Oracle CASB Cloud Service による Oracle Cloud Applications の保護 Oracle Cloud への安全な移行 ORACLE WHITE PAPER 2018 年 2 月

(1)

Oracle CASB Cloud Service による Oracle Cloud Applications の保護

Oracle Cloud への安全な移行

ORACLE WHITE PAPER | 2018年2月

(2)

SECURING ORACLE CLOUD APPLICATIONS WITH ORACLE CASB CLOUD SERVICE

免責事項

ここで述べられている内容は、当社の一般的な製品の方向性に関する概要を説明するものです。また、

情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。さらに、マテリアルやコード、機能を提供することを確約するものではないため、購買判断を行う際の決定材料にはしないでください。オラクル製品に関して記載されている特長や機能の開発、リリースおよび時期については、あくまで当社の裁量に委ねられるものとします。

概要

この数年間、企業はアプリケーションやインフラにクラウドを積極的に導入することで、大きな変革を果たしてきました。しかし、依然として解消されていない問題の 1 つに、セキュリティ上の懸念があります。特に心配されるのが、

多くのエンタープライズ組織のバックボーンを形成している、センシティブ・アプリケーションです。具体的には、

エンタープライズ・リソース・プランニング (ERP) 、ヒューマン・キャピタル・マネジメント (HCM) 、およびカスタマ・エクスペリエンス (CX) のアプリケーションです。これらのアプリケーションに格納されているデータは機微情報であり、多くの場合は、厳格な管理とコンプライアンス要件の対象となります。データの機微性が高いという性質上、

これらのアプリケーションは攻撃や悪用のターゲットになる傾向があります。このホワイトペーパーでは、 ERP Cloud 、 HCM Cloud 、 Customer Experience Cloud などの Oracle Cloud アプリに格納された機微なデータを保護するために、

Oracle Cloud Access Security Broker (CASB) Cloud Service がどのように役立つのかを説明します。

ERP や HCM などのエンタープライズ・アプリケーションでセキュリティが重要となる理由

かつて、ERPやHCMなどのアプリケーションは、ほとんど組織の内部だけで運用されていました。しかし、クラウドへの移行が進むにつれ、内部と外部の境界がきわめてあいまいになってきています。McKinseyが発表した最近のレポートによると、企業ではビジネスをエコシステムとして捉える考え方が広がっており、外部のエコシステム・パートナーに内部アプリケーションを公開したり、外部のITスタッフを社内に常駐させたりするケースが増えています。また、コストと効率性の両方の理由から、これらのアプリケーションをクラウドで実行する動きはさらに進んでいます。クラウドに移行されたデータは、攻撃者にとって格好のターゲットとなり、攻撃を受けやすくなります。実際、セキュリティ上の理由から、これらのアプリケーションのクラウド移行に二の足を踏んでいる組織も多く存在します。North Bridge Venture Partnersの年次調査「North Bridge Ventures’ Future of Cloud

Computing」によると、クラウド導入の最大の阻害要因はセキュリティであるとされています。

ERPソリューションによるデジタル化は、これまでになかった様々なメリットを企業に提供し、バリューの達成を促進してくれます。これにより企業では、予測精度を改善し、かつてなくスムーズに需要を見積もることが可能になりました。注文の履行もスピード化され、非効率なプロセスも簡単に特定して改善できるようになりました。また、クラウドベースのERPソリューションでは、オンプレミスのERPソリューションが抱えていた初期コストの課題も解消されました。しかし、クラウドの特性である共有型のセキュリティ・モデルにより、データを保護する責任はSaaSプロバイダーではなく、企業側が負うようになりました。これらのアプリケーションでは、きわめて重要なビジネス・データや財務データが処理されます。そしてそれらのデータは、作成から保存まで、すべて安全に処理される必要があります。

同様に、HCMアプリケーションでは、従業員や委託業者に関する個人情報が保持されます。これらのデータはその性質上、攻撃に対して脆弱です。また、HCMデータの変更は下流のアプリケーションにも伝播されます。たとえば、HCMアプリケーションで従業員のロールが変更された場合、その変更は他のアプリケーションにプッシュされるため、それらのアプリケーションで権限が変更される可能性があります。それらを意図的または悪意を持って設定すれば、ユーザーに過剰な権限が付与され、悪用が可能になる可能性もあります。

同様の状況は、顧客の情報が格納されるクラウド・アプリケーション(CRMアプリケーションなど)でも起こりえます。特に上場企業では、四半期収益などのデータを保護し、監視する必要があります。

(3)

上記のシナリオからわかるように、ERP、HCM、CXなどのクリティカル・アプリケーションのセキュリティを確保することはきわめて重要です。しかも、これらのアプリケーションで実行されるトランザクションの膨大さを考えると、セキュリティの制御や監視を人の手だけで行うのは、明らかに不十分です。

