oracle direct seminar · 情報の非対称性を補完してユーザを保護しなければ...

<Insert Picture Here>

Oracle Direct Seminar

クラウド時代のセキュリティ～最新テクノロジーがもたらす解決策

日本オラクル株式会社

Copyright© 2010, Oracle. All rights reserved. 2

本日のアジェンダ

• クラウドのセキュリティについて

• クラウド環境におけるセキュリティ課題の解決策

• オラクルが提供するソリューション

Copyright© 2010, Oracle. All rights reserved.

1. クラウドにおけるセキュリティの課題について

3


クラウドのロードマップとセキュリティレベルの統合

4

プライベートクラウド

• セルフサービス

• ポリシーベースのリソース管理

• 従量課金

Private IaaS

Private PaaS

App1 App2 App3

プライベートクラウドへの進化

パブリッククラウドの進化

PaaS

SaaS

IaaS

パブリッククラウド

サイロ型共通基盤化

• 物理サーバー

• 専用環境

• 静的

• ヘテロ環境

• 仮想化

• シェアードサービス

• 動的

• 標準化された部品

App1 App2 App3

App1 App2 App3

Private IaaS

Private PaaS

ハイブリッド

• パブリッククラウドとの連携

• 相互運用性

• クラウドバースティング

Private IaaS

Private PaaS

Virtual Private Cloud

ハイブリッド

PaaS

SaaS

IaaS

App1 App2 App3

プライベート・クラウドでは、自らリスクをコントロールすることができる。

したがって必要に応じて、高いレベルのセキュリティを実現することができる

ハイブリッドなクラウド環境を構築したとき、プライベート側とパブリック側のセキュリティレベルを同じにしなければ、全体が脆弱になる


お客様がクラウドを利用する際の懸念点とは

5

問, クラウド/オン・デマンド型システムモデルを利用する際の課題とは？

セキュリティ

パフォーマンス

可用性/耐障害性

社内システムとの連携が困難

カスタマイズ性が不十分

社内環境への移行が困難

社内規定により利用不可能

大手ベンダが未だ参画していない

オン・デマンド型による更なるコスト増

サービスレベル

セキュリティ

Source: IDC eXchange, "IT Cloud Services User Survey, pt. 2: Top Benefits & Challenges," (http://blogs.idc.com/ie/?p=210), October 2, 2008

要件適合度


情報の非対称性とユーザの不安

6

クラウド提供側

• 自分で作ったものの欠陥はよく知っている。

販売/提供

＜欠陥を含めた

製品に関する情報量に差

どんなリスクがあるか？どう情報を守っているのか？顧客に正しく伝えていない

この会社に個人情報預けて大丈夫か？

基幹システムが保護できるのか？

[出典] レモン市場：ジョージ・アカロフ[1970] 『The Market for Lemons: Quality Uncertainty and the Market Mechanism』

