機械翻訳について

クラウドのセキュリティの監視について

セキュリティ監視の主要な概念と、Oracle CASB Cloud Serviceが様々なタイプのリスクを処理する仕組みを理解します。

Oracle CASB Cloud Serviceでは、クラウド・アプリケーションおよびサービスのセキュリティを可視化することにより、(財務データ、通信、個人情報などの)重要なデータの安全を確保できます。

Oracle CASB Cloud Serviceには、セキュリティ・インシデント用の軽量のチケット発行システムが組み込まれています。また、チケットを外部チケット発行システムに委任することもできます。

Oracle CASB Cloud Serviceは、検出したリスクを次のいずれかのカテゴリに分類します。

リスク 説明

脆弱または非準拠のセキュリティ制御

これらは、アプリケーション内のセキュリティ関連設定です。 例: パスワードが短い、アイドル・セッションのタイムアウトが長い、権限の制限レベルを高くする必要がある、Amazon Web Services (AWS)のS3バケット暗号化設定がセキュアでない、AWSネットワークのACLが脆弱である、機密ポートを含むAWSセキュリティ・グループがインターネットに公開されている、など。

Oracle CASB Cloud Serviceは、Oracle CASB Cloud Serviceの組込みの推奨値かベースライン値(優先値をアプリケーション・インスタンスにプッシュすることにより制御します)のいずれかに基づいて、セキュリティ制御の値を特定します。

注意:

脆弱なセキュリティ設定の監視は、Amazon Web Services、BoxおよびSalesforceでのみサポートされています。

詳細は、「クラウド・アプリケーション内の脆弱なセキュリティ制御の値」を参照してください。

ポリシー・アラート

ポリシーとは、ルールまたはガイドラインのことです(たとえば、財務部門のユーザーのみが財務フォルダ内のファイルを参照できる、ネットワーク・アクセス・ルールに対する変更はレビューが必要、など)。 Oracle CASB Cloud Serviceでは、特定のクラウド・サービス(Boxなど)、サービス内のリソース(ファイルやフォルダなど)、アクション(共有、ダウンロード、コラボレーションなど)、およびオプションでアイテム(アクター、受信者、ユーザーのグループ全体、ドメイン、IPアドレスなど)に基づいてポリシーを定義します。

Oracle CASB Cloud Serviceは、ポリシーと一致するイベントが発生すると、アラートを生成します。 コンソールにポリシー違反の説明が表示されます。また、それに対する推奨事項が提供される場合もあります。 また、電子メールやSMSでアラートを送信するように構成することもできます。

アラートを生成する条件の例:

  • 重要なサーバーまたはサービスの終了

  • 機密のタグが付いたファイルを組織のドメイン外部のユーザーと共有

  • 管理者プロファイル、アクセス制御またはネットワーク・ルーティングに対する変更

  • データ損失防止(DLP)ポリシーまたはメール・ルーティングの変更

  • システム管理者プロファイルの割当て

詳細は、「ポリシー・アラート(ルールベース・アラート)」を参照してください。

異常な行動

Oracle CASB Cloud Serviceは、ユーザーごとに通常のパターンから逸脱した行動を特定し、その逸脱の重大度およびユーザーが実行しているアクティビティのタイプに基づいて、ユーザーにリスク・スコアを割り当てます。

たとえば、移動距離が通常より長く、多数の新しいIPアドレスからアプリケーションにアクセスしていると思われるユーザーには、通常の場所およびアクセスIPの範囲に収まっているユーザーよりも高いリスク・スコアが割り当てられます。

詳細は、「リスクがあるユーザーの検索と分析」を参照してください。

疑わしい行動

Oracle CASB Cloud Serviceでは、ユーザーの通常のアクティビティに関係なく、疑わしいアクティビティとして分類される通常とは異なるアクティビティを特定します。

また、Oracle CASB Cloud Serviceでは、サードパーティのIP評価およびネットワーク情報フィードや独自のIPホワイトリストとブラックリスト・データを使用して、アクティビティが行われた疑わしいIPアドレスも特定します。 疑わしいIPアドレスの特定は、脅威を検出する際の重要な要素となります。

