安心してクラウドを使うために アウトソーシング様のセキュリティ対策と ID 管理の取組み 株式会社アウトソーシング経営管理本部総務部部長眞鍋謹志 日本オラクル株式会社クラウド テクノロジー事業統括大澤清吾 2017 年 12 月 7 日 Copyright 2017 Oracle and/or its affiliates. All rights reserved.
以下の事項は 弊社の一般的な製品の方向性に関する概要を説明するものです また 情報提供を唯一の目的とするものであり いかなる契約にも組み込むことはできません 以下の事項は マテリアルやコード 機能を提供することをコミットメント ( 確約 ) するものではないため 購買決定を行う際の判断材料になさらないで下さい オラクル製品に関して記載されている機能の開発 リリースおよび時期については 弊社の裁量により決定されます Oracle と Java は Oracle Corporation 及びその子会社 関連会社の米国及びその他の国における登録商標です 文中の社名 商品名等は各社の商標または登録商標である場合があります 2
SECURITY PART OF OUR DNA 1977 年からビジネス スタート 最初の顧客は CIA マーケットのリーダー 米国政府の要求に応えるセキュリティ技術 Oracle Security Software Assurance による製品としてのセキュリティの確保 Immediate Focus On SECURE DATA 3
市場の評価 リーダー の位置づけ リーダー の位置づけ最も評価の高い製品ベンダー (*) Gartner Magic Quadrant for Identity Governance and Administration Gartner Magic Quadrant for Access Management Gartner Critical Capabilities for Identity Governance and Administration 本図表は ガートナー リサーチの発行物の一部であり 評価するには発行物全体をご覧いただく必要があります ガートナーの発行物は リクエストにより日本オラクルからご提供することが可能です ガートナーは ガートナー リサーチの発行物に掲載された特定のベンダー 製品またはサービスを推奨するものではありません また 最高のレーティング又はその他の評価を得たベンダーのみを選択するよう助言するものではありません ガートナー リサーチの発行物は ガートナー リサーチの見解を表したものであり 事実を表現したものではありません ガートナーは 明示または黙示を問わず 本リサーチの商品性や特定目的への適合性を含め 一切の保証を行うものではありません Source: Gartner Magic Quadrant for Identity Governance and Administration Published: 22 February 2017 ID: G00302686 Analyst(s): Felix Gaehtgens, Perry Carpenter, Brian Iverson, Kevin Kampman Source: Gartner Magic Quadrant for Access Management, Worldwide Published: 7 June 2017 ID: G00315479 Analyst(s): Gregg Kreizman, Anmol Singh Source: Gartner Critical Capabilities for Identity Governance and Administration Published: 1 March 2017 ID: G00303459 Analyst(s): Brian Iverson et al. * 4ユースケース中 1ユースケース エンタープライズユースケース において 4
クラウドサービスを含めた企業が取り組むべきセキュリティ対策 ユーザーデータアプリケーション データベース, ミドルウェア OS ハードウェア, ネットワークサービスオペレーション オンプレミス IaaS PaaS SaaS 利用企業の対策範囲 クラウド事業者の対策範囲 ユーザー データセキュリティは共通事項 クラウドサービス利用時においても ユーザー管理 取り扱うデータ ( データへのアクセス制御含め ) の保護は 利用企業側自身が責任を持つ必要がある 5
マルチクラウドサービスを活用する際の課題 現状 : サイロ化された管理 セキュリティ機能を活用した一元管理 AWS 1 AWS 2 AWS 3 O365 SFDC BOX G Suite Slack GitHub AWS 1 AWS 2 AWS 3 O365 SFDC BOX G Suite Slack GitHub Oracle Rackspace ServiceNow Oracle Rackspace ServiceNow ポリシーがサービス毎にバラバラ 各サービスでの対策状況が不明で監視が行えない 一元的なポリシーによるセキュリティ対策状況の可視化 利用者に紐づいた各サービスの監視が行える 6