情報の非対称性を補完してユーザを保護しなければユーザはサービスを適切な価格で買わない（市場が有効に働かない）

クラウド利用側

• 買って使ってみなければ品質がわからない。

• 買う前に品質を見極めるのは困難である。


クラウド内部は統制の範囲である

7

プライベートクラウド

• セルフサービス

• ポリシーベースのリソース管理

• 従量課金

Private IaaS

Private PaaS

App1 App2 App3

プライベートクラウドへの進化

パブリッククラウドの進化

PaaS

SaaS

IaaS

パブリッククラウド

サイロ型共通基盤化

• 物理サーバー

• 専用環境

• 静的

• ヘテロ環境

• 仮想化

• シェアードサービス

• 動的

• 標準化された部品

App1 App2 App3

App1 App2 App3

Private IaaS

Private PaaS

ハイブリッド

• パブリッククラウドとの連携

• 相互運用性

• クラウドバースティング

Private IaaS

Private PaaS

Virtual Private Cloud

ハイブリッド

PaaS

SaaS

IaaS

App1 App2 App3

内部統制報告制度個人情報保護法・ガイドラインISMS認証取得プライバシーマークPCIDSS

コンプライアンス要件

監査・審査


クラウドを支える基盤のセキュリティ

8

• 特権・管理者権限は適切に管理され、可能な限り分離されていること。

• ユーザー（企業・組織）ごとにデータは隔離されていて他のユーザーの情報を閲覧・改ざんできないこと。

• 適切な強度の認証とアイデンティティ管理が確実に行われること。

• 各種コンプライアンスの要求に応えるため履歴の取得と適切な開示ができること。

• OSレベルの脅威、バックアップ、開発用システムに対する脅威に対して情報を保護できること。

• システムにおける最新のセキュリティ状態を管理していること。


クラウドのセキュリティモデルとオラクル

9 9

（出典：Cloud Security Alliance 「Security Guidance for Critical Areas of Focus in Cloud Computing V2.1」 page24のモデル)

構成・変更管理・セキュリティ機能の管理・パッチの管理（Oracle Enterprise Manager）

プラットフォームのセキュリティOS上のアクセスコントロール仮想化環境のセキュリティ

データベースセキュリティマルチテナントでの権限分離（Oracle Database Vault）暗号化による情報保護（Oracle Advanced Security）監査とモニタリング、レポーティング（Oracle Audit Vault）

ミドルウエアのセキュリティ認証統合・連携（Oracle Identity Management）リスクベース認証（Oracle Adaptive Access Manager）コンテンツ保護（Oracle Information Rights Management）

暗号化による情報保護（Oracle Advanced Security）

データマスキング（Oracle Data Masking）

Applications

Information

Management

Network

Trusted Computing

Compute & Storage

Physical

Cloud Security Alliance

クラウドのセキュリティモデル


2. クラウド環境におけるセキュリティ課題の解決策

10


IaaS

PaaS

SaaS

プライベートクラウドパブリック・クラウド

• ID情報や属性の重複を避け、利用者にシングルサインオン環境を提供

• クラウドサービスへのID配信、セルフ・サービスによる登録やライフサイクル管理を実現

• 他のユーザーの情報を閲覧・改ざんできないこと

• 適切な強度の認証によるなりすまし、フィッシング対策

• レポートなどのコンプライアンス要件への対応

クラウド環境での考慮点

11


解決策1 : アクセス制御～クラウドサービス間での認証連携

Identity Repository

Identity Provider(IDP)

Service Provider(SP)

Identity Repository

関連企業のアプリケーション

購買担当

SAML 2.0 Response (Purchasing Mgr)

A B

フェデレーション

NAME:

SCOTT TIGER

TITLE:

PURCHASING MGR

NAME:

SAM GREEN

TITLE:

PURCHASING MGR

IDP A TITLE:

PURCHASING MGR

SP ROLE:

