォーム・サービスの最も完

全なポートフォリオを提供しています。 » Oracle Cloudが提供するハイブリッド・クラウドにより、オンプレミスからのサービスの簡単な管

理と監視、およびワークロードの簡単な移行が可能です。 » Oracle Cloudソリューションは、お客様が使い慣れた標準ベースのテクノロジを使用して構築され

ています。

このホワイトペーパーでは、Oracle Compute Cloud Service、Oracle Storage Cloud Service、Oracle Network Cloud Service、Oracle Management Cloud、Oracle Java Cloud Service および Oracle Database Cloud Service の各サービスに共通するセキュリティ機能および各サービス固有のセキュリ

ティ機能について説明します。

提供されている Oracle Cloud サービスの完全なリストについては、https://www.oracle.com/cloud に

アクセスしてください。

Oracle Cloud のお客様は、主として次のセキュリティ機能をオラクルに求めています。


» 制御: どのユーザーが、どのような条件の下にデータにアクセスできるかを制御するセキュリ

ティ・メカニズム » 監査: セキュリティ構成を管理するためのリソース監査機能 » 可視性: アカウントおよびリソースへの可視性を提供するログ » 保証: データがどのように格納されているか、どのようにアクセスされているか、また不正な

アクセスや変更に対してどのように保護されているかを独立して検証する機能 » セキュリティ: 安全に設計、コーディング、テスト、デプロイおよび管理されているサービス » 標準で提供される、既存のOracleテクノロジとの統合: アイデンティティおよびアクセス管理

など、既存のOracleソリューションとのシームレスな統合

セキュリティは、Oracle Cloud ソリューションの最優先事項です。オラクルのビジョンは、企業や政

府組織のための最も安全で信頼できるパブリック・クラウド・インフラおよびプラットフォーム・

サービスを構築することです。オラクルの使命は、お客様がワークロードをより確実に実行するための効果的で管理しやすいセキュ

リティを備えた、より信頼性の高い、安全なパブリック・クラウド・インフラおよびプラットフォー

ムを構築することであり、スケーラブルで信頼できる安全なクラウド・ソリューションを構築するこ

とです。

オラクルには、強力なセキュリティ文化および正式なセキュリティ・ポリシーがあり、オラクル製品

は、過去 30 年にわたり企業や政府組織のミッションクリティカルなアプリケーションに世界中で使

用されてきました。

オラクルのセキュリティ哲学は、次のアプローチを核として構築されています。

» オラクルの予防的戦略は、多層防御に基づいています。オラクルは、ペリメータを引き下げ、

データにより近いセキュリティ制御を追加する必要性を確信しています。 » オラクルは、多層防御の予防的戦略に加えて、違反検出、インシデント対応、効果的な改善の

ための強力で有効なプロセスの開発を続けています。 » オラクルは、クラウド・コンピューティングで効果的に機能するセキュリティおよび信頼モデ

ルの定義に取り組んでいます。たとえば、オラクルは、全権限を持つ強力な管理者コンセプト

に基づく従来の管理者モデルは、お客様により強い権限を付与するモデルに置き換わるべきと

考えています。オラクルは、インフラ・オブジェクトのみを管理し、お客様のデータにアクセ

スするためのチャネルを持ちません。

オラクルには、情報、データベース、アプリケーション、インフラおよびネットワーク・セキュリ

ティにおける一流のセキュリティ・エキスパートがいます。オラクルは創業以来、セキュア・アプリ

ケーションおよびシステムの開発におけるけん引役であり続けています。オラクルでは、この経験を

包括的なクラウド製品の開発に活かしています。


大企業や最も要求水準の高い政府から小規模の企業まで、世界中の組織で使用される Oracle Cloud は、

包括的な IaaS および Platform as a Service (PaaS)ポートフォリオを提供し、これらには、Compute、Storage、Networking、Database、Java、Process、Mobile、Data Management および Business Analytics が含まれます。オラクルの IaaS および PaaS サービスはすべて、アイデンティティおよび

アクセス管理など、共通のセキュリティ機能セットを共有しています。


2.Oracle Cloud Services: 信頼性を追及した設計オラクルの使命は、世界中のあらゆる場所でインターネットを介し、業界をリードするテクノロジと

ビジネス・アプリケーション・ソフトウェアをお客様に提供することです。Oracle Cloud は、業界標

準ベースの統合された広範なサービス・セットであり、お客様にサブスクリプションベースでの

Oracle プラットフォーム・サービス、アプリケーション・サービスおよびソーシャル・サービスへの

アクセスを提供します。これらのサービスはすべて、オラクルによって完全に管理、ホストおよびサ

ポートされます。

Oracle Cloud Infrastructure as a Service (IaaS)は、柔軟なコンピュートやストレージなどのコア・イ

ンフラ機能セットを備えており、クラウド内のワークロードの実行機能を提供します。Oracle Cloud IaaS はコア機能として、お客様が仮想環境、アプリケーションおよび関連する構成を構築し管理する

ために使用する主に 3 つの機能を提供します。

» Oracle Compute Cloud Serviceは、柔軟でスケーラブルなコンピューティング、ブロック・スト

レージおよびネットワーク・サービスをOracle Cloudで提供します。お客様は、マルチテナントの

Elastic ComputeサービスまたはDedicated Computeサービスのいずれかを選択できます。後者は、

分離されたコンピューティング・リソースでプロビジョニングされたコンピュート環境を提供しま

す。コンピュート・ゾーンは、完全なネットワーク分離により、完全にお客様専用です。Oracle Compute Cloud Serviceへは、Representational State Transfer (REST) API、コマンドライン・イ

ンタフェース(CLI)およびWebベースのUIを通じてアクセスできます。 » Oracle Storage Cloud Serviceは、エンタープライズ・データおよびアプリケーション用のコスト

効率の高いリモート・バックアップおよびアーカイブ・ソリューションです。Oracle Storage Cloud Serviceへは、業界標準のOpenStack Swift互換のREST API、Oracle Storage Cloud Software Applianceを介したNFSv4、Java APIによるプログラム、またはその他の認証されたサードパー

ティ・アプリケーションを使用してアクセスできます。また、お客様は、Webベースのグラフィカ

ル・コンソールを使用して、主要なストレージ・メトリックを監視し、ユーザーやロールを管理で

きます。セキュリティを強化するために、クラウド・サービスでオブジェクトをアップロードおよ

び格納する前に、クライアント側のソフトウェア暗号化機能およびJavaライブラリを使用して、独

自の対称鍵によりすべてのオブジェクトを暗号化できます。 » Oracle Network Cloud Serviceは、2つのVPNソリューションを提供しています。Dedicated

Compute用のSite-to-Site VPNでは、IPSecトンネルでお客様のデータ・センターをOracle Cloudに接続できます。2つ目のVPNソリューションは、ネットワーク・エッジに配置されている分散仮想

アプライアンスを使用する、Corente Cloud Services Exchangeを介して提供されます。オラクル

のお客様は、VPNソリューションに加えて、お客様のデータ・センターとOracle Cloud間のプライ

ベートな高帯域接続を可能にし、より予測可能なネットワーク・パフォーマンスを提供するオラク

ルのFastConnectソリューションを使用できます。また、FastConnectは、インターネットと異な

り、あらかじめ定められたパスをデータ転送に提供するため、データは信頼できる境界を超えるこ

とはなく、より優れたセキュリティを実現しています。

Oracle Cloud Platform as a Service (PaaS)では、エンタープライズ IT および独立系ソフトウェア・ベ

ンダー(ISV)の開発者が、業界 No.1 のデータベースおよびアプリケーション・サーバーに基づくエン

タープライズ・グレードのクラウド・プラットフォームを使用して、機能豊富なアプリケーションを


迅速に構築、デプロイでき、また Oracle Cloud Software as a Service (SaaS)アプリケーションを拡

張できます。Oracle Cloud PaaS には、Oracle Database および Oracle Exadata Database Machineに基づくデータベース機能を提供する、複数のデータベース・エンタープライズ・クラウド・サービ

スが含まれます。 Oracle WebLogic Server によって強化されている Oracle Java Cloud Service は、新規または既存の

Java EE アプリケーションを開発しデプロイするための、オラクルのエンタープライズ・グレード・

クラウド・インフラで稼働するプラットフォームを提供します。提供されている Oracle Cloud サービ

スの完全なリストについては、https://www.oracle.com/cloud にアクセスしてください。


3.お客様とオラクルのセキュリティ責任セキュリティ責任の一環としてお客様が実行する必要がある構成作業は、お客様が使用するサービス

によって決まります。Oracle Cloud インフラおよびプラットフォーム・サービスは、共有責任モデル

に従って動作し、オラクルは基礎となるクラウド・インフラの責任を負い、お客様は自身のワーク

ロード、および Oracle Database や Oracle WebLogic Server などのプラットフォーム・サービスの保

護の責任を負います。次の図は、共有セキュリティ責任を示しています。


すべての Oracle Cloud サービスと同様、お客様が Oracle Cloud Services アクセス資格証明を保護し、

個人のユーザー・アカウントを設定する必要があります。お客様が、自身の従業員のアカウントのア

クセスの管理と確認、およびそのアカウントで発生したすべてのアクティビティの責任を負います。

Oracle Compute Cloud Service や Oracle Storage Cloud Service などの IaaS カテゴリに分類される

Oracle Cloud Services は、完全にお客様の管理下にあり、お客様がすべてのセキュリティ構成および

管理タスクを実行する必要があります。たとえば、Oracle Compute Cloud Service の場合、アプリ

ケーションを含むクラウド・サービスのオペレーティング・システムおよびその他の関連ソフトウェ

アの構成、運用、管理および保護の全責任をお客様が負います。お客様が、コンテンツの適切なセ

キュリティ、保護、アーカイブおよびバックアップの管理の全責任を負います。これには、不正アク

セスからコンテンツを保護するためのアプリケーションまたはゲスト内暗号化テクノロジの使用が含

まれる場合があります。いつパッチを適用するかについては、お客様が完全に管理できます。Oracle Storage Cloud Service の場合、クライアント側にあるデータを Oracle Storage Cloud Service に格納

する前のデータの暗号化の責任はお客様にあります。

Oracle Database Cloud Service や Oracle Java Cloud Service などの PaaS カテゴリに分類される

Oracle Cloud Services は、完全にお客様の管理下にあり、お客様がすべてのセキュリティ構成および

管理タスクを実行する必要があります。たとえば、Oracle Database Cloud Service の場合、オラクル

が提供するクラウド・ツールを使用したバックアップ、リカバリ、パッチ適用および拡張については、

お客様が責任を負います。また、仮想マシン・インスタンスおよび仮想マシンで稼働するデータベー

ス・インスタンスへの完全なアクセス権限をお客様は持っているため、仮想マシン・レベルでのネッ

トワーク・セキュリティ・ポリシーおよびデータベース・アクセス制御ポリシーを定義する責任もお

客様が負います。お客様のデータは、表領域においてデフォルトで暗号化されます。

Oracle Java Cloud Service の場合、オラクルが提供するクラウド・ツールを使用したバックアップ、

リカバリ、パッチ適用および拡張については、お客様が責任を負います。Oracle Java Cloud Serviceの Virtual Image 以外のバージョンの場合、オラクルが自動バックアップを提供します。

