Oracle Cloudやサードパーティクラウドと連携し、クラウド環境のセキュリティを守る

オラクル、ID管理とCASBのクラウドセキュリティサービス提供

2017年01月31日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　日本オラクルは1月30日、クラウド型のID管理サービス「Oracle Identity Cloud Service」の提供開始を発表した。同日の説明会では、昨年9月に買収したCASB（キャスビー、Cloud Access Security Broker）をラインアップ統合した「Oracle CASB Cloud Service」も含め、クラウド環境のセキュリティに対するオラクルの取り組みが紹介された。

今回提供開始した「Oracle Identity Cloud Service」の特徴

日本オラクル執行役員クラウド・テクノロジー事業統括 Fusion Middleware 事業本部長の本多充（まこと）氏

同社クラウド・テクノロジー事業統括 Fusion Middleware 事業本部副事業本部長の古手川忠久氏

オンプレミス／サードパーティクラウドとも連携するID管理サービス

　Oracle Identity Cloud Serivece（IDCS）は、オラクルが提供する各種SaaS/PaaS/IaaS、およびグーグルやマイクロソフト、セールスフォース・ドットコム、ボックス、ワークデイなどのビジネス向け主要クラウドサービスに対応するクラウド型ID管理サービス。

　オンプレミスに設置された「Microsoft Active Directory」サーバーや「Oracle Identity Management（OIM）」と連携し、ユーザー／グループなどのID情報をオンプレミス／クラウドで同期するハイブリッド構成も可能だ。各環境をシングルサインオン（SSO）でつなぐこともできる。

IDCSを通じて、Oracle Cloudとサードパーティクラウド、さらにオンプレミスを統合的に管理し、SSO化することができる

　IDCSでは業界標準の認証規格（SAML 2.0やSCIM、OAuth 2.0、OpenID Connect）に準拠しており、オラクルがカタログに登録済みのサードパーティクラウドだけでなく、APIを通じて顧客のカスタムアプリにも認証連携させることができる（対応ツールも今後提供を予定）。

　また、ID／パスワードだけでなく、ユーザーが保有するモバイルデバイス（ワンタイムパスワード）や地理情報、ネットワーク情報、日時などの要素を組み合わせた多要素認証を実現する。セルフサービス型でのユーザーパスワードリセット機能もある。

カタログ登録されている主要クラウドアプリケーションは簡単に連携できるほか、APIを介してカスタムアプリケーションとの連携も可能

　なお、現在のIDCSが備える機能は基本的なものだけで、OIMのようにオンプレミスのオラクル製品との認証連携はできない。オラクルでは今後、さらに機能を強化していく方針。

　IDCSのライセンス価格（いずれも税抜）は、Oracle Cloudの認証にのみ対応する「IDCS Basic」と、サードパーティクラウドにも対応する「IDCS Standard」に分かれている。社内従業員の場合、IDCS Basicは1ユーザーあたり月額120円、IDCS Standardは同480円。また、BtoB/BtoCサービスで利用できる非従業員向けIDCS Standardライセンスは、同2.4円となっている。

　日本オラクル執行役員の本多充氏は、IDCSは価格競争力のあるサービスであり、ターゲットとしては、すでにOIMをオンプレミス導入している顧客におけるクラウドサービスのID管理、また“クラウドファースト”で考えている新しい企業でOracle Cloudとサードパーティクラウドを両方使っている企業でのID管理、という2つが考えられると述べた。

オラクル版のCASBも提供開始

　もう1つのOracle CASB Cloud Serviceは、昨年9月にオラクルが買収を発表したPalerraの「LORIC」をOracle Cloudのラインアップに統合したサービスとなる。

「Oracle CASB Cloud Service」の特徴。大きく4つの機能を提供する

　CASBは、自社内における各種クラウドサービスの利用状況やクラウドに持ち出されているデジタルコンテンツなどを可視化し、ポリシー違反やコンプライアンス違反、セキュリティ脅威の発生を防ぐためのソリューション。

　Oracle CASBは、現時点ではグーグルやマイクロソフト、AWS、セールスフォース、Boxなどの主要サードパーティクラウドに対応している（Oracle CloudのSaaS/PaaS/IaaSには今後対応予定）。これらのクラウドサービスからAPI経由でログを収集、利用状況などを分析して、機械学習なども援用しながら、脅威発生の防止や対応をポリシーベースで自動化する。

Oracle CASBを通じてポリシーベースの自動監視／検知／制御を実現する

　日本オラクルの古手川忠久氏は、他社CASBの多くはプロキシベースのアーキテクチャで、直接クラウドへのトラフィックを検査するためレイテンシやパフォーマンスの問題が生じうるが、Oracle CASBはAPI経由でイベントログを取得する方式のため、そうした問題は発生しないことを説明した。

　その一方で、トラフィックそのものを検査しない方式のため、“シャドーIT”（無許可利用されているクラウドサービス）のディスカバリや、ポリシー違反のデータ持ち出し（個人情報など）の防止などに関しては、現時点では難しい。この点については、今後、連携クラウドサービスが提供するAPIがどれだけ充実してくるかによるとしている。

オラクルのCASB（左）は、他社CASB（右）のようにクラウドトラフィックを直接検査する方式ではなく、レイテンシやパフォーマンスへの影響がないと説明した

　Oracle CASBの利用価格は、SaaS対応版が1ユーザーあたり月額600円。またIaaS対応盤は1アカウントあたり月額10万8000円としている。

　本多氏は、企業顧客においてもクラウドサービスに対するセキュリティ懸念が薄れ、むしろ「オンプレミスよりもパブリッククラウドのほうがセキュア」だという意識に変わりつつあると説明。オラクルでは、すでに提供しているDBセキュリティと今回のID管理、CASB、そして今後提供予定のセキュリティ監視／アナリティクス、コンプライアンス監視、API管理を加え、6つのクラウド型セキュリティサービスを提供していく計画であると語った。