クラウドポスチャー管理の「Oracle Cloud Guard」は新たにERP/HCM SaaSの設定監視にも対応
オラクル、パロアルトNGFW技術などで「OCI」セキュリティを強化
2022年05月26日 07時00分更新
オラクルは2022年5月25日、「Oracle Cloud Infrastructure(OCI)」のビルトイン(内蔵)セキュリティサービス/機能の強化拡充を発表した。パロアルトネットワークスの次世代ファイアウォール(NGFW)技術を採用した新しいファイアウォールサービス「OCI Network Firewall」のほか、セキュリティポスチャー管理ツールの「Oracle Cloud Guard」や高機密環境「Oracle Security Zones」の機能強化など5つを発表している。
新サービス「OCI Network Firewall」など、OCIのビルトインセキュリティを強化する発表(画像はオラクルYouTube動画より、以下同様)
記者向けの説明を行った、米オラクル OCI Security担当SVPのマヘッシュ・シアガラジャン(Mahesh Thiagarajan)氏
記者向けの説明を行った米オラクル OCI Security担当SVPのマヘッシュ・シアガラジャン氏は、今日のクラウドセキュリティにおける課題を次のように語る。
「クラウド環境の複雑化が進んだために(従来型の)セキュリティツールが分断され、高額なコストもかかるようになっている。管理が難しく、十分なスキルを持つ人材の確保も難しい。しかも、オンプレミス環境とクラウド環境の両方でセキュリティを管理しなければならない」(シアガラジャン氏)
そこでオラクルでは、あらゆるプラットフォームにあらかじめビルトインされたセキュリティ機能を提供する方針をとっている。「シンプルで管理がしやすく、常に有効(Always-On)で、規範的(prescriptive)なアプローチ」が特徴だと説明する。
今回発表された5つも、こうした方向性に沿ってセキュリティを強化するものとなっている。
OCI Network Firewallは、パロアルトネットワークスの「VM-Series」NGFWテクノロジーを採用したマネージドファイアウォールだ。OCIでホストされている顧客ワークロードに対するインバウンド/アウトバウンド/ラテラル(横方向)の各トラフィックに対して、URLフィルタリングやIDS/IPS、TLSインスペクションなどのセキュリティ制御/防御機能を提供する。OCIのマーケットプレイスから購入し、専用インフラを構成することなく、OCIのコンソール経由で管理ができるなど、ターンキーサービスとしてOCIに統合されている点も特徴。
OCI Network Firewallの概要
ファイアウォールの設定や管理はすべてOCIのコンソールに統合されている
ユーザーの設定ミスによるセキュリティリスクの発生、ポリシー違反を継続的に監視/検知するポスチャー管理ツールのOracle Cloud Guardでは、「Oracle Cloud Guard Fusion Applications Detector」機能を追加。従来のIaaS/PaaS(OCI)に加えて、新たにSaaS(Oracle Cloud Applications)まで監視対象を拡大した。特権ユーザーや重要なロール、機密性の高いデータに対するアクセス権限の追加/変更/削除に対してアラートを発する。まずは「Oracle HCM Cloud」「Oracle ERP Cloud」で利用可能になる。
Cloud Guardによるポスチャー管理の対象を、Oracle Clooud Applications(SaaS)群まで拡大
Oracle Cloud Guard Threat Detectorも追加されている。これはCloud Guardの新たな脅威検出レシピであり、ユーザーのふるまいなどに対する継続的な監視と機械学習/データサイエンスの適用、MITRE ATT&CKフレームワークの参照によって、脅威のトリアージを自動化する。これにより膨大なアラートに悩まされることなく、真のセキュリティ脅威をいち早く検出することが可能になる。
Oracle Cloud Guard Threat Detectorの概要
機密性の高いワークロードやデータを配置するための高機密環境(コンパートメント)を提供するOracle Security Zones(旧称:Oracle Maximum Security Zones)では、新たにユーザー定義のカスタムポリシーセットが作成できるようになった。このポリシーに対してCloud Guardのポスチャー監視を適用することも可能で、セキュリティを弱める可能性のある設定を防止する。
Oracle Threat Intelligence Serviceは、今回新たに提供を開始するサービスとなる。オラクル独自のテレメトリ、オープンソースの情報フィード(abuse.ch、Tor出口リレーなど)、CrowdStrikeのようなサードパーティパートナーなど、多数の脅威情報ソースからインテリジェンスデータを収集し、オラクルのセキュリティリサーチャー、脅威情報チームがそれらをまとめ、管理する。この脅威インテリジェンスは、Oracle Cloud GuardなどのOCIサービスにおいて、脅威の検出や予防のための実用的なガイダンスを提供するという。
上記5つの新サービス/機能は、OCI Network Firewallを除いてOCIユーザーに無償で提供される。