Oracle Cloud 内で提供されるすべてのサービスを実行するグローバル・インフラの保護は、オラクル

が責任を負います。このインフラは、Oracle Cloud サービスを実行するハードウェア、ソフトウェア、

ネットワークおよび施設で構成されます。以降の項では、オラクルのインフラおよびサービス固有の

セキュリティ機能について詳しく説明します。


4. Oracle Cloudインフラのセキュリティ Oracle Cloud インフラは、SaaS、PaaS および IaaS など多岐にわたるサービスのプロビジョニング

に使用されます。Oracle Cloud インフラには、これらのサービスのプロビジョニングをサポートする

施設、ネットワーク、ハードウェアおよび運用ソフトウェアが含まれます。クラウド・インフラは、

お客様がミッションクリティカルなエンタープライズ・ワークロードを実行しデータを格納するため

に使用される安全なインフラおよびプラットフォーム・サービスを提供するために開発されました。

お客様は、世界で最も安全なクラウド・インフラの 1 つで稼働するオラクルのコンピュート、スト

レージ、ネットワークおよびプラットフォーム・サービスを使用して、スケーラブルなエンタープラ

イズ・クラウド・ソリューションを構築していることを確信できるでしょう。

4.1 物理的なセキュリティ保護オラクルは、オフィスとクラウド・インフラの稼働場所の両方に対して、セキュリティ保護されたコ

ンピューティング施設を提供しています。オラクルのデータ・センターは、革新的な工学的手法を使

用した最先端のものです。各データ・センターの周辺には、コンクリートの車両用防護柵、有線テレビによる監視、警報装置お

よび常駐の守衛所を配しており、これらすべてにより入口以外の攻撃箇所に対して防御できます。権

限のあるスタッフがデータ・センターにアクセスするには、2 要素認証に合格しなければなりません。

オラクルは、データ・センターへのアクセス権および情報を、これらの権限に対して正当な業務上の

必要性がある従業員と請負業者にのみ提供しています。オラクルの従業員によるデータ・センターへ

の物理的なアクセスはすべて記録され、定期的に監査されます。入口には、警備員が 24 時間 365 日

常駐し、視覚 ID 認識および訪問者の付添い管理を行っています。

4.2 オラクルの従業員によるOracle Cloud Servicesへのアクセスクラウド・システムへのアクセスは、権限を持つ個人にアクセスを制限することで制御されています。

オラクルでは、多要素認証を使用する保護された VPN トンネルを従業員のアクセスに使用し、Oracle Cloud 環境の運用に使用されるインフラ・コンポーネントおよびクラウド管理システムに対してアク

セス・ポリシーを実施しています。システムのアクセス制御には、従業員およびその他のオラクルが

定義したユーザーに対するシステム認証、認可、アクセス承認、プロビジョニング、および取消しが

含まれます。キー・ストロークを含むすべてのオペレータ操作は、オラクルが監査およびフォレン

ジックを実行できる方法で記録されます。

オラクル従業員のネットワークおよびオペレーティング・システム・アカウントは、適切な従業員ア

クセス・レベルを保証するためにレビューされます。従業員の雇用終了時には、ネットワーク、電話

および物理的なアクセスを終了する措置がただちに取られます。


4.3 身元調査オラクルは、法律で許可されている範囲で、米国内の新規従業員の雇用前審査の一環として犯罪歴の

チェックを実施しています。米国外での身元調査の実施については、現地の規定および現地のオラク

ル・ポリシーに従います。

4.4 従業員のリスクを最小化する手段ヒューマン・エラー、窃盗、詐欺および施設の悪用に関するリスクを最小化する手段には、個人の審

査、秘密保持契約、および懲戒処分の執行を伴うセキュリティ認識に関する教育や研修などがありま

す。オラクルの従業員は、お客様データの守秘義務を守ることが義務付けられています。オラクルの

従業員は、最初の雇用条件として、秘密保持契約に署名し、機密情報の保護に関する企業方針(企業倫

理/行動規範、会社リソースのオラクル利用規定、情報保護方針)に従うことが義務付けられています。

オラクルは、下請業者によってサービスが提供される前に、各下請業者から書面による秘密保持契約

を入手しています。

4.5 オラクルの企業ネットワークの分離 Oracle Cloud の本番ネットワークは、オラクルの企業ネットワークとは分離されており、論理アクセ

スのための個別の資格証明セットを必要とします。保守管理のために Oracle Cloud コンポーネントに

アクセスする必要がある、企業ネットワーク上の Oracle Cloud の開発者および管理者は、アクセス資

格証明を明示的にリクエストする必要があります。すべてのリクエストは、適切なサービス所有者に

よってレビューおよび承認されます。

4.6 セキュアなネットワーク・アーキテクチャ Oracle Cloud ネットワークは、分散 DoS (DDoS)攻撃、中間者攻撃、IP スプーフィングおよびポー

ト・スキャニングなど、従来のネットワーク・セキュリティの問題に対して、意義のある防御策を提

供しています。

オラクルでは、ファイアウォールなどの防御デバイスを使用して、ネットワークの外部境界および

ネットワーク内の内部境界におけるネットワーク通信を監視し制御しています。これらのネットワーク境界デバイスは、トラフィックのフローを強制するトラフィック・フロー・ポ

リシー、つまりアクセス制御リスト(ACL)を採用しています。ファイアウォールが階層的アプローチ

でデプロイされ、セキュリティ・ポリシーによりパケット・インスペクションを実行しています。こ

のセキュリティ・ポリシーは、プロトコル、ポート、ソースおよび宛先 IP アドレスに基づいてパケッ

トをフィルタ処理し、認可されたソース、宛先およびトラフィック・タイプを識別するように構成さ

れています。Oracle Cloud サービスでは、ネットワーク脆弱性評価ツールを使用して、セキュリティ

の脅威および脆弱性を識別しています。正式な手順を使用して、識別された問題を評価、検証、優先

順位付けおよび修正しています。オラクルは、脆弱性通知システムにサブスクライブしており、セ

キュリティ・インシデント、勧告およびその他の関連情報の通知を常に受けられる状態を保っていま

す。オラクルは、脅威またはリスクの通知に対してアクションを取りますが、これは、根拠のあるリ

スクが存在すること、推奨される変更がサービス環境に適用可能であること、およびその変更がサー

ビスに悪影響を及ぼさないことを確認した後に実行します。


DDoS 防御/軽減は、専用の DOS 防御が有効な認証済のファイアウォール・アプライアンスを通じて

主に提供されます。デバイスは、大量のトラフィックをサポートし接続を維持するように拡張されて

います。これにより、レイヤー3-7 の攻撃防止機能が提供されます。攻撃が、帯域幅消費型、1 秒当た

りの接続のオーバーロード、または正当な接続の改ざん、メモリーの過剰消費のいずれであろうと、

ロード・バランサ環境のプロキシの本質として、各接続に対して検査、対応し、必要に応じて緩和ま

たは削除します。これらのデバイスは、プロトコル検査、コンテンツ調査および Web アプリケー

ション(レイヤー7)ファイアウォールのために各セッションを積極的に終了させるように設計されてい

ます。これらのデバイスは、SYN cookie 暗号化、高容量接続表、パターン一致、フロー検証、ICMP (Internet Control Message Protocol)フラッディング制限および厳密な TCP 転送などのテクノロジも提

供します。

Oracle Cloud Services では、侵入検知システム(NIDS)を使用して、環境を保護しています。 NIDS センサーは、ネットワーク上で侵入防御モード(IPS)または侵入検知モード(IDS)のいずれかでデ

プロイされ、疑われるネットワーク・トラフィックを監視し、内部ネットワークに到達するのをブ

ロックします。NIDS のアラートは、セキュリティ・オペレーション・チームによって 24 時間 365 日

管理されている一元化された監視システムにルーティングされます。

4.7 Oracle Cloud Servicesへの暗号化されたアクセスお客様によるシステムへのアクセスは、ほとんどインターネットを介して行われます。業界標準の

Transport Layer Security (TLS)プロトコルが、Oracle Cloud Service へのアクセスに使用されています。

TLS 接続は、少なくとも 128 ビットまたはより強力な暗号化でネゴシエーションされます。暗号鍵の

生成に使用される秘密鍵は、少なくとも 2048 ビットです。TLS は、Oracle でデプロイされるすべて

の Web ベースの TLS 認証アプリケーションに対して実装されるか、構成可能です。暗号化機能がよ

り強力であり、セキュリティが改善されている、Oracle プログラムに認定済の最新ブラウザを、Web対応プログラムの接続に使用することをお薦めします。Oracle プログラムの各バージョンの認定済ブ

ラウザのリストは、オーダーされた個々のサービス用に指定されているクラウド・カスタマ・サポー

ト・ポータル(My Oracle Support ポータルなど)で参照できます。場合によっては、オラクルの管理下

にないクラウド・サービスで使用されるサードパーティ・サイトで、暗号化されない接続が強いられ

ることがあります。あるいは、お客様がクラウド・サービスとの統合を望むサードパーティ・サイト

が、暗号化された接続を受け入れないこともあります。サードパーティ・サイトとの暗号化されない

接続がオラクルによって許可されているクラウド・サービスの場合、オラクルは必要に応じて、暗号

化される相手側に加えて、これらの接続を有効にします。


また、Oracle Cloud サービスへは、SSH または IPsec 対応の VPN サービスを使用してアクセスする

こともできます。

4.8 プラットフォームの強化と監視オラクルは、Oracle Cloud システムを潜在的な攻撃から防御するために、Oracle Cloud 全体で標準の

システム強化プラクティスを採用しています。プラットフォームの強化プラクティスには、プロトコ

ル・アクセスの制限、不要なソフトウェアおよびサービスの削除または無効化、不要なユーザー・ア

カウントの削除、パッチ管理、ロギングおよびアラート生成などがあります。

4.9 セキュリティ・インシデントへの対応オラクルは、お客様のデータがオラクルのハードウェア資産にあるか、またはオラクルの従業員およ

び請負業者の個人のハードウェア資産にあるかどうかにかかわらず、データへの不正なアクセスまた

は処理の疑いがあるインシデントを評価し、それに対応します。

担当のオペレータが、24 時間 365 日、セキュリティ・インシデントを検知し管理する体制をとってい

ます。通知があると、オラクルの Global Information Security (GIS)組織が、アクティビティの種別に

応じて、エスカレーション・パスおよび対応チームを明確にし、これらのインシデントに対処します。

GIS は、必要に応じて、お客様、該当するテクニカル・チームおよび法執行機関と連携し、インシデ

ントに対応します。インシデント対応チームの目標は、お客様の環境の機密性、整合性および可用性

を回復させ、根本原因および復旧手順を確立することです。オペレーション担当者は、データの処理が不正である可能性があるインシデントの識別および対応の

手順を文書化しています。これには、即時かつ妥当なレポーティング、エスカレーション手順および

過程管理のプラクティスなどが含まれます。

4.10 マルウェアの阻止効力のあるマルウェア攻撃は、アカウントのセキュリティ侵害やデータ窃盗を引き起こす可能性があ

ります。Oracle Cloud オペレーション・チームは、多様な手法を使用して、マルウェアを阻止、検知

および除去します。オラクルは、Oracle Cloud Services で使用されている関連システムにウィルス/マルウェア対策ソフトウェアをデプロイしています。検出されたウィルスおよびマルウェアは自動的に

削除(または隔離)されます。ウィルスおよびマルウェア定義は頻繁に更新され、関連するクライアン

ト・システムは、定義の更新およびリアルタイム・スキャンを実行するように構成されています。オ

ラクルの Global Desktop Strategy (GDS)組織は、ウィルス/マルウェア対策製品および Windows Server Update Service (WSUS)サーバーを、ウィルス/マルウェア定義およびセキュリティ更新により

