ゼロトラスト・セキュリティ - 流行語ではない、サイバーセキュリティの万能薬 (2022/12/01)

ゼロトラスト・セキュリティ - 流行語ではない、サイバーセキュリティの万能薬 (2022/12/01)

https://blogs.oracle.com/cloud-infrastructure/post/zero-trust-security-buzz-word-but-elixir-of-cyber-security

投稿者:Krithiga Gopalan | Director, Enterprise Security

Paul Toal | OCI Security Specialist Senior Director


オラクルは、Oracle Cloud Infrastructure(OCI)をセキュリティファーストの設計理念で構築し、ハードウェアベースのRoot of Trust、Isolated Network Virtualization、ハイパーセグメンテーションなどの制御を通じて、ゼロトラストのコアセキュリティを一から実装しています。このセキュリティファーストの設計に加え、お客様がこの哲学に従うことを支援するセキュリティサービスも提供しています。セキュリティの世界は止まっていませんし、OCI が開発し、お客様に提供するセキュリティ機能に関してもそうです。その結果、ホワイトペーパー「Approaching Zero Trust Security in Oracle Cloud Infrastructure」の更新版を発表することになりました。



今年初めに発表されたM-22-09メモランダムをご存知でしょうか。このメモランダムには、2024年までに米国政府をZero Trust Architectureに移行させるという米国連邦の戦略が記されています。この戦略は、連邦政府のサイバーセキュリティにおけるパラダイムシフトの基礎となり、他が追随するためのモデルを提供するものです。この覚書にある「連邦政府はもはや従来の境界線ベースの防御に頼ることはできない」という記述そのものです。ユーザーは、ネットワークではなく、アプリケーションにログインする必要があります。」これは、伝統的な「城とネズミ」のセキュリティモデルが過去数十年の間にいかに変化したか、そして組織が次のサイバーセキュリティ侵害への対応をいかに待つべきでないかを示す典型的な兆候です。むしろ、組織はより弾力性のあるゼロトラストセキュリティを構築するために、より積極的な措置を講じなければならないのです。以下の覚書の序文にあるように、米国政府の各省庁はゼロトラスト・アーキテクチャーに移行することが求められている。


「この覚書は、連邦政府ゼロトラストアーキテクチャ(ZTA)戦略を定め、ますます巧妙化・持続化する脅威キャンペーンに対する政府の防御を強化するため、2024年度末までに特定のサイバーセキュリティ基準および目標を達成するよう各機関に求めている。」とあります。


私たちは、お客様がサイバーセキュリティに対する全体的なアプローチを改善するためにゼロトラストモデルを採用する計画について、非常に頻繁に耳にします。ゼロトラスト・セキュリティは、購入できるツールや製品でもなければ、アプリケーション内で有効にできるチェックボックスでもありません。これはセキュリティのパラダイムであり、採用には時間、労力、および投資が必要な多段階のアプローチです。Oracle Cloud Infrastructure(OCI)は、Zero Trust Securityの実現を加速させるのに役立ちます。


この最新版では、前バージョンで使用したベータ版の原則ではなく、英国国立サイバーセキュリティセンター(NCSC)が最終的にリリースした8つのゼロトラストセキュリティ原則を使用するよう、ペーパーをアップデートしています。さらに、以下のような最新のOCIセキュリティ機能の一部についてもペーパーを更新しています。

  • OCI Threat Intelligence
  • Oracle Cloud Guard Threat Detector
  • Oracle Cloud Guard Fusion Applications Detector
  • OCI Vulnerability Scanning
  • OCI Bastion
  • OCI Certificates
  • Custom Security Zones
  • OCI WAF protection on load balancers
  • OCI Network Firewall (powered by Palo Alto)
  • OCI Identity and Access Management (IAM) Domains (the merger of OCI IAM and Identity Cloud Service (IDCS) into a combined service).


まだホワイトペーパーをお読みでない方で、OCIに興味があり、ゼロトラスト・セキュリティへのアプローチに役立つと思われる方は、是非ご覧ください。このホワイトペーパーは、ゼロトラスト・セキュリティの実現に向けた非常に実用的なアプローチを提供しています。もし、あなたが既にこのペーパーをご覧になったのであれば、今一度、このペーパーに目を通し、上記の新しいOCIセキュリティ・サービスが、あなたのゼロトラスト・セキュリティ・アーキテクチャ全体にどのように適合できるかを確認する良い機会かもしれません。


ゼロトラスト・セキュリティにまつわるさまざまな神話をよく耳にするので、その中でも特によく耳にする神話を払拭したいと思います。



神話1:ゼロトラストは単なるマーケティングの誇大広告であり、実用的なモデルではない。


多くの企業が自社の製品やサービスをゼロトラストに対応させる機会を得ていますが、これは単なるマーケティングの宣伝文句ではありません。ゼロトラストは、オンプレミスとクラウドの両方でデータが複数の場所に分散している現代のIT環境における設計思想であり、セキュリティに関する新しい考え方なのです。さらに、米国国立標準技術研究所(NIST)のような出版物を通じて、この運動は人口と勢いを増しています。


