ゼロトラスト・セキュリティ - 流行語ではない、サイバーセキュリティの万能薬 (2022/12/01)

ゼロトラスト・セキュリティ - 流行語ではない、サイバーセキュリティの万能薬 (2022/12/01)

https://blogs.oracle.com/cloud-infrastructure/post/zero-trust-security-buzz-word-but-elixir-of-cyber-security

投稿者:Krithiga Gopalan | Director, Enterprise Security

Paul Toal | OCI Security Specialist Senior Director


オラクルは、Oracle Cloud Infrastructure(OCI)をセキュリティファーストの設計理念で構築し、ハードウェアベースのRoot of Trust、Isolated Network Virtualization、ハイパーセグメンテーションなどの制御を通じて、ゼロトラストのコアセキュリティを一から実装しています。このセキュリティファーストの設計に加え、お客様がこの哲学に従うことを支援するセキュリティサービスも提供しています。セキュリティの世界は止まっていませんし、OCI が開発し、お客様に提供するセキュリティ機能に関してもそうです。その結果、ホワイトペーパー「Approaching Zero Trust Security in Oracle Cloud Infrastructure」の更新版を発表することになりました。



今年初めに発表されたM-22-09メモランダムをご存知でしょうか。このメモランダムには、2024年までに米国政府をZero Trust Architectureに移行させるという米国連邦の戦略が記されています。この戦略は、連邦政府のサイバーセキュリティにおけるパラダイムシフトの基礎となり、他が追随するためのモデルを提供するものです。この覚書にある「連邦政府はもはや従来の境界線ベースの防御に頼ることはできない」という記述そのものです。ユーザーは、ネットワークではなく、アプリケーションにログインする必要があります。」これは、伝統的な「城とネズミ」のセキュリティモデルが過去数十年の間にいかに変化したか、そして組織が次のサイバーセキュリティ侵害への対応をいかに待つべきでないかを示す典型的な兆候です。むしろ、組織はより弾力性のあるゼロトラストセキュリティを構築するために、より積極的な措置を講じなければならないのです。以下の覚書の序文にあるように、米国政府の各省庁はゼロトラスト・アーキテクチャーに移行することが求められている。


「この覚書は、連邦政府ゼロトラストアーキテクチャ(ZTA)戦略を定め、ますます巧妙化・持続化する脅威キャンペーンに対する政府の防御を強化するため、2024年度末までに特定のサイバーセキュリティ基準および目標を達成するよう各機関に求めている。」とあります。


私たちは、お客様がサイバーセキュリティに対する全体的なアプローチを改善するためにゼロトラストモデルを採用する計画について、非常に頻繁に耳にします。ゼロトラスト・セキュリティは、購入できるツールや製品でもなければ、アプリケーション内で有効にできるチェックボックスでもありません。これはセキュリティのパラダイムであり、採用には時間、労力、および投資が必要な多段階のアプローチです。Oracle Cloud Infrastructure(OCI)は、Zero Trust Securityの実現を加速させるのに役立ちます。


この最新版では、前バージョンで使用したベータ版の原則ではなく、英国国立サイバーセキュリティセンター(NCSC)が最終的にリリースした8つのゼロトラストセキュリティ原則を使用するよう、ペーパーをアップデートしています。さらに、以下のような最新のOCIセキュリティ機能の一部についてもペーパーを更新しています。

  • OCI Threat Intelligence
  • Oracle Cloud Guard Threat Detector
  • Oracle Cloud Guard Fusion Applications Detector
  • OCI Vulnerability Scanning
  • OCI Bastion
  • OCI Certificates
  • Custom Security Zones
  • OCI WAF protection on load balancers
  • OCI Network Firewall (powered by Palo Alto)
  • OCI Identity and Access Management (IAM) Domains (the merger of OCI IAM and Identity Cloud Service (IDCS) into a combined service).


まだホワイトペーパーをお読みでない方で、OCIに興味があり、ゼロトラスト・セキュリティへのアプローチに役立つと思われる方は、是非ご覧ください。このホワイトペーパーは、ゼロトラスト・セキュリティの実現に向けた非常に実用的なアプローチを提供しています。もし、あなたが既にこのペーパーをご覧になったのであれば、今一度、このペーパーに目を通し、上記の新しいOCIセキュリティ・サービスが、あなたのゼロトラスト・セキュリティ・アーキテクチャ全体にどのように適合できるかを確認する良い機会かもしれません。


ゼロトラスト・セキュリティにまつわるさまざまな神話をよく耳にするので、その中でも特によく耳にする神話を払拭したいと思います。



神話1:ゼロトラストは単なるマーケティングの誇大広告であり、実用的なモデルではない。


多くの企業が自社の製品やサービスをゼロトラストに対応させる機会を得ていますが、これは単なるマーケティングの宣伝文句ではありません。ゼロトラストは、オンプレミスとクラウドの両方でデータが複数の場所に分散している現代のIT環境における設計思想であり、セキュリティに関する新しい考え方なのです。さらに、米国国立標準技術研究所(NIST)のような出版物を通じて、この運動は人口と勢いを増しています。