CUSTOMER

12


解決策2 : アクセス制御～リスクベースでのアクセス制御

認証キーバッド

デバイス位置日時アクティビティ

リスクベース認証リスクをスコア

偽サイトに誘導するE-mail

盗んだID・パスワード

悪意を持ったユーザー

13


解決策3 ：特権・管理者権限を管理

ID管理

データベース管理者をアクセス制御

管理対象システム

IDのライフサイクル管理

会計システム管理者

データベース管理者購買

システム

会計システム

正社員人事システム

情報取得

ID管理システム

派遣社員承認セルフサービス

ホスト、日時

SPML

ポリシー確認

14


3. オラクルが提供するソリューション

15


•暗号化で情報を守る

•特権ユーザを管理する

•監査ログ収集・管理を行う

•セキュアなテスト環境を構築

Identity Management

Information RightsManagement

Databases

Applications

Content

Oracle セキュリティソリューション全体像

Infrastructure

•人事イベントに連動したID管理

•より強固なアクセス制御

•統合ディレクトリ

•パスワード管理の効率化

•暗号化しアクセス権を制御

•ファイルの操作権を制御

•参照期間の制限

•ファイルの所在・操作の追跡

Information

Database Security

16


Sunとの統合により強化されたID管理製品

• 2009年4月 Oracle と Sunの両社の合併を合意

• 2010年1月 Oracleによる Sun買収を完了

• 2010年6月1日日本オラクルと日本サンマイクロシステムズの統合を完了

17

Sun ID管理製品

Oracle ID管理製品


Oracle Identity Management 11g～オラクル＋サンの融合

18

Oracle Platform Security Services

シングルサインオン、アクセス制御

ID管理統合ディレクトリ

Access Manager

Adaptive Access Manager

Enterprise Single Sign-On

Identity Federation

Entitlements Server

Identity Manager Directory Server EE

Internet Directory

Virtual Directory

Identity Analytics

Management Pack For Identity Management

運用管理ツール

権限/ロール管理


Oracle Identity Management 全体像～人とそれに紐づくID情報・アクセス権限をワンストップで管理

19

`

Identity

Manager

ID自動変更管理

管理者

ディレクトリ

業務システムデータベース

Directory Server

Enterprise Edition

Virtual Directory

組織とユーザー情報の連携

Identity

Analytics

人事システム

Identity Federation社外

フェデレーション

DMZ

ID統合ディレクトリ

社内ユーザー

社内

他社認証基盤・SaaS アプリケーション

認証

外部向け認証サーバ

Adaptive Access

Manager

なりすまし、フィッシング対策

多要素認証

Access

Manager

Webアクセス

Webアクセス

社外ユーザー

SSO アクセス・認証管理

文書管理システム

メール

外部向けWEBアプリ


Oracle Identity Management 11gのキーコンセプト

20

混在環境への対応

セキュリティ製品の統合と標準化

Service-

Oriented

Security


Oracle Identity Management 11g～ UIの統合

21

ADFベース（Oracle標準UIフレームワーク）のUIで操作を統一

管理の統合

操作の簡素化Oracle Access Manager

管理コンソール

Oracle Directory Services


Oracle Identity Manager


管理ポータル

Oracle Identity Navigator

21


Oracle WebLogic ServerとOracle製品標準のインストール、パッチ管理

ID管理

共通IDレポジトリ

Fusion Middlewareのサービス(モジュール）

SOA Suite OES OVD JRF (ADF/MDS/OPSS) BI Publisher Enterprise

Manager

Domain Template Management

OPatch PatchingOracle Upgrade Assistant

ID StoreOperational DB Audit DB

OUI Install and Post Install Config

データ・レイヤー

Scheduler

業務の効率化

エンドユーザ、管理者、内部統制担当

セキュリティの向上クラウド時代の外部接続

ホット・プラガブル開発性向上

アクセス制御不正アクセス防止フェデレーション

Oracle Identity Management 11g～ミッションクリティカルに強い標準化されたアーキテクチャ

22


システム管理をより簡単にまとめる～ Oracle Enterprise Managerを利用した運用・監視

• 50以上のメトリックを確認できる、見やすいパフォーマンスモニターを提供

• 診断と法令対応のための構成管理機能を提供

• 設定のバージョニングとパラメータ比較

• 稼働中のシステムのSLA管理を一元化

アクセス管理

ID管理

Oracle Enterprise

Manager IdM Pack

ディレクトリ

23




Service-

Oriented

Security


24


Develop

Deploy

Enforce

Design

Package

Monitor

• 標準技術によるセキュリティ・レイヤーを提供

• 開発ツールから簡単に呼び出せるセキュリティサービス

• アプリケーションからセキュリティを切り離し、全社規模での標準セキュリティを実現

• システム基盤全体を通してセキュリティの透明度を向上させ、より高く、そろったレベルのセキュリティを提供

Service-Oriented Security～アプリケーション開発ライフサイクル

25


• IDの一元管理

•監査・レポーティングの提供

•共通のインストール・設定

•開発ライフサイクルを通してのセキュリティ管理

•呼び出し型セキュリティ

•開発を通しての共通セキュリティ設定ウィザード

デザイン/開発パッケージングデプロイ

運用/監視

Oracle Platform Security Services (OPSS)～手組システムも含めたセキュリティの標準化と管理の簡素化

26


ID, パスワード, ポリシー情報プロバイダ

Fusion Apps 3rd Party/Custom Apps Cloud Service Providers

Web Services

ロール管理ディレクトリID管理認可認証監査

アクセス管理サービスディレクトリID管理サービス

認証連携

Identity as a Service

27

セキュリティーレイヤー




Service-

Oriented

Security


28


標準規格、アプリケーション、プラットフォームへの対応

29

Leading Standards:

