Copyright © 2017 Oracle and/or its affiliates. All rights reserved.
安心してクラウドを使うために。
アウトソーシング様のセキュリティ対策
とID管理の取組み
株式会社アウトソーシング 経営管理本部 総務部 部長 眞鍋 謹志
日本オラクル株式会社 クラウド・テクノロジー事業統括 大澤 清吾
2017年12月 7日
•
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するもの
です。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込
むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコ
ミットメント(確約)するものではないため、購買決定を行う際の判断材料に
なさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース
および時期については、弊社の裁量により決定されます。
Oracle
とJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
SECURITY
PART OF OUR DNA
Immediate Focus On SECURE DATA
•
1977 年からビジネス・スタート
•
最初の顧客は CIA
•
マーケットのリーダー
•
米国政府の要求に応えるセキュリティ技術
•
Oracle Security Software Assurance
による製品としてのセキュリティの確保
本図表は、ガートナー・リサーチの発行物の一部であり、評価するには発行物全体をご覧いただく必要があります。ガートナーの発行物は、リクエストにより日本オラクルからご提供することが可能です。
ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するよう助言するものではありません。ガートナー・リサーチの発行物は、 ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。
Source: Gartner Magic Quadrant for Identity Governance and Administration |Published: 22 February 2017 ID: G00302686 Analyst(s): Felix Gaehtgens, Perry Carpenter, Brian Iverson, Kevin Kampman Source: Gartner Magic Quadrant for Access Management, Worldwide|Published: 7 June 2017 ID: G00315479 Analyst(s): Gregg Kreizman, Anmol Singh
市場の評価
Gartner Magic Quadrant for Identity
Governance and Administration
Gartner Magic Quadrant
for Access Management
Gartner Critical Capabilities for Identity
Governance and Administration
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
クラウドサービスを含めた企業が取り組むべきセキュリティ対策
5
オンプレミス
IaaS
PaaS
SaaS
ユーザー
データ
アプリケーション
データベース, ミドルウェア
OS
ハードウェア, ネットワーク
サービスオペレーション
クラウド事業者の
対策範囲
利用企業の
対策範囲
クラウドサービス利用時においても、ユーザー管理、取り扱うデータ(データへのアクセス制御含め)
の保護は、利用企業側自身が責任を持つ必要がある
ユーザー、データセキュリティ
は共通事項
マルチクラウドサービスを活用する際の課題
AWS 1
AWS 2
AWS 3
O365
SFDC
BOX
G Suite
Slack
GitHub
Oracle
Rackspace
ServiceNow
現状:サイロ化された管理
セキュリティ機能を活用した一元管理
AWS 1
AWS 2
AWS 3
O365
SFDC
BOX
G Suite
Slack
GitHub
Oracle
Rackspace
ServiceNow
ポリシーがサービス毎にバラバラ
各サービスでの対策状況が不明で監視が行えない
一元的なポリシーによるセキュリティ対策状況の可視化
利用者に紐づいた各サービスの監視が行える
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. | Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
眞鍋 謹志 様
株式会社アウトソーシング
経営管理本部 総務部 部長
Oracle Identity Cloud Service /
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Oracle Identity Cloud Service (IDCS)