最新の状態に保ちます。GDS は、信ぴょう性のあるウィルスまたはマルウェアの脅威、および

WSUS セキュリティ更新が提供される時期をユーザー・コミュニティに通知する場合があります。


4.11 幹部による社内の監視オラクルの上級役員で構成される Oracle Security Oversight Committee (OSOC)は、オラクルのセ

キュリティおよびプライバシ・ポリシーおよびプログラムをレビューし承認します。Global Information Security (GIS)は、会社レベルでのセキュリティの監視および実施の責任を負う社内組織

です。また、GIS は、情報セキュリティのポリシーと戦略、情報セキュリティ評価、および研修と意

識向上プログラムの開発および管理の責任も負っています。GIS は、セキュリティ・インシデント対

応の主たる窓口であり、インシデントの防止、識別、調査および解決の全体的な方向性を指示します。

オラクルの個人情報保護管理責任者は、プライバシに関連する規制の問題を監視し管理します。オラ

クルのビジネス監査および評価組織が、オラクルの取締役会に対して責任を負い、すべての職務のコ

ンプライアンスを監査し、監査結果を報告します。

4.12 データの消去サービスが終了したとき、またはお客様の要望があった場合、オラクルは環境またはデータを、合理

的にアクセスしたり、読み取ったりできないようにする方法で削除します。ただし、オラクルが環境

またはデータのすべてまたは一部を削除しないようにする法的義務がオラクルに課せられた場合を除

きます。

4.13 物理メディアの輸送指定されているオラクルの担当者が、メディアを扱い、定義済の手順に従って、必要な場合のみ輸送

の準備を行います。デジタル・メディアは記録、暗号化されて、安全に輸送され、必要な場合はバッ

クアップ用に、サード・パーティのオフサイト・ベンダーによって保管場所にアーカイブされます。

ベンダーは、オラクルが定義したメディア保護の条件に準拠することを契約で義務付けられています。

4.14 データのプライバシオラクルの Data Processing Agreement for Oracle Cloud Services (Data Processing Agreement)およ

び Oracle Services Privacy Policy は、ほとんどのクラウド・サービスのプロビジョニングに関連して

アクセス権がオラクルに提供されている、Oracle システム内にあるデータ(個人情報(PII)を含む)のオ

ラクルの取扱いについて説明しています。Data Processing Agreement には、クラウド・サービスの

一環としてお客様がオラクルに提供する個人データの処理および管理について、特にオラクルとお客

様それぞれの役割にについて記載されています。


これらの文書は、次の場所で入手できます。

» Data Processing Agreement for Oracle Cloud Services

http://www.oracle.com/dataprocessingagreement » Oracle Services Privacy Policy

http://www.oracle.com/us/legal/privacy/services-privacy-policy-078833.html

4.15 サード・パーティの監査報告書 Oracle Cloud Services の監査報告書は、オラクルのサード・パーティの監査人によって定期的に公開

されていますが、報告書はすべてのサービスに対して、または常に入手可能というわけではありませ

ん。お客様は、特定の Oracle Cloud サービスに提供されている現在公開済の監査報告書のコピーを要

求できます。これらの報告書は機密事項であり、Oracle Cloud Services に適用される定義済のコント

ロールの設計および運用の有効性をお客様が評価するためだけに使用でき、無保証"AS-IS"で提供され

ます。


5. 共有アイデンティティおよびアクセス管理 Oracle Cloud は、PaaS、IaaS サービスを含むすべての Oracle Cloud サービスによって使用される共

有アイデンティティおよびアクセス管理ソリューションを提供しています。アイデンティティは、オ

ラクルのお客様が信頼できる、オラクルの PaaS および IaaS サービスへの安全なアクセスを提供する

中心的な機能です。ユーザー、サービスおよびアプリケーションを安全な方法で結び付ける Oracle Cloud 機能が共有アイデンティティです。

5.1 アイデンティティ・ドメイン、ユーザーおよびロール Oracle Cloud 内のテナントとは、Oracle Cloud の 1 つ以上のサービスにサブスクライブしているお客

様を表します。通常、Oracle Cloud のテナントとオラクルのお客様は 1 対 1 で対応しています。

Oracle Cloud 内のアイデンティティ・ドメインは、テナントに割り当てられているネームスペースを

表します。アイデンティティ・ドメインによって、テナントの資産が識別、関連付けされ、それにより、テナン

トのデータ資産およびトランザクションを他のテナントのものから分離できます。テナントの資産に

は、ユーザー、グループ、トークン、cookie およびポリシーなどのセキュリティ・アーティファクト

を含む、サブスクライブ済のサービスおよびデータ資産が含まれます。オラクルのお客様は、複数の

Oracle Cloud アイデンティティ・ドメインに関連付けることができます。

オラクルの共有クラウド・アイデンティティ管理ソリューションは、Oracle Cloud 内のサービスにサ

インインできるユーザーの認証および認可、ならびに、そのサービスに関連してアクセス可能な機能

を制御します。Oracle Cloud サービス・アカウントは、様々なサービス・タイプの複数のクラウド・

サービスを所有できる独自のお客様アカウントです。たとえば、単一の Oracle Cloud サービス・アカ

ウントの一部として、Java、Database および Infrastructure as a Service (IaaS)などの 3 つの異なる

サービスを所有できます。すべての Oracle Cloud サービスは、アイデンティティ・ドメインに属しま

す。複数のサービスを単一のアイデンティティ・ドメインに関連付けて、ユーザー定義と認証を共有

できます。アイデンティティ・ドメイン内のユーザーには、ドメインに関連付けられている各サービ

スに対して、様々なアクセス・レベルを付与できます。お客様が Oracle Cloud サービス・アカウントにサインアップすると、Oracle Cloud は、お客様に固有

のアイデンティティ・ドメインを作成します。お客様のユーザーがサービス・アカウントを使用して

Oracle Cloud サービスにログインすると、クラウド・アイデンティティ管理によって、ユーザー認証

が制御され、ユーザーがアクセスできるサービスの機能が制御されます。

アイデンティティ・ドメイン内のアクセス管理は、ユーザーおよびそのロールによって異なります。

管理ロールを持つユーザーは、ローカルのクラウド・アイデンティティおよびその権限を管理します。


アイデンティティ・ドメイン内には、管理対象の 2 つのタイプのユーザーがあります。

» 標準ユーザー: ユーザー・アカウントの追加、一連のユーザー・アカウントのインポート、

ユーザーへのロールの割当て、ユーザー・アカウントの変更、パスワードのリセットおよび

ユーザー・アカウントの削除を行います。 » SFTPユーザー: SFTP (Secure FTP)ユーザー・アカウントのパスワードを設定します。SFTPユーザー・アカウントは、Oracle Cloudサービスに関連するFTP操作を実行するためにSFTPサーバーにサインインする際に使用されます。

アイデンティティ・ドメイン内には、管理対象の 2 つのタイプのロールがあります。

» 事前定義されたロール: Oracle Cloudによって作成されたすべての事前定義済ロールのリスト

を表示し、選択したロールに割り当てられるユーザー・リストにリンクします。 » カスタム・ロール: Oracle Cloudサービスへのカスタマイズされたアクセスに作成したロール

を表示、追加および削除します。

サービス・アカウントがアクティブ化されると、Oracle Cloud によって、次のロールがお客様に自動

的に割り当てられます。

» アカウント管理者: アカウント管理者ロールは、サービス・インスタンス・レベルのものです。

このロールでは、1つ以上のOracle Cloudサービスを管理するためのいくつかの責務が付与さ

れます。アカウント管理者は、クラウド・ユーザー・インタフェース(UI)を通じたOracle Cloudアカウント管理の責任を負います。アカウント管理者は、1つ以上のアイデンティティ・

ドメインにわたるサービス・インスタンスのビジネスの監視の責任を負います。アカウント管

理者は、アカウント管理者が購入するサービスのサービス管理者およびアイデンティティ・ド

メイン管理者を指名できます。アカウント管理者は、個別のサービス・インスタンスのメト

リックを表示できます。 » アイデンティティ・ドメイン管理者: アイデンティティ・ドメイン管理者は、ユーザーおよび

そのロールを管理します。アイデンティティ・ドメイン管理者のビューは、管理対象として割

り当てられたアイデンティティ・ドメイン内のユーザーおよびロールに限られます。アイデン

ティティ・ドメイン管理者は、ドメインおよびサービス・レベルのすべてのロールを表示でき

ます。アイデンティティ・ドメイン管理者は、アイデンティティ・ドメインおよびドメイン内

のすべてのサービスの"スーパー管理者"です。アイデンティティ・ドメイン管理者は、他のア

イデンティティ・ドメイン管理者に権限を委任したり、サービス管理者に割り当てられている

ロールを管理したりできます。アイデンティティ・ドメイン管理者は、アイデンティティ・ド

メイン全体の管理責務を実行できます。 » サービス管理者: サービス管理者は、特定のサービス・インスタンスの"スーパー管理者"です。

サービス管理者は、追加のサービス管理者をロールに割り当てたり、サービスに関連付けられ

ているその他のロールを管理したりできます。ただし、サービス管理者は、ユーザーおよび

ロールを作成することはできません。


5.2 パスワードユーザー・アカウントにアクセスするには、必ずパスワードが必要です。アカウントを作成する際に

パスワードを指定し、その後クラウド UI からいつでも変更できます。

5.3 SAML 2.0を使用したシングル・サインオン会社の ID と自分のアイデンティティ・ドメインをフェデレートすることで、オンプレミスと Oracle Cloud 間のシングル・サインオン(SSO)を実現できます。SSO サービスにより、ユーザーは 1 つのド

メインにログインしたら、再度ログインすることなく他のドメインにアクセスできます。Oracle Cloud では、オープン・スタンダードの Security Assertion Markup Language (SAML) 2.0 を使用して、

ブラウザベースのアクセスに対するシングル・サインオンを実装できます。SSO サービスにより、あ

るドメインへのアクセスを、異なるドメインまたはオンプレミスのアイデンティティ・ストアに対し

て認証済のユーザーに提供できます。たとえば、Active Directory や Oracle Unified Directory などの

ローカル・ディレクトリを使用して、ユーザーをクラウドにログインさせる場合などがあります。

SSO サービスは、アイデンティティ・インフラのフェデレーション機能に基づいて構築されています。

SSO サービスでは、業界標準の SAML 2.0 を使用して、アイデンティティ・プロバイダとサービス・

プロバイダ間で情報をやりとりします。

Oracle Cloud アイデンティティ・インフラは、LDAP スキーマを使用してアイデンティティを格納し

ます。ほとんどのアイデンティティ管理システムと同様に、Oracle Cloud には、アイデンティティ・

ストアが含まれます。ユーザー、グループおよびロールの形式およびルールは、個別の LDAP ディレ

クトリ・スキーマによって決定されます。

5.4 ログイン管理アイデンティティ・ドメインでは、ユーザー・グループが分けられる場合があり、その場合のユー

ザーのアイデンティティは次のようになります。

» 非フェデレーテッド: 1つのローカル・アイデンティティ管理システムに格納されます。この

ユーザー・アイデンティティは、Oracle Cloudとのみ関連付けられます。結果として、Oracle Cloudにのみ認識されます。

» フェデレーテッド: 複数の異なるアイデンティティ管理システムにわたり格納され、様々なド

メインからのものです。フェデレーテッド・ユーザーは、管理者からアイデンティティを受け

取ります。これらのアイデンティティは、共有アイデンティティ管理(SIM)へのLDAPエクス

ポートを通じてOracle Cloudに認識されます。ただし、このユーザーは、Oracle Cloudに直接

ログインできません。かわりに、ログインするためのフェデレーテッド・サイトにリダイレク

トされます。その際、Oracle Cloud Single Sign-Onサービスが、アイデンティティ・プロバイ

ダからSAMLアサーションを取得します。SAMLアサーションには、アイデンティティ・プロ

バイダからのユーザー情報が含まれます。Oracle Cloud Single Sign-Onサービスは、SAMLアサーションを解析し、アイデンティティをアイデンティティ・ドメインにアサートします。