クラウド・セキュリティ・アクセス・ブローカー (CASB) が提供する機能

ERPやHCMのエンタープライズ・アプリケーションをクラウドベースに移行する際には、セキュリティやコンプライアンス上の課題について、以下の点を確認するようにしましょう。

表1: クラウド・アプリケーションのセキュリティ・ニーズを評価するための重要な確認事項

1 すべてのクラウド・アプリケーションについて、監視機能と可視性を確保できていますか。

2 クラウド・アプリケーション内やクラウド・アプリケーション間での権限の昇格を検出できますか。

3 クラウド・アプリケーション内でユーザーのロールが変更された際に、そのことを通知する機能は必要ですか。

4 クラウド・アプリケーションでの職務分掌(SOD)の違反を検知する機能は必要ですか。

5 アクセス・ポリシーに違反する方法でアプリケーションがアクセスされた場合に、そのことを通知する機能は必要ですか。

6 クラウドベース・アプリケーション内での異常な行動パターンを通知する機能は必要ですか。

オラクルのCASB Cloud Serviceのようなクラウド・アクセス・セキュリティ・ブローカー(CASB)を使用すれば、上記のニーズに効果的に対応することができます。

CASBソリューションの多くは上記のセキュリティ・シナリオにある程度対応していますが、適切なセキュリティを確保するうえで重要となるのは、クラウド・アプリケーションや、そのロール定義、およびデータ・モデルに関する知識です。たとえば、

Oracle ERP CloudやOracle HCM CloudなどのOracle Cloudアプリケーションで考えてみてください。これらのアプリケーションを保護するためにデプロイされたCASBでは、それらのクラウド・アプリ内のデータ・モデルに関するナレッジが重要なだけでなく、

セキュリティを維持するための適切なID管理サービスと連携できることも不可欠です。これにより、異常なアクティビティに対処することが可能になります。また、もう1つの大きな課題として、これらのCloudアプリケーションでのアクティビティを監視し、

それぞれの関連性を分析するための一元的なインタフェースも必要となります。これは、各アプリケーションでのユーザー行動からセキュリティ・リスクを排除する必要がある場合には、さらに重要なものとなります。CASBサービスでは、各種のクラウド・

アプリケーションをカバーした一元的なインタフェースを提供できることが非常に重要となるのです。特に、上記のOracle SaaS アプリケーションを使用する場合にはきわめて重要です。Oracle CASB Serviceでは、Oracle SaaSアプリケーションに対して統合型のアプローチがとられているので、下記の図1のように一元的なインタフェースが提供されます。

図1: Oracle SaaSアプリケーションを含むすべてのクラウド・アプリケーションを監視するための一元的なインタフェース

(4)

典型的な保護シナリオ

ここからは、Oracle ERP CloudやOracle HCM CloudなどのOracle Cloudアプリケーションを保護するために、CASBソリューションがどのように役立つのかを、3つのシナリオで見ていきましょう。

シナリオ

1:

ユーザーのアクセス行動の監視

_:ユーザーが、ポリシーで許可されていない場所またはタイムゾーンから_Oracle

HCM Cloudアプリケーションにアクセスしようとした場合

このシナリオでは、特定のビジネス・ユニットや事業部のすべてのHRビジネス・パートナーが、1つの地理的位置(たとえば、サンフランシスコ)に存在しているものとします。すべてのHRビジネス・パートナーが同じ場所からログインするようにするために、

情報セキュリティ・チームはCASBでポリシーを設定して、サンフランシスコ以外の場所からログインが行われた場合にアラートが送信されるようにしました。ユーザーが東海岸からログインすると、CASBサービスはその不正なユーザー・アクセスを検知し、

セキュリティ・チームにその情報を通知します。下記の「図2： HCMソリューションへの異常なログイン」はその様子を示したものです。

図2: HCMソリューションへの異常なログイン

シナリオ

2:

ロールの監視

: ^{ユーザーが}Oracle HCMアプリケーションにログインし、別のユーザーのロール_/職務を昇格させようとした場合

このシナリオでは、特定のユーザーの権限に影響を与えるロール変更を監視します。たとえば、あるユーザーが買掛管理スペシャリスト・ロールを所有しているとします。このロールには、受取人を作成する権限が割り当てられているものとします。HCM

CloudアプリケーションにアクセスできるHRビジネス・パートナーがこのユーザーのロールを買掛管理マネージャーに変更した場

合、そのユーザーには支払を承認する権限が付与されます。その結果、ユーザーの権限が自動的に昇格されます。同様に、昇格された権限はHCMシステムからERPシステムにも伝播されます。ご想像のとおり、結果としてユーザーは、権限の範囲を広げ、その権限を次々と増やしていくことが可能になります。そしてこれは、認可されていないデータの持ち出しにつながる可能性があります。また、監査の観点から言えば、権限が昇格されたことで、職務分掌(SOD)の規制要件に違反する可能性も出てきます。