Innovate, Contribute,

Implement

Support All Leading

Applications

and Systems

ACF-2 & TSS


Oracle Identity Management 製品紹介と特長

30


Oracle Identity Federation

～企業、グループ会社間での複数認証基盤の連携

各拠点の既存のアクセス制御資産を活かしたシングル・サインオンの実現

拠点をまたいだ認証連携によるユーザ利便性の向上

31

関連会社・支店

従業員・パートナー・顧客

SAML 1.x

SAML 2.0

Windows CardSpace

WS-Fed

OracleIdentity Federation

クラウドアプリケーション

企業内のアプリケーション


Oracle Adaptive Access Manager～なりすまし、フィッシング対策

Webサイト

盗んだID・パスワード

悪意を持ったユーザー

利用者のパスワード盗難に対するさまざまな脅威を防ぐ強固な認証(Adaptive Strong Authenticator)

詳細なアクセス制御によるリアルタイムの不正行為予防

(Adaptive Risk Manager)

不正行為の防止認証強化

認証キーパッド

正規のユーザー

リスクのリアルタイム分析による不正行為の防止

認証キーパッドや多要素認証による認証強化

32


Oracle Identity Manager～人事処理と連動したIDライフサイクル管理を実現

ID管理の自動化とセルフサービス機能による運用負荷軽減

退職者、不正IDを迅速に削除するセキュアな基盤を実現

レポート作成や棚卸工数などの監査対応工数を削減

顧客情報管理システム

売上管理システム

文書管理システム

Oracle Identity Manager

属性・ルールに基づいたグループ化・ポリシー割当て

IDの自動配信と自動削除

配信対象システム

ユーザ情報の取得

人事システム、またはコーポレートディレクトリ

監査ログ

管理者･ID情報の管理

ユーザ・パスワード変更・システム利用申請

33

SPML


• 認証ディレクトリ、ID管理、認証に加え、

お客様の要件に応じて強化が行えます。

大規模なユーザーも一元管理可能なディレクトリ

統合認証ディレクトリ

入社、異動、退社などの人事イベントと連動してID作成・変更・削除を自動

化

人事システムと連動したID管理

業務に必要なあらゆるアプリケーションの自動ログオンとパスワード管理の効率化

ホスト、クラサバへのSSO リスクのリアルタ

イム分析による不正アクセスの予防と検知・遮断と強固な認証

リスクベース認証

複数認証基盤の連携

関連会社や取引先に既にある人相基盤とのSSO

を実現Web SSO(*)