5.5 管理者のオンボーディング Oracle Cloud では、管理者のオンボーディングを簡単に行えます。Oracle Cloud アカウントにサイン

アップすると、電子メールが送信されます。電子メールを受信したら、アカウントをアクティブ化し、

関連付けられているクラウド・サービスに移動します。Oracle Cloud Web サイトからトライアル・サ

ブスクリプションのリクエストを開始します。トライアル・サブスクリプションをリクエストすると、次のロールが自動的に割り当てられます。

» Oracle Cloudサービスのアカウント管理者 » アイデンティティ・ドメインのアイデンティティ・ドメイン管理者 » サービスのサービス管理者

Oracle Cloud アイデンティティの概念の詳細な説明は、

https://docs.oracle.com/cloud/latest/trial_paid_subscriptions/OCUID/toc.htm を参照してください。


6. サービス固有のセキュリティ以降の項では、Oracle Compute Cloud Service、Oracle Storage Cloud Service、Oracle Network Cloud Service、Oracle Database Cloud Service、Oracle Database Exadata Cloud Service、Oracle Java Cloud Service および Oracle Management Cloud で提供されているセキュリティについて説明し

ます。

6.1 Oracle Compute Cloud Serviceのセキュリティインスタンスの分離

Oracle Compute Cloud Service では、Oracle Cloud インフラ上で仮想マシンを作成および実行できま

す。Oracle Compute Cloud Service は、オラクルのデータ・センター内のサーバー・インスタンスを

使用して、サイズ変更が可能な演算処理を提供します。

Oracle Compute Cloud Service 内のセキュリティは、複数のレベルで提供され、具体的には、ハイ

パーバイザ、ゲスト・オペレーティング・システム、動的ファイアウォール、トークンベースの APIコール、ユーザー権限およびインスタンスへの SSH ベースのセキュア・アクセスがあります。目標

は、お客様のワークロードおよびデータへの、承認されていないユーザーおよびシステムからのアク

セスを防止することです。

他の多くのクラウド・コンピュート・サービスと同様に、仮想化は、Oracle Compute Cloud Serviceの基盤です。仮想化についての多くのセキュリティに関する懸念は根拠のないものです。ハードウェ

アおよびソフトウェアでサポートされている複数の分離技術により、仮想化関連のリスクに対応して

います。

最初の技術は、命令分離です。Intel VT-x および AMD-V の双方とも、仮想マシン・モニターを有効に

し、直接実行のために CPU を仮想マシンに与えますが、これは仮想マシンが特権命令の実行を試行

するまでです。その時点で、仮想マシンの実行は一時停止され、CPU は仮想マシン・モニターに戻さ

れます。

CPU 命令分離に加えて、ハイパーバイザも、物理メモリーおよび、ディスクを含む物理デバイスの仮

想化により、メモリーおよびデバイスの分離を提供します。物理リソースのこの明示的な仮想化によ

り、ゲスト OS とハイパーバイザ間が明確に分離され、その結果セキュアなコンピュート環境が実現

されます。したがって、同じ物理マシンで稼働している異なるお客様のインスタンスは、ハイパーバ

イザを介して互いに分離されます。


オラクルのマルチテナントの Elastic Compute サービスでは、前述のとおり、論理テナント分離が仮

想化によって実現されています。オラクルは、Dedicated Compute ソリューションも提供しており、

これは、完全に分離された Elastic Compute サービスです。Dedicated Compute サービスは専用の物

理サーバーおよびコア、ならびにオラクルのデータ・センター内のネットワークを提供します。した

がって、お客様は、IO、CPU およびネットワークの完全な分離を得られます。Dedicated Computeサービスでは、Elastic Compute サービスで使用されている仮想化テクノロジと同じものが使用され

ます。

Elastic Compute サービスでは、API ネームスペース分離も提供し、リソースがアカウント間で誤用さ

れないようにします。

ゲスト・オペレーティング・システム

お客様は、インスタンス全体の完全な管理アクセス権およびルート・アクセス権を持ちます。オラク

ルは、お客様のインスタンス内のお客様データへはアクセスしません。オラクルは、SSH の使用をサ

ポートしており、お客様およびそのユーザーが Oracle Linux インスタンスに安全にログインできるよ

うにしています。ユーザーごとに独自の SSH 鍵ペアを生成することをお薦めします。これらの鍵は、

オラクルまたは他の組織と共有しないでください。

セキュリティ更新も含め、ゲスト OS の更新およびパッチ適用は、お客様が管理します。オラクルが

提供する Oracle Linux マシン・イメージは、最新のパッチにより定期的に更新されます。

SSH を使用したインスタンスへのセキュア・アクセス

オラクルは、SSH ネットワーク・プロトコルの使用をサポートしており、Oracle Linux インスタンス

に安全にログインできるようにしています。オラクルが提供する Oracle Linux イメージを使用してイ

ンスタンスを作成した場合、SSH を使用して opc ユーザーとしてインスタンスにログインできます。

このユーザーは、オラクル提供の Oracle Linux インスタンスを使用して作成されたインスタンスにお

けるデフォルト・ユーザーです。

コンピュート・インスタンスを作成する前に、少なくとも 1 つの SSH 鍵ペアを生成し、SSH 公開鍵

をアップロードする必要があります。既存の SSH 公開鍵は、無効化、有効化および削除できます。

インスタンスにログインした後、インスタンスにユーザーを追加できます。これを行うには、新規

ユーザー用の新規の SSH 鍵ペアを生成し、インスタンスにログインして、ルート・ユーザーになる

必要があります。次に、新規ユーザーを作成して、SSH 公開鍵を新規ユーザーに関連付けることがで

きます。


動的ファイアウォール

Oracle Compute Cloud Service は、インスタンスのネットワーク・トラフィックを制御する完全な

ファイアウォール・ソリューションを提供します。ファイアウォールは、デフォルトのすべて拒否

モードで構成されます。これは、インスタンスを作成した時点では、デフォルトで、他のインスタン

スまたは外部ホストとのネットワーク・トラフィックはすべて許可されないことを意味します。他のインスタンスおよび外部ホストの両方から Oracle Compute Cloud Service インスタンスへのネッ

トワーク・アクセスに対する粒度の高い制御を実装できます。ファイアウォールは、グループ単位で

構成でき、これにより、様々なインスタンス・クラスが異なるルールを持つことができます。

一部のインスタンス間で制限なしの通信を有効にする場合(たとえば、開発環境をホストするすべての

インスタンスが相互に通信できるようにするなど)、セキュリティ・リストを作成し、そのセキュリ

ティ・リストにインスタンスを追加できます。インスタンスをセキュリティ・リストに追加すると、

インスタンスは、同じセキュリティ・リスト内にある他のすべてのインスタンスと通信できます。デ

フォルトで、セキュリティ・リストにあるインスタンスは、セキュリティ・リストにないホストから

分離されます。このデフォルトは、セキュリティ・ルールを作成することで上書きできます。各セ

キュリティ・ルールでは、通信が許可される特定のソース、宛先およびプロトコルとポートの組合せ

が定義されます。セキュリティ・ルールは、実質的にはファイアウォールのルールです。これを使用

して、異なるセキュリティ・リストにある Oracle Compute Cloud Service 間、およびインスタンスと

外部ホスト間のトラフィックを許可します。セキュリティ・ルールに指定されているソースおよび宛

先は、セキュリティ IP リスト(つまり外部ホストのリスト)またはセキュリティ・リストのいずれかで

す。セキュリティ・アプリケーションは、セキュリティ・ルールで使用できる、プロトコルとポート

のマッピングです。ポート・タイプおよびポートを指定してセキュリティ・アプリケーションを作成

するか、セキュリティ・ルール内の事前定義済のセキュリティ・アプリケーションのいずれか(SSH、 HTTPS、SNMP-TCP など)を使用できます。例として、一連の外部ホスト(セキュリティ IP リストで

指定)から、セキュリティ・リスト内のすべてのインスタンスへのポート 22 を介した SSH アクセスを

許可するセキュリティ・ルールを設定できます。

Web コンソールを使用してインスタンスを作成する際、インターネット上のホストからの SSH アク

セスを許可するようにインスタンスを構成するよう指定できます。このオプションを選択すると、イ

ンスタンスはデフォルト・セキュリティ・リストに追加され、デフォルト・セキュリティ・リスト内

のインスタンスへの SSH アクセスを有効化する、DefaultPublicSSHAccess と呼ばれるセキュリ

ティ・ルールが作成されます。インスタンスの作成中に SSH アクセスを有効化せず、後でインスタ

ンスへの SSH アクセスを有効化するには、セキュリティ・リストを作成して、それにインスタンス

を追加し、SSH トラフィックを許可するセキュリティ・ルールをセキュリティ・リストに設定する必

要があります。次の図は、次の通信パスを示しています。

» セキュリティ・リスト-a内のインスタンスは、セキュリティ・ルール-aによって定義されてい

るように、任意のプロトコルで、セキュリティ・リスト-b内のインスタンスにトラフィックを

送信できます。


» セキュリティ・リスト-a内のインスタンスは、セキュリティ・ルール-bで定義されているよう

に、インターネット上の任意のホストからのHTTPSトラフィックを受信できます。 » セキュリティ・リスト-b内にあるインスタンスは、セキュリティ・ルール-cに定義されている

ように、セキュリティIPリスト-aで指定されている任意のIPアドレスからSSHを介してトラ

フィックを受信できます。

セキュリティ・ルールがセキュリティ・リストに定義されていない場合、デフォルトで、セキュリ

ティ・リスト内のインスタンスはセキュリティ・リストにないホストからのトラフィックを受信でき

ません。ただし、セキュリティ・リスト内のインスタンスは、同じセキュリティ・リスト内の他のイ

ンスタンスにはアクセスできます。セキュリティ・リストからインスタンスを削除すると、インスタ

ンスは、そのセキュリティ・リスト内の他のインスタンスとは通信できなくなり、そのインスタンス

と送受信するトラフィックは、そのセキュリティ・リストに定義されたセキュリティ・ルールでは制

御されなくなります。セキュリティ IP リストでは、セキュリティ・ルール内のソースとして使用でき

る一連の IP アドレスが指定されます。セキュリティ IP リストまたはセキュリティ・リストは、複数

のセキュリティ・ルールで使用できます。ポリシーが競合する場合、最も厳しいポリシーが優先され

ます。

インスタンスをインターネットに接続し、予約された IP を使用してどこからでも Oracle Cloud リ

ソースにアクセスできます。


API アクセス

Oracle Compute Cloud Service は、インスタンスおよび関連するリソースをプログラムでプロビジョ

ニングし管理するために使用できる REST アプリケーション・プログラミング・インタフェース(API)を提供しています。Oracle Compute Cloud Service への API コールは、基本認証(ユーザー名とパス