クラウドネイティブ、マルチテナントで実装されたIDaaS (ID as a Service)
•
ID
管理
•
アクセス管理
•
多要素認証
•
プロビジョニング
オンプレミス
Active
Directory
Oracle IDM
Oracle Identity
Cloud Service
Salesforce
Office365
Workday
シングルサイオン
多要素認証
プロビジョニング
•
SMS
を用いたワンタイムパスワードや、
iPhone,Android
等のモバイルアプリを提供
•
一定期間第2認証のスキップが可能
•
各サービスはIDCSに対して認証することで
シングルサインオンを実現
•
ハイブリッド環境のシングルサインオンを実現
•
Oracle
や他社のSaaSへのプロビジョニング対応
•
SaaS
アカウントとIDCSユーザーの同期
9
他社クラウド
・・・・・
①
各サービスはIDCSに対して認証することで
SSO
を実現
②
外部のIdentity Provider(IdP)の利用が可
能
–
IDCS
の認証のため、外部IdPの利用が 可能
–
すでに社内にADFSやOracle Access Managementに
よるIdPが構築されている場合に活用いただけます。
Windows
ログインや社内認証が終えた時点でクラウドの
SSO
が完了
Oracle Identity Cloud Service (IDCS)
複数クラウド環境のシングルサインオン
SP
IdP
IDCS
SP
SP
SP
①
②
①
①
IdP
イントラ
インターネット
SAML
では認証情報を提供する側をIdentity
Provider
(IdP)と呼び、認証情報を利用する側を
Service Provider
(SP)と呼びます。
メモ
Office
365
Suite
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Oracle Identity Cloud Service (IDCS)
認証の高度化 : マルチファクタ認証
•
多要素認証
–
SMS
を用いたワンタイムパスワード
–
iPhone
、Android用に提供するアプリに第2認証
•
ワンタイムパスワード
•
通知(Push Notification)への応答(Allow/Deny)
–
事前登録質問への回答 (秘密の質問への回答)
•
利便性の両立
–
一度認証した端末(ブラウザ)は、一定期間第2認証のスキッ
プが可能
•
事前に管理者によるスキップの有効化が必要
•
その上で、ユーザーによる選択
ワンタイムパスワード(*1)
通知への応答(*1)
11
Oracle Identity Cloud Service (IDCS)
プロビジョニング
•
SaaS
へのプロビジョニング対応
–
Google Suite
および Office 365 などのSaaSに
対してユーザーの作成、削除が可能
•
SaaS
アカウントとIDCSユーザーの同期
–
同期を有効化すると、既存のSaaSアカウントの
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Oracle Identity Management
統合されたアクセス管理・ID管理ソリューション
Directory Services
Identity Cloud Service
Identity Governance
Access Management
ディレクトリの同期
ディレクトリの仮想化
多要素認証・リスクベース
フェデレーション
ロール管理/セルフサービス
職務分掌 (SoD)/監査
クラウドディレクトリ
ID Sync
・多要素認証
企業社内向けディレクトリ
顧客向けディレクトリ
認証/認可
シングルサインオン
プロビジョニング
ライフサイクル管理
クラウドネイティブ
オープン標準準拠
13
Amazon
Office
365
Salesforce
box
ServiceNow
Oracle CASB Cloud Service
様々なクラウドサービスのユーザー行動の可視化とセキュリティ脅威の検知
可視化
コンプライアンス
データセキュリティ
防御
Oracle
CASB CS
利用者はクラウドサービスへ直接アクセス
モバイルユーザー
モバイルアクセス
エンタープライズ
連携
API
アクセス
エンタープライズ
防御ソリューション
SIEM
、IDaaS
NGFW
、DLP
MDM
IaaS
PaaS
SaaS
Oracle
G Suite
Slack
•
マルチクラウド対応 |
SaaS
をはじめ、PaaS や IaaS(AWSなど) にも対応
•
API
ベース
|
クラウド利用者に影響を与えずモニタリング、5分でセットアップ完了
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Oracle CASB Cloud Service
特長
15
1. SaaS
をはじめPaaS、IaaSに対応
•
各テンプレート(ベースライン)を提供。テンプレートを基にお客様要件に合わせてカ
スタマイズが可能
•
設定5分。短時間でセットアップ完了
2. API
ベース
*プロキシにも対応します
•
プロキシベースのものと異なり、SPOF(単一障害点)を作らないアーキテクチャ
•
クラウド利用者に影響を与えないモニタリングが実現
3.