神話2:ゼロトラスト・セキュリティは、セキュリティ・アーキテクチャが成熟した大組織だけのものである。


先に述べたように、ゼロトラスト・セキュリティはセキュリティ製品やソリューションではなく、セキュリティ・パラダイムであり、どんな組織にも徐々に導入できる多段階のアプローチである。例えば、組織がユーザーに対して多要素認証(MFA)を義務付け始めるといった簡単なところから始めることができる。つまり、ゼロトラスト・セキュリティは、小規模な組織にとっても、最初から適切なセキュリティ・アーキテクチャを構築できるメリットがあるのです。


神話3:ゼロトラストはネットワークセキュリティやアイデンティティにのみ焦点を当てるものである。


ネットワークのセキュリティ、アイデンティティとそのアクセスのセキュリティ、サービスのセキュリティと監視です。これらはすべて、組織の至宝であるデータを保護するために連携させる必要があります。


  1.     ゼロトラスト・アーキテクチャでは、ネットワークが敵対的であると仮定して、ネットワークをマイクロセグメント化して爆発半径を制限する方法を考える必要があります。また、ネットワーク上の活動パターンを特定し、侵害の指標となるような継続的な保護監視をどのように行うかを考えなければなりません。つまり、ネットワークはZTSの最初の次元なのです。
  2.     次に、誰がデータやサービスにアクセスしているかを理解する必要があります。ネットワークは本質的に信頼できるものではないので、アクセスを許可する前に、システムに接続しようとするあらゆるものを認証・認可することが重要です。適切なアイデンティティに適切なリソースとデータにアクセスするための適切な権限が与えられていることを確認するために、強固なアクセスポリシーが必要なのです。 つまり、ZTSの2つ目の側面はアイデンティティです。
  3.     ネットワークが信頼できないことを考えると、セキュリティ・サービスは、継続的な監視と必要に応じての自動修正ツールによって環境を保護するように設計される必要があります。すべてのサービスは、リクエストとレスポンスのフローごとに、リアルタイムで動的にセキュリティ制御を適用しなければなりません。これは境界だけでなく、インフラ、ネットワーク、アプリケーション、企業内のデータアクセスポイントなどあらゆる層で行われます。また、健全性の観点だけでなく、リアルタイムの脅威検知の観点からも、環境を適切に監視する必要があります。


したがって、ゼロトラスト・セキュリティの実現には、これらの要素がすべて連動し、重層的な防御メカニズムを提供する必要があるのです。


神話4:ゼロトラスト・セキュリティはユーザーエクスペリエンスを低下させる。


ゼロトラスト・セキュリティが適切に実装されていれば、ユーザー・エクスペリエンスが向上し、セキュリティ・アーキテクチャ全体の複雑さが軽減されるはずです。また、セキュリティ上の弱点を回避し、バックドア・アクセスを防止することができます。例えば、ID管理を一元化することで、ユーザーは覚えるパスワードを減らすことができ、MFAのような追加セキュリティに対しても共通でポジティブなエクスペリエンスを持つことができます。


ですから、まだ始めていないのであれば、ぜひゼロトラストの旅を始めてみてください。 その第一歩として、ゼロトラストのセキュリティ戦略に合致し、ゼロトラストに基づくプログラムを加速させるために必要なコントロールを提供できるクラウド・プロバイダを選択することをお勧めします。オラクルがお客様のZero Trustセキュリティ・アプローチをどのように支援できるかの詳細は、こちらの最新版ホワイトペーパーをご覧ください。



コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

イメージ
Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21) https://medium.com/oracledevs/how-to-control-or-pass-validation-for-duplicate-rows-in-interactive-grid-of-oracle-apex-as-compare-18f453f750bf 投稿者: Jignesh oracle Formsでは、データブロックの重複行を制御するのは非常に簡単ですが、IGの検証を制御するにはどうすればよいでしょうか。 必要な出力 ステップ1:インタラクティブグリッドのある白紙ページを作成します(私は1つの領域「IG」を作成し、インタラクティブグリッドとしてタイプを選択しました) ステップ 2: リージョンに Static ID を定義する (私の場合、リージョンは IG で、Static ID も IG です) ステップ3:複製を制御したいカラムのStatic IDを定義します ステップ4:関数とグローバル変数に移動します コード: var validity, message, ui = this.data; (function($) { function update(model) { var projKey = model.getFieldKey(“PROJECT_ID”), recObj = [], recArray = []; model.forEach(function(record, index, id) { var projid = parseInt(record[projKey], 10), // record[salKey] should be a little faster than using model.getValue in a loop meta = model.getRecordMetadata(id); if (!isNaN(projid) && !meta.deleted && !meta.agg) { recObj = {ID: id, project_id: projid}; recArray.push(recObj)...
続きを読む

Oracle APEX 24.1の一般提供の発表 (2024/06/17)

イメージ
Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し...
続きを読む