ワード)またはトークンベースの認証を使用して行うことができます。認証リクエストが成功すると、

30 分間有効である認証トークンを含む cookie がサーバーから返されます。API コールを行うクライ

アントは、API コールにこの cookie を必ず含める必要があります。認証トークンの有効期限は、

refresh_token コマンドを実行してから、5 分間延長できます。トークンをリフレッシュすると

セッションは延長されますが、セッションの有効期間を超えることはありません。セッションは 3 時

間です。

ユーザーとロール

「MyServices ユーザー」ページを使用して、アイデンティティ・ドメイン管理者、サービス管理者、

ユーザー、ロールおよびパスワードを管理できます。(「共有アイデンティティおよびアクセス管理」

の項を参照してください。)

Oracle Compute Cloud Service では、次の事前定義済のロールを使用できます。

» TenantAdminGroup (アイデンティティ・ドメイン管理者): このロールが割り当てられている

ユーザーは、ユーザーおよびロール管理タスクなど、MyServicesアプリケーション内のすべて

のタスクを実行できます。 » Service-instance-name.Compute_Operations (サービス管理者): このロールが割り当てられ

ているユーザーは、Oracle Compute Cloud Serviceリソースを表示、作成、更新および削除で

きます。アイデンティティ・ドメイン管理者は、必要に応じて、このロールをOracle Cloud MyServicesで割り当てて、追加のサービス管理者を作成できます。ビジネスの継続性のために、

Compute_Operationsロールを持つユーザーを少なくとも2人作成することを検討してください。

このユーザーは、組織内のITシステム管理者である必要があります。 » Service-instance-name.Compute_Monitor: このロールが割り当てられているユーザーは、

Oracle Compute Cloud Serviceリソースを表示できます。アイデンティティ・ドメイン管理者

は、このロールを持つユーザーをOracle Cloud MyServicesで作成できます。

ブロック・ストレージ・セキュリティ

ストレージ・ボリュームは、インスタンスの永続ブロック・ストレージ領域を提供する仮想ディスク

です。Oracle Compute Cloud Service では、1GB から 2TB までのストレージ・ボリュームを作成で

きます。各 Oracle Compute Cloud Service インスタンスに最大 10 ストレージ・ボリュームをアタッ

チできます。ストレージ・ボリュームは、1 度に 1 つのインスタンスにのみアタッチできます。イン

スタンスへの 1 つ以上のストレージ・ボリュームのアタッチは、インスタンスの作成時またはインス


タンスの稼働中に後で行えます。インスタンスの作成後、ストレージ・ボリュームをアタッチまたは

デタッチして、インスタンスのブロック・ストレージ容量を簡単に拡大または縮小できます。ただし、

インスタンスの作成時にアタッチされたストレージ・ボリュームはデタッチできません。ストレージ

容量がインスタンスからデタッチされる際、またはインスタンスが削除される際、ストレージ・ボ

リュームに格納されたデータは失われないことに注意してください。

ストレージ・ボリュームへのアクセスは、ストレージ・ボリュームを作成した Oracle Cloud アカウン

ト、およびストレージ・ボリュームの表示またはアクセス権限を持つ Oracle Cloud ユーザーに制限さ

れます。これらのユーザーへのアクセスの付与は、Oracle Shared Identity Management を使用して作

成されたロールを通じて行う必要があります。(「共有アイデンティティおよびアクセス管理」の項を

参照してください。)Oracle Compute Cloud Service で、次のストレージ・ボリューム操作を実行する

にはロールを必要とします。

» ストレージ・ボリュームの作成およびアタッチ: ストレージ・ボリュームを作成して、インス

タンスにアタッチし、データやアプリケーションを格納するためのブロック・ストレージ容量

を提供できます。また、ストレージ・ボリュームをマシン・イメージに関連付けて、そのスト

レージ・ボリュームをインスタンスのブート・ディスクとして使用することもできます。この

タスクを実行するには、Compute_Operationsロールが必要です。 » ストレージ・ボリュームの詳細の表示: Webコンソールを使用して、ステータス、サイズおよ

びアタッチされるインスタンスなどのストレージ・ボリュームの詳細を表示できます。このタ

スクには、Compute_MonitorまたはCompute_Operationsロールが必要です。 » ストレージ・ボリュームの削除: ストレージ・ボリュームを削除する場合、そのストレージ・

ボリュームに保存されているすべてのデータおよびアプリケーションが失われます。ストレー

ジ・ボリュームに格納されているすべてのデータが確実に必要ない場合のみ、ストレージ・ボ

リュームを削除します。このタスクを実行するには、Compute_Operationsロールが必要です。

機密扱いの仮想マシン・ディスクの暗号化は、一般的に適正なセキュリティ・プラクティスです。任

意のゲスト内暗号化ソリューションを使用して、サード・パーティのゲスト内暗号化ソリューション

を使用する仮想マシン内のデータを暗号化できます。これらのソリューションのほとんどは、鍵管理

ポリシーの実装に使用できる鍵管理機能を提供しています。

6.2 Oracle Storage Cloud Serviceのセキュリティ Oracle Storage Cloud Service は、Infrastructure as a Service (IaaS)製品であり、非構造化データを格

納し、いつでもどこからでもアクセスするためのエンタープライズ・グレードの多層ストレージ・ソ

リューションを提供します。データ・バックアップ、アーカイブ、ファイル共有、およびログ、セン

サーにより生成されたデータおよび仮想マシン(VM)イメージなどの大量の非構造化データの格納に理

想的です。


Oracle Storage Cloud Service アーキテクチャは、可用性および冗長性の高いアーキテクチャです。

REST API を介して直接アクセスでき、また、NFSv4、クライアント SDK およびサードパーティ・ア

プリケーションを介して間接的にアクセスできます。オブジェクトが Oracle Storage Cloud Serviceに格納されている場合、データはデータ・センター内の複数のストレージ・ノード間で複製されます。

この複製の方針により、格納されたオブジェクト・データはハードウェア障害時にも存続し続けます。

次の図は、Oracle Cloud Storage Service のアーキテクチャの概要です。

オブジェクトへの読取りおよび書込みアクセス

Oracle Storage Cloud Service は、コンテナのフラット階層内にオブジェクトとしてデータを格納しま

す。オブジェクトは、通常、ファイルをアップロードすることで作成されます。これは、一時的な非

構造化データからも作成されます。オブジェクトはコンテナ内で作成されます。単一のオブジェクトは、最大 5GB のデータを保持できま

すが、複数のオブジェクトを関連付けて、5GB を超える連続データ保持できます。コンテナは、ユー

ザー作成リソースであり、コンテナに割当て量を指定しない限り、無制限のオブジェクト数を保持で

きます。コンテナはネストできないことに注意してください。

オブジェクトへの読取りおよび書込みアクセスは、コンテナのアクセス制御リスト(ACL)を介して制

御されます。各コンテナには、独自の読取りおよび書込み ACL を割り当てられます。デフォルトでは、

コンテナおよびオブジェクトへのアクセスはプライベート(つまり、コンテナを作成したユーザーのみ

がアクセス可能)ですが、読取りアクセスは必要に応じてパブリックにできます。


ストレージ管理者ロールを持つユーザーは、サービス・インスタンス内のすべてのコンテナへの読取

りおよび書込みアクセスを常に持ちます。管理者ではないすべてのユーザーは、指定のコンテナの

ACL の対象です。サービス・インスタンスのルート・パスはこの例外ですが、それは関連付けられて

いる ACL がないためです。このパスの場合、すべてのユーザーはコンテナのリストを取得できますが、

ストレージ管理者ロールを持つユーザーのみが、コンテナを作成または削除できます。

API アクセス

Oracle Storage Cloud Service にアクセスする主な方法は、OpenStack Swift に基づく RESTful Webサービスを介する方法です。サービスは、インターネットのどこからでも、いつでも任意のデバイス

からアクセス可能です。RESTful Web サービスをラップする Java ライブラリも使用可能です。サー

ビスの使用を開始するのに、特別なハードウェアは必要ありません。


「MyServices ユーザー」ページを使用して、アイデンティティ・ドメイン管理者、サービス管理者、

ユーザー、ロールおよびパスワードを管理できます。(「共有アイデンティティおよびアクセス管理」

の項を参照してください。)

Oracle Storage Cloud Service では、次の事前定義済のロールを使用できます。

» TenantAdminGroup (アイデンティティ・ドメイン管理者): このロールが割り当てられている

ユーザーは、ユーザーおよびロール管理タスクなど、MyServicesアプリケーション内のすべて

のタスクを実行できます。 » Storage.Storage_Administrator (サービス管理者): このロールが割り当てられているユー

ザーは、ユーザー管理を含めて、Oracle Storage Cloud Serviceインスタンスのすべてのタス

クを実行できます。また、このユーザーは、サービスの監視および管理、ユーザーへのロール

の付与、コンテナの作成および削除、ならびにコンテナのACLを変更できます。非従量制のサ

ブスクリプションの場合、ロール名はservice-instance-name.Storage_Administratorとなりま

す。 » Storage.Storage_ReadWriteGroup: このロールが割り当てられているユーザーは、ロールが

コンテナの読取りACLから削除されない限り、コンテナ内のオブジェクトを作成、読取り、変

更および削除でき、コンテナおよびコンテナ内のオブジェクトをリストできます。非従量制の

サブスクリプションの場合、ロール名はservice-instance-name.Storage_ReadWriteGroupとな

ります。 » Storage.Storage_ReadOnlyGroup: このロールが割り当てられているユーザーは、ロールが

コンテナの読取りACLから削除されない限り、オブジェクトを読み取り、コンテナをリストし、

コンテナ内のオブジェクトをリストできます。非従量制のサブスクリプションの場合、ロール

名はservice-instance-name.Storage_ReadOnlyGroupとなります。


オブジェクトの暗号化

オブジェクトは暗号化してから、Oracle Storage Cloud Service に送信できます。Java ライブラリま

たはその他の暗号化ソリューションを使用してこれを行えます。

Java ライブラリのクライアント側の暗号化機能を使用する場合、すべての暗号化は Java ライブラリ

内で行われ、暗号化はサービス内では行われません。サービス管理者ロール、またはコンテナの X-Container-Write ACL で指定されているロールを持つユーザーは、このタスクを実行できます。