(5)

図3: クラウド・アプリケーション間での権限昇格の影響

上記の「図3: クラウド・アプリケーション間での権限昇格の影響」が示すように、Oracle CASBでは、特定のアプリケーション内でのこのようなロール変更を監視し、情報セキュリティ・チームと監査チームにアラートを送信して、その潜在的リスクを緩和することができます。ご想像のとおり、Oracle CASBがなければ、情報セキュリティ・チームがERP Cloudで変更のソースを特定し、

原因となったHCM Cloudアプリケーション内の変更までさかのぼって追跡することは困難となります。つまり、潜在的リスクを特定するのに長い時間を要することになります。

シナリオ

3:

ユーザー行動の監視

: ^{特定のアクティビティ}(ビジネス・ユニットの給与変更など₎を通常は₁日に約₅回実行する_HR ユーザーが、突然、同じアクティビティを₁日に約₁₀回も実行した場合

クラウド上の各種エンタープライズ・アプリケーション内では、多数のトランザクションが記録されます。たとえば、ERP Cloud では、組織で実行されるすべてのトランザクションが記録されます。これらすべてのトランザクションに目を通し、通常のトランザクションと異常なトランザクションを見分けることは、人力で行うとなればきわめて困難です。また、各従業員やエンティティの行動は、複数の要因によって様々に異なります。たとえば、操作するユーザーの地理的所在地によっても違ってきますし、同じグループや事業部内でも、ユーザーのビジネス・ロールによって行動は違ってきます。潜在的なリスクを特定するには、機械学習ベースのアプローチが不可欠です。クラウド・アプリを監視するCASBサービスでは、複数のクラウド・アプリケーションにわたってユーザーやエンティティの行動を監視し、リスクにつながる行動を検知できることが非常に重要となるのです。このシナリオでは、CASBサービスによって検知されるユーザー行動の例を示します。

図4: ユーザー・アクションの行動分析

この例では、特定の事業部を管理しているHRビジネス・パートナーが、その事業部の様々な従業員について、平常時には約5件の給与変更を行っています。この行動はCASBサービスの機械学習アルゴリズムによって観察され、そのユーザーのベースラインとして記録されます。行動がそのレベルであるかぎり、そのユーザーのアクションはリスクではないと判断されます。行動のレベルがベースラインを逸脱した場合は、潜在的リスクと見なされ、情報セキュリティ・チームにリスク・アラートが送信されます。たとえば、ある日そのユーザーによる変更の件数が10件を超えた場合は、直ちにアラートが送信されます。上記の「図4: ユーザー・

アクションの行動分析」は、その様子を示したものです。

(6)

結論

ERP Cloud や HCM Cloud などの Oracle SaaS アプリケーションには、たくさんのクリティカル・データが格納されています。それらのデータは機微性が高いため、管理体制を十分に整備して、データを安全に保管することがきわめて重要です。 Oracle CASB Cloud Service は、 Oracle SaaS アプリケーションを保護することができます。 Oracle SaaS アプリケーションを保護するために Oracle CASB Cloud Service で利用できる主な機能としては、次のようなものがあります。

1. すべてのクラウド・アプリケーションをカバーできる一元的なインタフェース。

2. マルチクラウドのIaaS、PaaS、Oracle SaaS、およびその他のSaaSアプリケーション(Office 365、Salesforceなど)を含め、

種類の異なるあらゆるクラウド資産をサポートできます。

3. 高度なUEBA (User and Entity Behavior Analytics)機能。

4. ロールの変更やユーザー・アクセス行動の変化に対応できる、アプリケーション認識型のCASBです。

Oracle Corporation, World Headquarters Worldwide Inquiries

500 Oracle Parkway Phone: +1.650.506.7000

Redwood Shores, CA 94065, USA Fax: +1.650.506.7200 CONNECT WITH US

blogs.oracle.com/oracle facebook.com/oracle twitter.com/oracle oracle.com

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. この文書はあくまで参考資料であり、掲載されている情報は予告なしに変更されることがあります。オラクルは、本ドキュメントの無謬性を保証しません。また、本ドキュメントは、法律で明示的または暗黙的に記載されているかどうかに関係なく、商品性または特定の目的に対する適合性に関する暗黙の保証や条件を含む一切の保証または条件に制約されません。オラクルは、本書の内容に関していかなる保証もいたしません。また、本書により、契約上の直接的および間接的義務も発生しません。本書は、事前の書面による許諾を得ることなく、電子的または機械的に、いかなる形態または手段によっても複製または伝送することはできません。

OracleおよびJavaはオラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。

Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、

SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。0218

ホワイトペーパー Oracle CASB Cloud ServiceによるOracle Cloud Applicationsの保護 2018年2月

著者: Suresh Sridharan 協力著者: Subbu Iyer