視認性、操作性の高い画面
•
SIEM
、IDaaS、ファイアーウォールなどの外部サービス連携による高度がモニタリングが
可能
•
軽量、高いスケーラビィリティ
左からリスクの高い状態のインスタンス
が表示
ダッシュボード画面
アクセスマップによる不正アクセスポイ
ントなどを可視化
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
オラクルのクラウドセキュリティサービスのご紹介
Oracle OpenWorld
での発表:ラリー・エリソン基調講演 (1/2)
•
データ漏洩事件が継続的に発生しており、その対抗措置として、
セキュリティ対策とデータベース運用の
自動化
によるデータ漏洩防止が重要
•
Equifax(
消費者信用情報会社): Strutsの脆弱性により1億4300万件が漏洩
•
クレジットカード番号
,
社会保障番号(Social Security Number), 自宅住所など
•
Equifax CEO
、役員およびIT管理チームが辞任
•
Office of Personnel Management:
連邦従業員2000万人
•
セキュリティクリアランス
、指紋、社会保障番号、自宅住所
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Oracle OpenWorld
での発表:ラリー・エリソン基調講演 (2/2)
•
このために、機械学習を活用した自動化を実現するソリューションを紹介
–
Oracle Management and Security Cloud
:クラウド、オンプレミスの様々なログを収集し、
機械学習を活用したセキュリティ脅威の検知と、自動対処
Oracle Management and Security Cloud
の特長
•
クラウド型の統合された“セキュリティ対策”を実現
–
1
つのシステムでオンプレミス、クラウド両方の運用とセキュリティデータの監視、管理、分析
•
機械学習によるデータ異常(セキュリティ脅威)の迅速な検出
–
「普通のアクティビティ」と「例外的なアクティビティ」を自動で識別
–
アルゴリズムだけでなく、あらかじめ適用済みの機械学習を活用
•
脅威への対処を自動化
–
ポリシーからの逸脱や、検出した脅威を自動で対処し、被害を最小化
収集したデータを、“セキュリティ対策”と“IT運用”に
両方で活用し、投資を最適化
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Oracle Management and Security Cloud
クラウド型の統合されたセキュリティ対策を実現
21
Asset context
FW
AP
DB
PC
オンプレミス
③ IDアクセス管理
Identity
④ フォレンジック
Log Analytics
① 統合セキュリティ分析
Security Monitoring
and Analytics
②クラウド利用監視
CASB
Office
365
Salesforce
box
Amazon
Suite
Slack
Oracle
⑤ 構成監視
Configuration and
Compliance
⑥ 自動対処
Orchestration
自動対処済
件数
インシデント
件数
ハイリスクなもの
残存する
Mary Baker
の高リスク
のインシデントを調査
ログ件数
91
億
Oracle OpenWorld
の ラリー・エリソン
基調講演でのデモンストレーションより
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. | 23
Mary Baker
の行動を追跡
フィッシングサイト
へのアクセス
総当たり攻撃
パスワード
異常なSQL発行
(
機械学習ベース)
Amazon S3
での
設定変更
(CASB
より)
自動対処
(MFA(
多要素認証)の有効化など)
Oracle OpenWorld
の ラリー・エリソン
基調講演でのデモンストレーションより
Oracle Management and Security Cloud
サービス概要
統合セキュリ
ティ分析
①
Security Monitoring and Analytics Cloud
Service
オンプレ・クラウド上のあらゆる運用データの相関分析とセ
キュリティ脅威の可視化
CASB
②
CASB Cloud Service
様々なクラウドサービスに対するユーザー行動の可視化と
セキュリティ脅威の検知
ID
・アクセス
管理
③
Identity Cloud Service
クラウド・オンプレの様々なアプリケーションへの認証統合
(IDaaS)
フォレンジック
④
Log Analytics Cloud Service
あらゆるIT環境のログ収集・分析と問題点の可視化
構成管理
⑤
Configuration and Compliance Cloud
Service
様々な規定を基にしたITアセスメントとITシステムの脆弱
性を可視化
自動レスポンス
と対処
⑥
Orchestration Cloud Service
検出した脅威・脆弱性に対する単一のコントロールポイ
ントからのアクションを自動化
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