Java ライブラリを使用している場合、Oracle Storage Cloud Service で作成したすべてのオブジェク

トに対して、独自の対称鍵が生成されます。Java ライブラリでは、対称鍵を使用して、データを暗号

化してから格納します。加えて、非対称鍵ペアを指定し管理する必要があります。データを暗号化し

た後、Java ライブラリは、非対称鍵を使用して、エンベロープ鍵として対称鍵を暗号化します。各オ

ブジェクトをダウンロードして再暗号化することなく、以前に使用していた鍵ペアを新規鍵ペア用に

ローテーションできます。エンベロープ鍵は、オブジェクト・データとともにメタデータとして格納

されます。

Java ライブラリを使用して、このような暗号化されたオブジェクトにアクセスすると、エンベロープ

鍵がまず取得され、指定された非対称鍵ペアを使用して復号化されます。次に、その結果の対称鍵が

使用され、オブジェクト・データが復号化されます。エンベロープ鍵はオブジェクト・メタデータで

あるため、これを削除または改ざんすると、暗号化されたオブジェクト・データはリカバリ不能にな

ります。このようなことが起こらないようにするには、クライアント側の暗号化済オブジェクトへの

書込みアクセスを制限することが最善の方法です。

Java ライブラリを使用してデータを暗号化する場合、データは REST API を通じてアクセスできない

ことに注意してください。これは、Oracle Storage Cloud Service がオブジェクト上でエンベロープ鍵をメタデータとして格納し、

オラクルは、エンベロープ鍵の抽出、復号化、およびオブジェクトの復号化の方法を公開していない

ためです。Java ライブラリを使用してクライアント側の暗号化によりオブジェクトを暗号化する場合、

その後は、Java ライブラリを排他的に使用して、暗号化済オブジェクトにアクセスする必要がありま

す。Java ライブラリなしでは、暗号化されたオブジェクトを復号化できません。

Java ライブラリの暗号化機能を使用する際は、2048 ビットの RSA 鍵ペアのみがサポートされ、オブ

ジェクト・データのみが暗号化され、オブジェクト・メタデータは暗号化されません。分割されたオ

ブジェクトは暗号化できません。暗号化機能を使用している間は、暗号化されていないオブジェクト

はダウンロードできません。


また、独自のエンベロープ暗号化ソリューションを使用して、データを暗号化してから、Oracle Storage Cloud Service にデータを格納することもできます。この場合、REST API を使用して、暗号

化されたオブジェクトにアクセスできます。

クライアント側の暗号化を使用する場合、暗号化鍵の生成、ローテーションおよびアーカイブを含む、

暗号化鍵のライフサイクルの管理の責任はお客様が負うことに注意してください。

Oracle Storage Cloud Software Appliance のセキュリティ

Oracle Storage Cloud Software Appliance は、Oracle Storage Cloud Service における簡単で安全、信

頼性の高いデータの格納および取得を促進する仮想アプライアンスです。データが Oracle Storage Cloud Service に格納されている間も転送されている間も保護された状態を維持するために、Oracle Cloud Storage Service にデータを格納する前に、Oracle Storage Cloud Software Appliance でデータ

の暗号化を有効にできます。

Oracle Storage Cloud Software Appliance 内のデータ暗号化は、対称鍵を使用して実行されます。こ

れは、アプライアンス上のデータベースに格納され、非対称公開/秘密鍵ペアを使用して暗号化されま

す。管理者は、非対称鍵をバックアップおよび格納し、これを使用して、暗号化されたデータをリカバリ

できます。

ファイルが Oracle Storage Cloud Software Appliance に格納される際、最初は当初の形式でローカ

ル・ディスク・キャッシュに格納されます。ファイルは暗号化されてから、Oracle Storage Cloud Service にアップロードされます。ファイルが Oracle Storage Cloud Service から取得される際、データがローカル・ディスク・キャッ

シュに移動するときに復号化されます。

ファイル・システムの暗号化を有効化するには、管理コンソールでファイル・システムを作成する際

に、「暗号化の有効化」チェック・ボックスを選択する必要があります。ファイル・システムの暗号

化を有効化すると、暗号化鍵を生成し、管理コンソールで鍵を指定できます。必要な場合、暗号化鍵

を変更できます。

コンテナ・レベルで暗号化を適用することで、暗号化する必要がある内容を制御できます。暗号化を

制御することで、機密性の高い資産のみを暗号化でき、ストレージの効率性を高められます。データ

がデータ・パスを通じて Oracle Storage Cloud Service と送受信される際に、組込みのデータ整合性

チェックが検証することで、シームレスなエンドツーエンドのデータ整合性を実現しています。


6.3 Oracle Network Cloud Serviceのセキュリティ Oracle Cloud は、幅広いネットワーク・サービスを提供し、論理的に分離されたネットワークの作成、

Oracle Cloud へのプライベート・ネットワーク接続の確立、および予測可能なパフォーマンスによる

確定的ルーティングの確立を実現しています。

Dedicated Compute 向けの Site-to-Site VPN

Oracle Cloud では、Oracle VPN ゲートウェイと、お客様のデータ・センターにインストールされた

ゲートウェイ間でセキュアな IPsec トンネルを構築することで、Oracle Compute Cloud Service ゾー

ンからのセキュアな接続を可能にしています。

Dedicated Compute 向けの Site-to-Site VPN には次の機能があります。

» Oracle Compute Cloud Serviceゾーンで複数のサイト間トンネルを設定できます。 » コンピュート・インスタンスに広範なIPアドレスを構成できます。 » インスタンスは、クラウド内の他のOracleサービスにアクセスできます。 » インターネット・アクセスのために外部IPアドレスを構成できます。 » お客様のデータ・センターとOracle Dedicated Compute Cloud間のすべてのデータは、128ビットAES対称鍵を使用して暗号化されます。

» VPNデバイスが、高可用性のためにクラスタとして構成されます。

Oracle Cloud REST API は、Site-to-Site VPN 用に次の 2 つのモデルをサポートしています。

» VPNゲートウェイ: VPNゲートウェイ・モデルは、VPNゲートウェイ機能を提供するネット

ワーク・デバイスを表します。ゲートウェイは、IPアドレス、ログイン情報、およびゾーンに

関連付けられているインタフェースのインタフェース名などの、デバイスにアクセスするため

の情報を保持します。


» VPNエンドポイント: VPNエンドポイント・モデルは、VPNトンネルのリモート・エンドのピ

アに接続されるVPNエンドポイントを表します。VPNエンドポイントは、VPNゲートウェイで

作成されます。このモデルには、ピアのIPアドレス、事前に共有済の使用鍵、このエンドポイ

ントを介してアクセス可能なルート、およびVPN接続が有効か否かなどの属性が含まれます。

Corente Cloud Services Exchange を使用したマルチテナント VPN

Oracle Network Cloud Service は、マルチテナント IPSec VPN ソリューションを提供します。これは、

ネットワーク・エッジに配置される分散仮想アプライアンスを使用し、ゼロタッチ・インストールで、

あらゆる IP ネットワークの仮想プライベート・ネットワークに安全なエンドポイントを提供します。

サービス・ゲートウェイは、お客様のデータ・センターにインストールされ、データ・センターと

Oracle Cloud 間の安全なエンドツーエンドの接続を構築します。

FastConnect ほとんどのエンタープライズ・アプリケーションは、レイテンシの変動または絶対的なレイテンシそ

のものに非常に敏感です。プライベート・クラウド上のアプリケーション(ハイブリッド・クラウド・モデルなど)で、一貫した

レイテンシ特性レベルが要求される場合、インターネットはそのレベルは達成できず、FastConnectが固定の一貫したレイテンシを提供することでこれに対応します。FastConnect は、お客様のデー

タ・センターと Oracle Cloud 間にプライベートな高帯域幅の接続を提供し、より予測可能なネット

ワーク・パフォーマンスを実現します。

大量のデータのインターネットでの転送は予測不能であり、結果として、パフォーマンスが大幅に低

下するか、バッチ・ジョブが時間内に完了しない場合があります。データ転送要件の高まりに応じて、

インターネット容量を企業ネットワークに追加すると全体のコストが上昇するもののリターンや全体

的なパフォーマンスの改善は限定されます。FastConnect は、Oracle Cloud のトラフィックをすべて

専用のパスにリダイレクトすることでこの問題を克服し、全体のパフォーマンスを向上させ、Equinix施設内にコロケーションされる際のレイテンシも削減します。オラクルは、Equinix Cloud Exchange経由の FastConnect のパートナ・エディションを提供しています。


Equinix Cloud Exchange 経由の FastConnect Partner Edition を使用する場合、次の前提条件を満たす

必要があります。

» サービスを使用する都市のEquinix IBXにコロケーションされているBGPによるレイヤー3ルー

ティングをサポートできるネットワーク機器が必要です。 » サービスを使用する都市のECX –L3との接続を確立する必要があります。 » 適切なポート速度が定義されたFastConnect Partner EditionのOracleオーダーが必要です(現在、

1Gbpsまたは10Gbps)。 » Equinix Cloud Exchangeとの接続を確立するための有効なIPアドレスおよび有効な自律システ

ム番号(ASN)が必要です。インターネット・サービス・プロバイダ(ISP)と連携するかいずれか

のレジストリを操作して、IPアドレスおよびASNを取得してください。

6.4 Oracle Database Cloud Serviceのセキュリティ Oracle Database Cloud Service は、クラウドで Oracle Database の強力な機能と柔軟性を提供します。

選択肢として、完全な管理コントロールを持つ専用のデータベース・インスタンス、およびオラクル

によって管理される開発/デプロイメント・プラットフォーム一式を持つ専用のプラガブル・データ

ベースがあります。このドキュメントでは、完全インスタンス・クラウド・サービスのセキュリティ

機能について詳細に説明します。

Oracle Database Cloud Service は、事前構成済で、Oracle Database 12c または Oracle Database 11g インスタンスを実行する専用の仮想マシンを提供します。Oracle Database Cloud Service は、汎

用でハイ・メモリーな仮想マシン・コンピュート・シェイプを提供し、本番ワークロードのデプロイ

または開発やテストであるかにかかわらず、あらゆるタイプのアプリケーションに Oracle Databaseの強力なすべての機能を提供します。Oracle Database Cloud Service は、クラウドで Oracle Database のすべての機能を必要とするビジネスに最適であり、一方、ルート OS および SYSDBA ア

クセスなどの完全な管理制御を保持できます。Oracle Database Cloud Service は、ポイントインタイ

ム・リカバリによるワンクリックの自動バックアップ、ワンクリック・パッチ適用およびワンクリッ

ク・アップグレードなど、データベースの管理がより簡単になる高度なクラウド・ツールを提供して

います。

Exadata Cloud Service は Oracle Database Cloud Service に似ています。この Exadata Cloud Serviceは、Exadata Engineered System のすべての特徴および機能をクラウド上で提供します。お客様は、超高速問合せを実現するストレージ・サーバーおよびフラッシュ・キャッシュ、卓越した

アップタイムおよび高可用性を実現するハードウェア冗長化、あらゆる本番ワークロードに適合する

柔軟なデプロイメント・オプションを利用できます。Exadata Cloud Service を使用すると、最初の

データベースを数時間で作成できます。これは、従来のオンプレミスであれば数週間から数か月か

かっていた作業です。UI を使用したシンプルなプロビジョニング、OS へのフル・アクセス、および

高度なクラウド・ツールによるパッチ適用、バックアップ、リカバリが可能なこのサービスは、お客

様が自信をもって本番ワークロードをデプロイできるプラットフォームとなります。


SSH ベースのアクセス

Oracle Database Cloud Service または Exadata Cloud Service インスタンスに関連付けられているコ

ンピュート・ノードでポートに安全にアクセスするには、トンネリングをサポートする Secure Shell (SSH)クライアント・ソフトウェアを使用します。Oracle Database Cloud インスタンスの作成時、

