次世代のクラウドセキュリティ「Zero Trust Packet Routing(ZPR)」も紹介
複雑化するデータセキュリティ要件への対処、OCI担当幹部が説明
2023年11月28日 08時00分更新
日本オラクルが2023年10月末に東京で開催した年次イベント「Oracle Technology Day」。OCI(Oracle Cloud Infrastructure)担当CISO兼VPのアダム・ラッセル氏が、「OCIのセキュリティとデータ保護戦略 ~ 3つの原則とその実装」と題した講演を行った。
ラッセル氏は、データのセキュリティとプライバシーをめぐって各国/地域における法規制強化などのめまぐるしい変化が起きる中で、オラクルがどのようなアプローチをとっているのかを説明し、その実現のためにOCIで追加した新機能群を披露した。
さらに、今年9月の「Oracle CloudWorld」で発表した、ネットワークセキュリティの新たなオープンスタンダード確立を目指す「Zero Trust Packet Routing(ZPR)」の取り組みと、OCI上での実装である「Oracle ZPR Platform」も紹介している。
Oracle Cloudがセキュリティにおいて掲げる「3つの原則」
ラッセル氏はまず、現在のデータセキュリティ/プライバシーをめぐる課題が非常に複雑化していることを指摘した。
現在では欧州のGDPRに限らず、世界中の国家/地域がデータ主権の取り組みを進めるようになり、企業は個別のルールに従う必要に迫られている。データ保護において暗号化技術の重要度は増しているが、反面、暗号鍵の安全かつ確実な管理が課題となった。そして、生成AIがセキュリティとデータ活用にどのようなインパクトを与えるのかは、まだ未知数だ。こうしたさまざまな課題を抱えつつも、企業はより多くのデータを保持し、それを活用しなければビジネスの競争に勝ち残れない。
このような現状に対して、オラクルでは「3つの原則」を掲げ、Oracle Cloudにおけるデータのセキュリティとプライバシーのアプローチを進めていると、ラッセル氏は説明する。
まずは、セキュリティを「シンプルで簡単」なものにしていく、という原則だ。ラッセル氏は、セキュリティ向上の鍵を握るのは何よりも「シンプルさと簡単さ」だと述べ、オラクルには高度に自動化されたサービス、容易に実装できるベストプラクティスなどの提供を通じて、シンプルで簡単なクラウドを実現していく責務があると語る。
続いては、クラウドサービスに対するセキュリティの「緊密な統合」だ。Oracle Cloud上のOCIとFusion Appsにはセキュリティサービスが統合されており、「たとえばOCIとFusion Appsで、セキュリティポスチャーを共通のツールセットで管理できる」(ラッセル氏)。さらにはこれを他のクラウド、つまりマルチクラウド環境全体にも拡張していく方針だという。
そして最後が、クラウド環境のセキュリティに対する「完全なコントロール」の提供だ。「『あなたのデータは安全に保護されている』というだけでは不十分だ。各国/地域における最新のプライバシー規制を順守していること、誰がそのデータにアクセスできるのかを確認できること、データへのアクセスを監査できること、それらも同時に担保されなければならない」(ラッセル氏)。
この3つの原則に従って、OCIではフルスタックのセキュリティ機能をゼロから開発し、組み込んで提供してきた。そして、そのセキュリティ機能はパブリッククラウドのOCIに限らず、特定の国/地域向けのガバメント/ソブリンクラウド、顧客データセンターに配置される「Exadata Cloud@Customer」「Oracle Cloud Dedicated Region」、さらに「Oracle Alloy」と、分散クラウドのあらゆる場所で同じように利用できると、ラッセル氏は説明する。
「シンプルで簡単」「緊密な統合」を強化するOCIのセキュリティ
OCIが新たに追加した多くのセキュリティ機能群も、この「3つの原則」に沿って紹介された。
まず「シンプルで簡単」においては、「OCI Identity」における認証オプション追加(パスキーなど)、IDガバナンス/管理(IGA)サービス「Oracle Access Governance」の提供開始、暗号鍵管理オプションの強化(オンプレミスハードウェアKMSの追加など)、DBセキュリティ強化(「Oracle Database 23c」が提供するSQL Firewallなど)、「OCI Network Firewall」の機能強化といったものが紹介された。
また、国/地域および業界ごとのコンプライアンスプログラムへの対応拡充にも触れた。今年は日本を含む5つのプログラムを追加し、合計で84のコンプライアンスおよび規制への対応を、118のサービス全体で対応したという。そのほか、EU地域だけに隔離されたOCIの商用リージョン「EU Sovereign Cloud」も紹介した。
続く「緊密な統合」においてはまず、2020年から継続的に機能を強化してきた、IaaS/SaaS統合のセキュリティ監視/管理スイート「Oracle Cloud Guard」について、最近発表された複数の機能群を紹介した。ログを継続監視と脅威の検出、アラート作成を行う「Log Insights Detector」、MITRE ATT&CKフレームワークに基づきホストのアクティビティや状態を検査できる「Integrated Workload Protection」、コンテナのセキュリティ保護や管理に役立つレシピ集「Kubernetes Container Governance」などだ。
こうした機能の拡充を受けて、ラッセル氏は、Cloud Guardは「CSPM(Cloud Security Posture Management)からCNAPP(Cloud Native Application Protection Platform)へ」と進化していると説明する。
「完全なコントロール」を実現する「Zero Trust Packet Routing」を紹介
そして最後の「完全なコントロール」については、アプリケーションやデータがどこにあろうとも一貫性のあるセキュリティコントロールを提供する「革新的なネットワークデータセキュリティへのアプローチ」として、Zero Trust Packet Routing(ZPR)を紹介した。
ラッセル氏はまず、世界中の企業が毎年セキュリティ投資を増額し、専門の人材やツール、サービスを総動員しているのにもかかわらず、セキュリティインシデントが増え続けていることを指摘する。その背景にあるのは、ネットワークがノード間の自由な通信を前提とした配管(パイプ)のようなものとして設計され、ファイアウォールなどのセキュリティが“後付け”で個別に付け足されてきた歴史だ。
ZPRが提唱するのは、こうしたセキュリティの姿をリセットし、認証され許可された場合にのみ通信ができる“ゼロトラスト”を前提としたネットワーキングだ。
「新たなスタンダード(ZPR)では、人による読みとりや監査、理解が可能なインテント(意図)ベースのセキュリティポリシーを採用する。このインテントはネットワークレイヤーで実行され、すべてのトラフィック(パケット)は、送信者、受信者、移動中のデータタイプについて認証済みの属性を含む。ネットワークはこれらの属性を使用して、データが移動可能な場所を制限する」(プレスリリースより)
オラクルではApplied Inventionと共に、ZPRをオープンスタンダード化する取り組みを発表しており、同時にOCI上でZPRを実装したOracle ZPR Platformのリリースも発表している。「ZPRは、すでにOCIの仮想ネットワークにおいて利用されている。これを外部に開放していく取り組みを進めていく。皆さんにもぜひ参加してほしい」(ラッセル氏)。