眞鍋謹志様株式会社アウトソーシング経営管理本部総務部部長 7
Oracle Identity Cloud Service / Oracle CASB Cloud Service のご紹介 8
Oracle Identity Cloud Service (IDCS) クラウドネイティブ マルチテナントで実装された IDaaS (ID as a Service) シングルサイオン 各サービスは IDCS に対して認証することでシングルサインオンを実現 ハイブリッド環境のシングルサインオンを実現 Active Directory Oracle IDM オンプレミス Oracle Identity Cloud Service ID 管理 アクセス管理 多要素認証 プロビジョニング Salesforce Office365 Workday 他社クラウド 多要素認証 SMS を用いたワンタイムパスワードや iphone,android 等のモバイルアプリを提供 一定期間第 2 認証のスキップが可能 プロビジョニング Oracle や他社の SaaS へのプロビジョニング対応 SaaS アカウントと IDCS ユーザーの同期 9
Oracle Identity Cloud Service (IDCS) 複数クラウド環境のシングルサインオン イントラ インターネット 1 各サービスは IDCS に対して認証することで SSO を実現 メモ IdP 2 SP IDCS IdP 1 1 1 SP SP SP Office 365 Google Suite SAML では認証情報を提供する側を Identity Provider(IdP) と呼び 認証情報を利用する側を Service Provider (SP) と呼びます 2 外部の Identity Provider(IdP) の利用が可能 IDCS の認証のため 外部 IdP の利用が可能 すでに社内に ADFS や Oracle Access Management による IdP が構築されている場合に活用いただけます Windows ログインや社内認証が終えた時点でクラウドの SSO が完了 10
Oracle Identity Cloud Service (IDCS) 認証の高度化 : マルチファクタ認証 多要素認証 SMS を用いたワンタイムパスワード iphone Android 用に提供するアプリに第 2 認証 ワンタイムパスワード 通知 (Push Notification) への応答 (Allow/Deny) 事前登録質問への回答 ( 秘密の質問への回答 ) 利便性の両立 一度認証した端末 ( ブラウザ ) は 一定期間第 2 認証のスキップが可能 事前に管理者によるスキップの有効化が必要 その上で ユーザーによる選択ワンタイムパスワード (*1) 通知への応答 (*1) 11
Oracle Identity Cloud Service (IDCS) プロビジョニング SaaS へのプロビジョニング対応 Google Suite および Office 365 などの SaaS に対してユーザーの作成 削除が可能 SaaS アカウントと IDCS ユーザーの同期 同期を有効化すると 既存の SaaS アカウントのインポートおよび同期が可能 12
Oracle Identity Management 統合されたアクセス管理 ID 管理ソリューション クラウドネイティブ オープン標準準拠 Identity Cloud Service クラウドディレクトリ ID Sync 多要素認証 プロビジョニングライフサイクル管理認証 / 認可シングルサインオン企業社内向けディレクトリ顧客向けディレクトリ Identity Governance Access Management Directory Services ロール管理 / セルフサービス職務分掌 (SoD)/ 監査多要素認証 リスクベースフェデレーションディレクトリの同期ディレクトリの仮想化 13
Oracle CASB Cloud Service 様々なクラウドサービスのユーザー行動の可視化とセキュリティ脅威の検知 エンタープライズ モバイルユーザーモバイルアクセス 利用者はクラウドサービスへ直接アクセス ServiceNow Office 365 box G Suite エンタープライズ防御ソリューション SIEM IDaaS NGFW DLP MDM 連携 Oracle CASB CS 可視化 コンプライアンス データセキュリティ 防御 API アクセス Amazon Salesforce Slack IaaS PaaS SaaS Oracle マルチクラウド対応 SaaS をはじめ PaaS や IaaS(AWS など ) にも対応 API ベース クラウド利用者に影響を与えずモニタリング 5 分でセットアップ完了 視認性高い画面 SIEM IDaaS ファイアーウォールと連携した高度なモニタリングが可能 14
Oracle CASB Cloud Service 特長 1. SaaS をはじめ PaaS IaaS に対応 各テンプレート ( ベースライン ) を提供 テンプレートを基にお客様要件に合わせてカスタマイズが可能 設定 5 分 短時間でセットアップ完了 2. API ベース * プロキシにも対応します プロキシベースのものと異なり SPOF( 単一障害点 ) を作らないアーキテクチャ クラウド利用者に影響を与えないモニタリングが実現 3. 視認性 操作性の高い画面 SIEM IDaaS ファイアーウォールなどの外部サービス連携による高度がモニタリングが可能 軽量 高いスケーラビィリティ 15