サービス・インスタンスのコンピュート・ノードへのネットワーク・アクセスがポート 22 の SSH 接

続で提供されます。

トンネリングをサポートするいくつかの SSH クライアントが無償で提供されています。Linux プラッ

トフォームで ssh ユーティリティを使用できます。Windows からデータベース・インスタンスにア

クセスするには、SSH トンネリングをサポートする、無償で提供されている SSH クライアント・プ

ログラムである PuTTY を使用できます。SSH トンネルが Linux または Windows で作成された後、シ

ステムで localhost:local-port (local-port は、トンネルの作成時に指定されたソース・ポー

ト)を指定してターゲット・コンピュート・ノードのポートにアクセスできます。MacOS は、デフォ

ルトで SSH がインストールされています。

Oracle クラウド・データベースを作成する際には、サービスに公開暗号化鍵を提供する必要がありま

す。この鍵には対応する秘密鍵があり、秘密鍵はお客様のみが持っています。これらの鍵を使用すること

で、クラウド・データベースへのアクセスが秘密鍵の所有者のみに制限されます。SSH を使用したア

クセスが試行されたが、一致する秘密鍵が提示されなかった場合、そのアクセスは拒否されてログに

記録されます。

データベース・インスタンスへのセキュアなアクセス

Oracle Database Cloud Service は、Oracle Compute Cloud Service を使用して、クラウド・データ

ベース・インスタンスにセキュアなネットワーク・アクセスを提供します。Oracle Compute Cloud Service コンソールを使用すると、クラウド・データベースに関連付けられているコンピュート・

ノード上のポートへのアクセスの有効化などの、ネットワーク・アクセス操作を実行できます。

Exadata Cloud Service では、ネットワーク・アクセスも UI によって制御されます。権限のあるユーザーは、このコンソールを使用して、サービスに出入りするネットワーク・アクセス

を許可できます。オラクルはこれらの鍵のコピーを持っていません。

ネットワークの暗号化および整合性

Oracle Database Cloud Service のお客様は、データベース・ネットワーク暗号化を使用して、クラウ

ド・データベースへの接続を保護できます。SSL/TLS により、暗号化を行い、オプションでデータ

ベース・ネットワーク接続の相互認証を構成できます。Oracle ネイティブ・ネットワーク暗号化

(SQLNet)により、暗号化を行い、伝送中のデータの変更や不正リプレイを防止するために、オプショ


ンで整合性チェックを実行できます。これらのネットワーク暗号化オプションは、Advanced Encryption Standard (AES)などの強力な暗号化をサポートしています。整合性チェックは、SHA-2 な

どの最新のハッシュ・アルゴリズムをサポートしています。

デフォルトで、Oracle Database Cloud インスタンスおよびデータベース・クライアントは、Oracleネイティブ・ネットワーク暗号化(SQLNet)および整合性チェック用に構成されています。データベー

ス・クライアントが、ネットワーク暗号化を使用しないように後で再構成された場合、この潜在的な

脅威はサーバー上で検出され、デフォルト・サーバー設定により接続は拒否されます。

保存データの暗号化

お客様が通常データを格納する、ユーザー作成のデータベース表領域は、Oracle Database Cloud Service 全体にわたってデフォルトで暗号化されます。SQL CREATE TABLESPACE コマンドまたはこ

のコマンドを実行するツールを使用して作成した新規表領域は、AES128 アルゴリズムを使用してデ

フォルトで暗号化されます。表領域データ・ファイルの暗号化は、Oracle Database Cloud Service の

Standard Edition をはじめとした全てのエディションおよびバージョンと Exadata Cloud Service で有

効化されます。

また、クラウド・データベースから生成された RMAN バックアップおよび Data Pump エクスポート

も暗号化できます。データベース内の最適化により、すでに暗号化済の表領域データはパス・スルーされるか、必要に応

じてデータ・ストリーム全体が暗号化されます。バックアップおよびエクスポートは、表領域暗号化

で使用された同じ鍵、パスワード、またはその両方で暗号化できます。

保存データの暗号化に使用されるマスター暗号化鍵は、クラウド・データベースによって自動的に作

成され、テナントごとの Oracle ウォレットに格納されます。現在の鍵は、お客様の承認済データベー

ス・セキュリティ管理者が SQL コマンドを使用して定期的にローテーションできます。過去のマス

ター鍵は、将来リストアする必要がある可能性のある暗号化済バックアップ用に Oracle ウォレットに

保管されます。多くのクラウド・データベースおよび増加する Oracle ウォレットを持つお客様は、

Oracle Key Vault(個別のライセンスが必要な製品)を使用して、暗号化鍵およびウォレットを一元的に

管理できます。Oracle Key Vault は、データ・センターで実行される、セキュリティが強化されたソ

フトウェア・アプライアンスであり、Oracle Cloud またはオンプレミスで稼働する暗号化されたデー

タベースに接続されます。


追加のセキュリティ制御

Oracle Database Cloud Service は、重要なクラウド・データの保護に使用できる追加のデータベー

ス・セキュリティ制御を数多く提供しています。このオプションの制御は、各データベースの一部で

あり、クラウド・データベースのプロビジョニングが完了した後に構成できます。

主要な制御機能として、ユーザー権限およびユーザー・ロールがあります。ベスト・プラクティスと

して、最小限のセキュリティ原則に従って、適切な権限およびロールのみをクラウド・データベー

ス・ユーザーに付与してください。別の主要な制御機能として、クラウド・データベースの監査があ

ります。監査を使用して、データベース操作のレコードを取得し、悪意のあるアクティビティを検出

する必要があります。監査を最大限に活かすには、Oracle Audit Vault and Database Firewall(個別の

ライセンスが必要な製品)をデプロイすることをお薦めします。これにより、監査情報を中央のオンプ

レミス・リポジトリに移動でき、そこで、データベース・アクティビティ・レポートを実行し、セ

キュリティ・アラートを生成できます。また、データベース・セキュリティ・ファイアウォール、お

よびインバウンド SQL 文を追跡できる監視機能も提供しており、不正なデータベース・アクティビ

ティを早期に警告でき、オプションとして、害が及ぶ前に脅威をブロックできます。特定のクラウ

ド・サブスクリプションおよびデータベース・リリースには、追加費用なしで使用できるセキュリ

ティ制御がさらに用意されています。これらは、Oracle Database Cloud Service で最も機密性が高い

または規制されているデータへのアクセス制限を構成できる予防的コントロールです。これらのコン

トロールの多くは、データベース領域内で独自のものであり、Oracle Database でのみ提供されます。

コントロール説明

含まれる (クラウド・サブスクリプション)

利用可能 (データベース・リリー

ス)

Enterprise Edition

High Perf. Extreme Perf.

Exadata Service

Oracle Database

12c

Oracle Database

11gR2

Advanced Security Data Redaction

問合せ結果の機密クラウド・データを、そ

れらがアプリケーションによって表示され

る前に改訂します。実行時の改訂を、低い

オーバーヘッドで、かつポリシーに設定さ

れた条件に従い、強制的に実行します。

はいはいはいはいはい

Database Vault

DBA などの強力なデータベース・ユーザー

および特権を持つアプリケーション接続か

ら受けるリスクを削減します。これらの特

権アカウントが実行できる操作を制限しま

す。実行時の条件や要因に基づいて強制さ

れます。


Label Security 米国国防総省のマルチレベル・セキュリ

ティ(MLS)の概念を実装し、機密性の異な

る行を同じ表に格納できるようにします。

グループ、コンパートメントおよび機密性

レベルにより、クラウド・データベース内

の行に明示的にラベルを付けます。



Real Application Security

軽量なデータベース・ユーザー・アカウン

ト(スキーマなし)および詳細なオブジェク

ト認可を定義するためのフレームワークを

アプリケーション開発者に提供します。開

発者は、Oracle Database 層でセキュリ

ティ・モデルを作成すると、複数のカスタ

ム・アプリケーションでこのモデルを再利

用できるようになります。


また、Oracle Database Cloud Service で実行されているデータベースを、Oracle Enterprise Manager 12c のオプション・パックである Oracle Data Masking and Subsetting Pack のデータ・ソースとして

使用できます。この重要なセキュリティ制御により、本番クラウド・データのサニタイズされたコ

ピーを、ビジネス・パートナが本番以外の環境(開発およびテスト・データベースなど)で使用するた

めに簡単に作成できます。Oracle Data Masking and Subsetting Pack のデータ・ソース・ライセンス

は、High Performance、Extreme Performance および Exadata Service サブスクリプションに含まれ

ます。Oracle Database 11g R2 または Oracle Database12c とともに使用できます。Oracle Databaseの最新セキュリティ情報は、次の URL を参照してください。 http://www.oracle.com/technetwork/database/security/overview/index.html

6.5 Oracle Java Cloud Serviceのセキュリティ Oracle Java Cloud Service は、Java EE アプリケーションを構築、デプロイおよび管理するための完

全なプラットフォームおよびインフラ・クラウド・ソリューションです。業界随一のアプリケーショ

ン・サーバーをエンタープライズ・グレードのクラウド・インフラで実行できます。プラットフォー

ムは、従来の環境およびクラウド環境全体で No.1 のアプリケーション・サーバーである Oracle WebLogic Server で強化されています。また、Oracle Coherence のキャッシュとデータ・グリッド層

を自身のデプロイメントに追加するオプションもあります。

お客様の環境は、パフォーマンス、スケーラビリティおよび信頼性を最大化する、オラクルのアプリ

ケーション・デプロイメントに関するベスト・プラクティスを使用して、あらかじめインストールお

よび構成されます。インフラは、Oracle Cloud Infrastructure as a Service で提供されるコア・セキュ

リティ機能と同じ機能を備えています。柔軟なコンピュートおよびストレージなどの機能により、

Oracle Java Cloud Service では、あらゆるワークロードを実行でき、アプリケーションを拡大する必

要性が生じたときは環境を拡張できます。

Oracle Java Cloud Service インスタンス内にデプロイされているすべてのアプリケーションは、オン

プレミス・インスタンス内の Oracle WebLogic Server のアプリケーション環境を保護し、セキュリ

ティを管理する方法と同じように保護されます。


デフォルト・セキュリティ構成は、デフォルト認証、認可、資格証明マッピングおよびロール・マッ

ピング・セキュリティ・プロバイダで構成されているユーザー、グループ、セキュリティ・ロールお

よびセキュリティ・ポリシーを利用します。デフォルトで、WebLogic Server セキュリティ・プロバ

イダがデフォルトのセキュリティ・レルムで構成され、 WebLogic Server 組込み LDAP サーバーが、

セキュリティ・プロバイダのデータ・ストアとして使用されます。

Oracle Java Cloud Service インスタンスでデフォルト・セキュリティ構成を使用するには、

WebLogic Server 管理コンソールを使用してセキュリティ・レルムのユーザー、グループおよびセ

キュリティ・ロールを定義し、セキュリティ・ポリシーを作成してドメイン内の WebLogic Server リソースを保護します。

デフォルト・セキュリティ構成では要件が満たされない場合、WebLogic Server とカスタム・セキュ

リティ・プロバイダを任意に組み合せて、新しいセキュリティ・レルムを作成できます。その後、そ

の新しいセキュリティ・レルムをデフォルト・セキュリティ・レルムとして設定します。本番アプリ

ケーションには、組込み LDAP サーバーではなく、Oracle Identity Management などのアイデンティ

ティ管理システムを使用することをお薦めします。


Oracle Java Cloud Service では、タスクおよびリソースへのアクセス制御にロールが使用されます。

Oracle Java Cloud Service アカウントの設定時、サービス管理者には、Java 管理者ロール、および関

連する Oracle Cloud サービスと連携するために必要なその他のロールが付与されます。Oracle Java Cloud Service にアクセスし使用するには、Java 管理者ロールと、必要に応じてその他のロールを持