Webシステムに対する認証とユーザの属性に応じた認可を実現

権限管理

アプリケーションのよりきめ細やかな権限管理を

実現

*SSO：シングルサインオン

Oracle Identity Management 特長～ユーザー認証・ID管理を要件に応じて強化

34


顧客志向

• 顧客環境に適応、投資対効果のある導入

• 製品選定から、導入後まで、長期にわたる手厚いサポートの提供

• お客様要望を製品に反映する場の開催

Oracle Identity Management 特長～永く安心してご利用いただくために

お客様要望を製品に反映する場の開催

• Customer Advisory Board

• 導入済み顧客と定期的に話し合いを持ち、今後のロードマップや、製品の改良を共同で行う仕組みです

• 弊社開発責任者のお客様訪問

• 役員レベルの方との今後のオラクルの戦略の共有や、将来の企業の投資を話す場です

• User Community Meeting、CIO Round Table

• 日本での、セキュリティを含むFusion Middleware

への取り組みを報告、ユーザー様からの意見をもらう場としての活用しています

• Customer Visit Center

• 直接開発責任者と話し合いをする場を設けていますオーストラリア

フロリダ

コロラドUK

日本

9:00～22:00 22:00～9:00

カルフォルニア

業界最高水準のサポートサービス

• 導入からサービスイン後まで、日本人による、日本語での24時間365日対応

• すべての導入、アップグレードが成功するよう、Product Managementからサポートへの協力体制

• 日本に製品パッチ作成部隊を配置することで、早急なパッチ提供を実現

35


信頼と実績

• 第三者機関からの評価

• 小規模から大規模、ミッションクリティカル環境での豊富な実績

• 過去の成功実績を元にした、導入のベストプラクティスの提供

Oracle Identity Management 特長～信頼と実績の製品

http://www.gartner.com/technology/media-products/reprints/oracle/article99/article99.html

“Oracle has established itself as Leader.”

- The Forrester Wave: Identity And Access Management, Q1 2008

•豊富な国内事例

事例：サークルＫサンクス様

36

“Oracle remains in theNo.1 position”