神話2:ゼロトラスト・セキュリティは、セキュリティ・アーキテクチャが成熟した大組織だけのものである。


先に述べたように、ゼロトラスト・セキュリティはセキュリティ製品やソリューションではなく、セキュリティ・パラダイムであり、どんな組織にも徐々に導入できる多段階のアプローチである。例えば、組織がユーザーに対して多要素認証(MFA)を義務付け始めるといった簡単なところから始めることができる。つまり、ゼロトラスト・セキュリティは、小規模な組織にとっても、最初から適切なセキュリティ・アーキテクチャを構築できるメリットがあるのです。


神話3:ゼロトラストはネットワークセキュリティやアイデンティティにのみ焦点を当てるものである。


ネットワークのセキュリティ、アイデンティティとそのアクセスのセキュリティ、サービスのセキュリティと監視です。これらはすべて、組織の至宝であるデータを保護するために連携させる必要があります。


  1.     ゼロトラスト・アーキテクチャでは、ネットワークが敵対的であると仮定して、ネットワークをマイクロセグメント化して爆発半径を制限する方法を考える必要があります。また、ネットワーク上の活動パターンを特定し、侵害の指標となるような継続的な保護監視をどのように行うかを考えなければなりません。つまり、ネットワークはZTSの最初の次元なのです。
  2.     次に、誰がデータやサービスにアクセスしているかを理解する必要があります。ネットワークは本質的に信頼できるものではないので、アクセスを許可する前に、システムに接続しようとするあらゆるものを認証・認可することが重要です。適切なアイデンティティに適切なリソースとデータにアクセスするための適切な権限が与えられていることを確認するために、強固なアクセスポリシーが必要なのです。 つまり、ZTSの2つ目の側面はアイデンティティです。
  3.     ネットワークが信頼できないことを考えると、セキュリティ・サービスは、継続的な監視と必要に応じての自動修正ツールによって環境を保護するように設計される必要があります。すべてのサービスは、リクエストとレスポンスのフローごとに、リアルタイムで動的にセキュリティ制御を適用しなければなりません。これは境界だけでなく、インフラ、ネットワーク、アプリケーション、企業内のデータアクセスポイントなどあらゆる層で行われます。また、健全性の観点だけでなく、リアルタイムの脅威検知の観点からも、環境を適切に監視する必要があります。


したがって、ゼロトラスト・セキュリティの実現には、これらの要素がすべて連動し、重層的な防御メカニズムを提供する必要があるのです。


神話4:ゼロトラスト・セキュリティはユーザーエクスペリエンスを低下させる。


ゼロトラスト・セキュリティが適切に実装されていれば、ユーザー・エクスペリエンスが向上し、セキュリティ・アーキテクチャ全体の複雑さが軽減されるはずです。また、セキュリティ上の弱点を回避し、バックドア・アクセスを防止することができます。例えば、ID管理を一元化することで、ユーザーは覚えるパスワードを減らすことができ、MFAのような追加セキュリティに対しても共通でポジティブなエクスペリエンスを持つことができます。


ですから、まだ始めていないのであれば、ぜひゼロトラストの旅を始めてみてください。 その第一歩として、ゼロトラストのセキュリティ戦略に合致し、ゼロトラストに基づくプログラムを加速させるために必要なコントロールを提供できるクラウド・プロバイダを選択することをお勧めします。オラクルがお客様のZero Trustセキュリティ・アプローチをどのように支援できるかの詳細は、こちらの最新版ホワイトペーパーをご覧ください。



コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13)

イメージ
Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13) https://database-heartbeat.com/2021/12/13/three-ways-backup-cloud/ はじめに Oracle Cloudでは、ボタンをクリックするだけで自動バックアップを有効にするオプションが用意されています。バックアップの要件が異なる場合でも、手動でバックアップ設定を行い、コマンドライン・ツールやRMANを直接使用してバックアップを作成する柔軟性があります。これは、VM DB Systems、Exadata Cloud Service、およびExadata Cloud at Customerに適用されます。 このブログ記事では、Oracle Cloud Object Storageをバックアップ先として使用する場合の、さまざまなバックアップ・オプションの主な違いと、それに伴うコストについて紹介します。Object Storageは、内蔵されたトリプル・ミラーリングと99.999999%(イレブンナイン)の耐久性を提供します。 ハイブリッド・クラウドとマルチ・クラウド Oracle Cloud Object StorageへのOracle Databaseのバックアップは、Oracle Cloud上のOracle Databaseに限らず、ハイブリッドクラウド上のオンプレミスのOracle Databaseや、マルチクラウド環境のOracle以外のクラウド上で稼働しているOracle Databaseに対しても、RMANを介して実装することができます。 プライベートおよび専用のネットワーク接続は、FastConnect、Azure Interconnect、またはサードパーティのネットワーク接続プロバイダを介して提供できます。マルチクラウド環境では、クラウドプロバイダー、リージョン、転送するデータ量に応じて、追加のアウトバウンドトラフィックコストが発生する可能性があります。オラクルをはじめとする多くのクラウドプロバイダーは、すでに Bandwidth Alliance に参加しており、ネットワークエグレス料金を削減または排除しています。 環境について     Oracle Cloud VM DB Sy
続きを読む