つユーザー・アカウントを作成する必要があります。アイデンティティ・ドメイン管理者のみが、

ユーザー・アカウントを作成し、ロールを割当てできます。

Java 管理者ロールを持つユーザーは、サービス・インスタンスで多くの操作を実行できます(作成、

削除、開始、停止、拡張、パッチ適用、バックアップおよびリストアなど)。このユーザーは、サービ

ス・インスタンスのロード・バランサの管理、および Oracle Cloud 内のサービスの使用状況の管理も

行えます。

Oracle Coherence をサービス・インスタンスに有効化すると、Java 管理者は、サービス・インスタ

ンスから Oracle Coherence データ層を削除でき(REST API のみ)、Oracle Coherence データ層を既存

のサービス・インスタンスに追加できます(REST API のみ)。

Oracle Java Cloud Service インスタンスを作成すると、次の Oracle Compute Cloud Service VM およ

び Oracle WebLogic Server 管理ユーザー・アカウントが作成されます。


» VMオペレーティング・システム・ユーザーであるopcは、VM上で実行されるオペレーティン

グ・システムでのルート権限を持ちます。このユーザーは、Oracle Java Cloud Serviceインス

タンスへの直接VMレベル・アクセスのためにSSHを通じてVMに接続できます。opcユーザー

は、SSHインタフェースを介し、適切なOSツールを使用してVM上で他のOSアカウントを作

成できます。oracleユーザーは、マシンのログインには使用できません。このユーザーには、

マシンにインストールされているOracle製品を開始および停止するための通常のユーザー権限

しかありません。 » WebLogic Server管理者は、Oracle Java Cloud Service内のOracle WebLogic Serverを管理で

き、WebLogic Server管理コンソールにアクセスし、使用できます。WebLogic管理者は、組込

みLDAP内のユーザーやグループの管理の他、他のアイデンティティ・プロバイダの構成も行

えます。

WebLogic Sever 管理者アカウントおよび VM OS ユーザー・アカウントは、Oracle Cloud 内に格納さ

れず管理もされないことに注意してください。Oracle Java Cloud Service インスタンスを作成すると

きに、WebLogic Server 管理者のユーザー名およびパスワードを指定します。WebLogic Server 管理

者の資格証明および権限、ならびに WebLogic Server 管理者が作成したすべてのユーザー・アカウン

トは、Oracle WebLogic Server に格納され管理されます。WebLogic Server セキュリティ機能を使用

した Oracle Java Cloud インスタンスの保護についての詳細は、オンラインの WebLogic Server セキュリティ・ドキュメントを参照してください。

6.6 Oracle Management Cloudのセキュリティ Oracle Management Cloud (OMC)は、監視、管理および分析クラウド・サービスが統合された次世代

スイートです。リアルタイム分析と技術面およびビジネス面の詳細なインサイトの提供を可能にする、

スケーラブルなビッグデータ・プラットフォームを基盤としています。OMC を使用することで、お

客様はいくつもの情報サイロを解消し、アプリケーションの問題の解決を迅速化するとともに、IT を

ビジネスと同様に運営できるようになります。

OMC には、Oracle Application Performance Monitoring Cloud Service、Oracle Log Analytics Cloud Service、Oracle IT Analytics Cloud Service および Oracle Infrastructure Monitoring Cloud Service が

含まれています。お客様は、これらのサービスのうち 1 つ以上をサブスクライブできます。

サービス固有のデータは、Oracle Management Cloud の統一データ・プラットフォームにアップロー

ドされます。お客様は、このデータにグラフィカル・ユーザー・インタフェースまたはアプリケー

ション・プログラマブル・インタフェース(API)を介してアクセスし、ログを分析することでアプリ

ケーションのパフォーマンス監視と問題のトラブルシューティングを行ったり、IT インフラのキャパ

シティ・プランニングを実行したりすることができます。これらの OMC サービスは Oracle Cloud 上

で提供されます。セキュリティの観点では、これらは Software as a Service (SaaS)サービスに分類さ

れます。

OMC サービスは、保護された Oracle Cloud インフラ上で稼働します。この項では、その他の OMC固有のセキュリティ機能について説明します。


Oracle Management Cloud にアップロードされるデータのタイプ

お客様のアプリケーションおよびコンピューティング・インフラにあるデータは、Oracle Management Cloud エージェントを使用してアップロードされます。すべてのタイプのデータの収集

をお客様が明示的に有効化する必要があります。クラウド・サービス・エージェントは、実行時に

データ・ソースへの読取り専用アクセスを使用します。

Oracle Management Cloud にアップロードされるデータのカテゴリをいくつか次に示します。

» アプリケーション・パフォーマンス監視データ: これには、サービスによって監視されるアプ

リケーションのパフォーマンス統計が含まれます。 » ログ・データ: これには、お客様のコンピューティング・インフラ全体におけるアプリケー

ション、プラットフォームおよびインフラのログ・ファイルが含まれます。 » Oracle Databaseの自動ワークロード・リポジトリ(AWR): このOracle Databaseのパフォーマ

ンス統計は自動的に収集されます。 » Enterprise Managerデータ: このデータは、お客様のオンプレミスのEnterprise Manager Cloud

Controlによって監視されているアセットから収集されます。収集されたデータは関連リポジト

リに格納されます。このデータには、Enterprise Manager Cloud Controlによって管理されてい

るターゲットの構成データ、パフォーマンス・メトリックおよびイベント情報が含まれます。

クラウドへのエージェント接続

お客様のシステムと Oracle Management Cloud の間のトラフィックはすべて、TLS 暗号化を使用し

て保護されます。この暗号化は、エージェントによってネットワーク経由で送信されるデータと Webベース・アプリケーションへのユーザー・アクセスに適用されます。

Oracle Management Cloud エージェントは、保護された HTTPS プロトコルを使用してインターネッ

ト経由で Oracle Management Cloud に接続します。そのため、お客様のデータ・センターから

Oracle Management Cloud までの間に必要なのはアウトバウンドの HTTPS 接続のみになります。し

たがって、複雑な VPC/VPN 設定は必要ありません。

また、Oracle Management Cloud エージェントのアウトバウンド接続は、お客様のデータ・センター

から Oracle Management Cloud への出口点となる Oracle Management Cloud ゲートウェイ・サー

バーを介してルーティングできます。ゲートウェイ・サーバーは、お客様の内部ネットワークとパブ

リック・インターネットへのアクセスが可能なネットワーク・ゾーンにデプロイできます。これによ

り、Oracle Management Cloud によって管理されるすべてのサーバーを、アウトバウンドのインター

ネット・アクセスなしでお客様の内部ネットワークに引き続き安全にデプロイすることが可能になり

ます。


データの分離

各お客様のデータは、Oracle Cloud サービスのマルチテナント・インフラ内で分離されます。これは、

業界をリードするオラクルのマルチテナント・データベースにも当てはまります。ファイルに格納さ

れたデータはお客様ごとに区分されます。各お客様のネットワーク・トラフィックは、別々の URL、ルーティング・ルール、アクセス制御を使用して論理的に分離されます。データの分離は、バック

アップのようなアーカイブ・データ・ストアでも維持されます。

アイデンティティおよびアクセス管理

Oracle Management Cloud にアクセスするユーザーはすべて、Oracle Cloud の共有アイデンティティ

およびアクセス管理ソリューションを使用して保護されます。

マシン・データを Oracle Cloud へ自動的にアップロードするために使用されるクラウド・エージェン

トも認証されます。エージェントのアイデンティティは、Oracle Management Cloud によって発行さ

れるお客様別のキーおよびトークンを使用して検証されます。これらのキーおよびトークンは、お客

様がエージェントを無効にすればいつでも取り消すことができます。

API アクセス

Oracle Management Cloud では、データ・アクセス用の RESTful API を公開しています。API はすべ

て、HTTPS を使用してセキュリティが確保され、認証によって保護されています。さらに、お客様

が API にアクセスする際は、自身に発行された一意の識別子を指定する必要があります。すべての

API コールが認証されます。


7. セキュアなクラウド・サービス設計のためのオラクルのアプローチ Oracle Cloud Services 開発プロセスは、Oracle Software Security Assurance (OSSA)プログラムに

従っています。OSSA は、サービスの設計、構築、テストおよび保守にセキュリティを組み込むオラ

クルの手法です。

初期のアーキテクチャの検討からサービスのリリース後まで、クラウド・サービス開発のすべての側

面においてセキュリティが考慮されています。オラクルが実践しているセキュアなソフトウェア開発

フェーズの概要を次に示します。

» 設計フェーズ: セキュリティ原則に関するセキュリティ・トレーニングおよびオラクルのセキュ

ア・コーディング・スタンダードを活用し、エンジニア、アーキテクトおよび製品マネージャは、

最適なセキュリティの決定を下します。アーキテクチャのリスク分析のミーティングにおいて脅威

の評価を行うことで、可能な限り開発ライフサイクルの早い段階での潜在的なセキュリティの問題

の特定を図っています。 » コーディング・フェーズ: セキュア・コーディング・スタンダードおよびパターンの使用を通じて、

標準的な脆弱性タイプに対処しています。このフェーズでは、静的なコード分析ツールを使用して、

セキュリティの欠陥を識別し、サービスがテスト・フェーズに進む前にセキュリティに関する重大

な検出結果をすべて修正します。 » テスト・フェーズ: 社内のセキュリティの専門家および独立したセキュリティ・コンサルタントが

オラクルの社内ツール、動的分析およびファズ・テストのためのサード・パーティ・ツールおよび

手動テストにより、潜在的なセキュリティの問題を識別しています。 » サービス・リリースの前: クラウド・サービスをリリースする前に、オラクルは、開発した機能が

オラクルのクラウド・セキュリティ要件を満たしていることを検証しています。独立したセキュリ

ティの専門家に、製品に潜在的なセキュリティの問題がないか、評価とモニターを依頼しています。

OSSA の詳細は、Oracle Software Security Assurance のオンライン・ドキュメントを参照してくださ

い。


8. 結論お客様データの保護は、オラクルのクラウド・インフラおよびサービスすべての設計における最も重

要な検討事項です。Oracle Cloud は、お客様がミッションクリティカルなエンタープライズ・ワーク

ロードを実行しデータを格納するために使用する安全なインフラおよびプラットフォーム・サービス

を提供するために開発されました。お客様のデータを保護し、お客様が安全なプライベート・クラウ

ド・ソリューションを構築するための正しいセキュリティ哲学、戦略、実証済の専門知識およびリ

ソースをオラクルは有していると確信しています。オラクルは、最も安全なパブリック・クラウド・インフラおよび信頼できるクラウド・サービスの開

発のためにセキュリティ機能への継続的な投資に全力で取り組んでいます。このセキュリティ機能に

より、オラクルのお客様に有効で管理しやすいセキュリティを提供し、より安心なワークロードの実

行、および信頼できるハイブリッド・クラウド・ソリューションの構築を実現します。

Oracle Corporation, World Headquarters Worldwide Inquiries

500 Oracle Parkway Phone: +1.650.506.7000

Redwood Shores, CA 94065, USA Fax: +1.650.506.7200


Copyright © 2016, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記載さ

れている内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、口述に

よる明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、いかなる

他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、本文書によっ

て直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得ることな

く、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。 Oracle および Java はオラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である

場合があります。 Intel、Intel Xeon は、Intel Corporation の商標または登録商標です。すべての SPARC の商標はライセンスをもとに使用し、

SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMD ロゴ、AMD Opteron ロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIX は、The Open Group の登録商標です。0116 Oracle Infrastructure and Platform Cloud Services Security 2016 年 11 月

オラクル社とつながる

blogs.oracle.com/oracle

facebook.com/oracle

twitter.com/oracle

oracle.com

oracle infrastructure and platform cloud services …...2.oracle cloud services:...

Documents