ダッシュボード画面 左からリスクの高い状態のインスタンスが表示 アクセスマップによる不正アクセスポイントなどを可視化 16
オラクルのクラウドセキュリティサービスのご紹介 17
Oracle OpenWorld での発表 : ラリー エリソン基調講演 (1/2) データ漏洩事件が継続的に発生しており その対抗措置として セキュリティ対策とデータベース運用の自動化によるデータ漏洩防止が重要 Equifax( 消費者信用情報会社 ): Struts の脆弱性により 1 億 4300 万件が漏洩 クレジットカード番号, 社会保障番号 (Social Security Number), 自宅住所など Equifax CEO 役員および IT 管理チームが辞任 Office of Personnel Management: 連邦従業員 2000 万人 セキュリティクリアランス 指紋 社会保障番号 自宅住所 OPM のディレクターが辞任 18
Oracle OpenWorld での発表 : ラリー エリソン基調講演 (2/2) このために 機械学習を活用した自動化を実現するソリューションを紹介 Oracle Management and Security Cloud: クラウド オンプレミスの様々なログを収集し 機械学習を活用したセキュリティ脅威の検知と 自動対処 19
Oracle Management and Security Cloud の特長 クラウド型の統合された セキュリティ対策 を実現 1 つのシステムでオンプレミス クラウド両方の運用とセキュリティデータの監視 管理 分析 機械学習によるデータ異常 ( セキュリティ脅威 ) の迅速な検出 普通のアクティビティ と 例外的なアクティビティ を自動で識別 アルゴリズムだけでなく あらかじめ適用済みの機械学習を活用 脅威への対処を自動化 ポリシーからの逸脱や 検出した脅威を自動で対処し 被害を最小化 収集したデータを セキュリティ対策 と IT 運用 に両方で活用し 投資を最適化 20
Oracle Management and Security Cloud クラウド型の統合されたセキュリティ対策を実現 3 ID アクセス管理 Identity Office 365 Salesforce Amazon box Slack Oracle Google Suite 2 クラウド利用監視 CASB 1 統合セキュリティ分析 Security Monitoring and Analytics 4 フォレンジック Log Analytics オンプレミス FW PC AP DB Asset context 6 自動対処 Orchestration 5 構成監視 Configuration and Compliance 21
インシデント件数 自動対処済件数 残存するハイリスクなもの Oracle OpenWorld のラリー エリソン基調講演でのデモンストレーションより ログ件数 91 億 Mary Baker の高リスクのインシデントを調査
Oracle OpenWorld のラリー エリソン基調講演でのデモンストレーションより Mary Baker の行動を追跡 フィッシングサイトへのアクセス パスワード総当たり攻撃 異常な SQL 発行 ( 機械学習ベース ) Amazon S3 での設定変更 (CASB より ) 自動対処 (MFA( 多要素認証 ) の有効化など ) 23
Oracle Management and Security Cloud サービス概要 カテゴリソリューション ( 製品 サービス ) 概要 統合セキュリティ分析 1 Security Monitoring and Analytics Cloud Service オンプレ クラウド上のあらゆる運用データの相関分析とセキュリティ脅威の可視化 CASB 2 CASB Cloud Service 様々なクラウドサービスに対するユーザー行動の可視化とセキュリティ脅威の検知 ID アクセス管理 3 Identity Cloud Service クラウド オンプレの様々なアプリケーションへの認証統合 (IDaaS) フォレンジック 4 Log Analytics Cloud Service あらゆる IT 環境のログ収集 分析と問題点の可視化 構成管理 5 Configuration and Compliance Cloud Service 様々な規定を基にした IT アセスメントと IT システムの脆弱性を可視化 自動レスポンスと対処 6 Orchestration Cloud Service 検出した脅威 脆弱性に対する単一のコントロールポイントからのアクションを自動化 24
Oracle Digital は オラクル製品の導入をご検討いただく際の総合窓口 電話とインターネットによるダイレクトなコニュニケーションで どんなお問い合わせにもすばやく対応します もちろん 無償 どんなことでも ご相談ください 25
26