Gartner RAS Core Research –Magic Quadrant for User Provisioning

30 September 2009


Oracleの「セキュリティ製品に対する投資」

• 製品の継続的な進化、ポートフォリオの拡大、人材の登用

• 今後も、Oracle FM、Oracle Applications（EBSなど）、Oracle DBのセキュリティ基盤（＝継続的な開発の確約）

• セキュリティ標準化団体でのリード、積極的な参加

• 500名を超える開発部隊と専任製品エンジニアが対応しています。

Oracle Identity Management 特長～将来の基盤を継続的に支えます

20102005

売上高

製品数

顧客数

開発者 & PM

導入パートナー

第3者機関評価

3

< 250

< 60

< 5

Niche Player

> 1,300% growth

18

> 500

> 100

Suite Leader

• セキュリティ製品関連組織への投資

• 500人以上の開発者、25人以上のPM、80人以上の品質管理担当、90人以上の専任サポート

•標準化団体でのリード• SSTC (SAML Working Group) - Co-Chair

• Liberty Alliance - President, Board Member

• WSS, WS-SX (Web Services Security), JCP - Author

• SPML - Author

• XACML – Voting member

•革新• Identity Governance Frameworkの実装: CARML,

AAPML

•セキュリティ製品の実装に標準技術の利用

Databases

ApplicationsContent

Infrastructure

Information

Security

37

6,000


ID管理アセスメント・サービス

38

1ワークショップの目的共有化と課題のヒアリング

Oracle IDMのプロがお客様のID管理の課題を可視化

2個別システム調査結果の確認と全社業務ルールの調査

3浮かび上がった現状をID管理のベストプラクティスに照らし合わせて課題を明確化

4要件定義で実施すべき検討テーマや体制を話し合い、ワークショップの総括を実施

3

1

システム

確認項目2

4

システム


まとめ

• クラウド環境における様々なリスクに対し、オラクルではその課題に対して、部分対処ではなくお客様の要件に応じ利用頂ける製品ポートフォリオを提供します。

課題を可視化をするアセスメントサービスを提供します。

• データベース、ミドルウェア、業務アプリケーション、クライアントのすべての層に渡って、クラウド対策を可能にするのがオラクルです。


Oracle Security Solution Webサイト

40

「oracle security」で検索


オラクルのセキュリティソリューション製品

• 企業のセキュリティソリューションを支援するためのソフトウェアおよび機能を提供しており、世界中で多くの実績を持っています。

１．情報セキュリティ対策

アイデンティティ（ID）管理

LDAP IDライフサイクル管理

認証・アクセス制御（アクセス管理）

統合型認証・アクセス制御連携型認証（フェデレーション）

Oracle Internet Directory

Oracle Virtual Directory

Oracle Directory Server EE

Oracle Identity Manager Oracle Access Manager Oracle Identity Federation

Oracle STS/Fedlet

職務分掌、ロール管理 Windows環境のシングル・サインオン認証・アクセス制御の強化

Oracle Identity

Analytics

Oracle Enterprise Single Sign-On Suite Plus Oracle Adaptive Access Manager

Oracle Entitlements Server

データ・セキュリティの強化

Oracle Advanced Security

Oracle Database Vault

Oracle Label Security

Oracle Audit Vault

Oracle Data Masking

Enterprise User Security

アプリケーション・セキュリティ

Oracle WebLogic Security （OPSS）

電子文書の取扱いに関するセキュリティの強化

Oracle Universal Content ManagementOracle Information Rights Management

41


OTN×ダイセミでスキルアップ!!

※OTN掲示版は、基本的にOracleユーザー有志からの回答となるため100%回答があるとは限りません。ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。

Oracle Technology Network(OTN)を御活用下さい。

・一般的な技術問題解決方法などを知りたい！・セミナ資料など技術コンテンツがほしい！

一般的技術問題解決にはOTN掲示版の

「データベース一般」をご活用ください

http://otn.oracle.co.jp/forum/index.jspa?categoryID=2

過去のセミナ資料、動画コンテンツはOTNの

「OTNセミナーオンデマンドコンテンツ」へ

http://www.oracle.com/technology/global/jp/ondemand/otn-seminar/index.html

※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。ダイセミ資料はOTNコンテンツオンデマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。

http://otn.oracle.co.jp/forum/index.jspa?categoryID=2


OTNセミナーオンデマンドコンテンツダイセミで実施された技術コンテンツを動画で配信中!!

ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。

※掲載のコンテンツ内容は予告なく変更になる可能性があります。期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。

OTN オンデマンド

最新情報つぶやき中

oracletechnetjp

・人気コンテンツは？

・お勧め情報

・公開予告など


Oracle エンジニアのための技術情報サイト

オラクルエンジニア通信http://blogs.oracle.com/oracle4engineer/

• 技術資料

• ダイセミの過去資料や製品ホワイトペーパー、スキルアップ資料などを多様な方法で検索できます

• キーワード検索、レベル別、カテゴリ別、製品・機能別

• コラム

• オラクル製品に関する技術コラムを毎週お届けします

• 決してニッチではなく、誰もが明日から使える技術の「あ、そうだったんだ！」をお届けします先月はこんな資料が人気でした

Oracle Database 11gR2 RAC インストレーション・ガイド ASM 版 Microsoft Windows x86-64

Oracle Database 11gR2 旧バージョンからのアップグレード

オラクルエンジニア通信

最新情報つぶやき中

oracletechnetjp

http://blogs.oracle.com/oracle4engineer/


オラクルクルクルキャンペーン

45

Enterprise Editionはここが違う!!

•圧倒的なパフォーマンス!

•データベース管理がカンタン!

•データベースを止めなくていい!

• もちろん障害対策も万全!

Oracle Databaseのライセンス価格を大幅に抑えて

ご導入いただけます

詳しくはコチラ

http://www.oracle.co.jp/campaign/kurukuru/index.html

あのOracle Database Enterprise Editionが超おトク!!

お問い合わせフォームhttp://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

多くのお客様でサーバー使用期間とされる

5年間にライセンス期間を限定

•期間途中で永久ライセンスへ差額移行

• 5年後に新規ライセンスを購入し継続利用

• 5年後に新システムへデータを移行

2010年11月30日まで


http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

Oracle Direct 検索

あなたにいちばん近いオラクル

Oracle Directまずはお問合せください

Web問い合わせフォームフリーダイヤル

専用お問い合わせフォームにてご相談内容を承ります。

※フォームの入力には、Oracle Direct Seminar申込時と同じログインが必要となります。

※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。

0120－155－096

※月曜~金曜 9:00~12:00、13:00~18:00

（祝日および年末年始除く）

システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。

システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。

http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

oracle direct seminar · 情報の非対称性を補完してユーザを保護しなければ...

Documents