詳細は、「異常な行動および脅威の管理」を参照してください

クラウド・アプリケーション内の脆弱なセキュリティ制御の値

脆弱なセキュリティ制御を検出および修復するためのOracle CASB Cloud Serviceで利用可能なオプションを理解します。

エンタープライズ・クラウド・アプリケーションには、セキュリティ関連の設定(パスワードの複雑性の要件や、アイドル・セッションのタイムアウトなど)があります。 Oracle CASB Cloud Serviceは、十分に強くない設定を検出できます。

セキュリティ設定では、データとユーザーの両方を保護します。 たとえば、ユーザーがセッションを一度に数時間保持することが許可されている場合、アカウント侵害が発生するリスクが高くなります。

Oracle CASB Cloud Serviceでは、事前(登録時)に、およびその後も継続して、クラウドのサービス構成を確認し、セキュリティの脆弱性を特定することで、理想的な構成からドリフトを特定したり、徐々に偏差を増やしたりできます。 脆弱なセキュリティ制御を監視するようにOracle CASB Cloud Serviceを構成するには、次の2つの方法があります。

  • 監視のみ Oracle CASB Cloud Serviceによって、これらのセキュリティ制御の値に関する報告は行われますが、クラウド・アプリケーション内のその値は変更されません。

  • 監視し、優先値をクラウド・アプリケーションにプッシュ 登録時、Oracle CASB Cloud Serviceによって、クラウド・アプリケーションのセキュリティ構成値が優先値に設定されていることが確認されます。 登録後、これらの値に対する変更がOracle CASB Cloud Serviceによって報告されます。

いくつかの一般的な設定を次に示します。

セキュリティ構成カテゴリ 関連する設定タイプ

ユーザー・パスワード

  • 必要な文字数

  • 1つ以上の数字を必須とする

  • 1つ以上の特殊文字を必須とする

  • 特定の日数が経過した後、ユーザーによるパスワードのリセットを要求する

ファイルおよびフォルダへのリンク、共有、コラボレーション

  • ユーザーがコラボレータを招待する権限を制限する

  • フォルダとファイルに対する外部ユーザーのコラボレーションを制限する

  • 外部リンクの使用を制限する

  • 特定の時間が経過した後、共有リンクを自動的に無効化する

インフラストラクチャ

  • Amazon Web Services (AWS)のストレージ(バケット)暗号化設定

  • ネットワーク・アクセス制御リスト(ACL)

  • セキュリティ・グループ用のセキュアなポート(インターネットに公開されないポート)

Oracle CASB Cloud Serviceによるクラウド・アプリケーションのセキュリティ構成の支援

デフォルトでは、アプリケーションのセキュリティ構成がサポート対象の各クラウド・アプリケーションに対してOracle CASB Cloud Serviceで管理されている一連の厳しい値から逸脱している場合、Oracle CASB Cloud Serviceによってアラートが生成されます。

デフォルトのセキュリティ構成を使用する代わりに、標準とするセキュリティ構成値を選択し、Oracle CASB Cloud Serviceによってそれらの値がアプリケーション内に自動的に設定されるようにすることもできます。 その後、Oracle CASB Cloud Serviceによって、これらの値に対する変更が監視されます。

1つのアプリケーションに多数のインスタンスがある場合は、特に、セキュリティ構成の監視が重要になることがあります。 Oracle CASB Cloud Serviceは、各アプリケーション・インスタンスのセキュリティ制御を適切に保つために役立ちます。

ポリシー・アラート(ルールベースのアラート)

ポリシー・アラートを使用してクラウド内の重要なリソースに対する既知のリスクを特定する方法を理解します。

Oracle CASB Cloud Serviceによって監視されるように登録する各クラウド・アプリケーションには、そのアプリケーション・タイプに固有の最も一般的な種類の疑わしいアクティビティを警告する事前定義されたポリシーがあります。 また、ポリシーを定義して、特定の環境で疑わしいと考えられるあらゆるタイプのアクティビティを警告することもできます。

アプリケーション 既知のリスク リスクの特徴

Amazon Web Services

高い権限を持つIdentity and Access Management (IAM)ユーザー・グループの変更

Amazon Web Servicesは、ミッションクリティカルな操作のためのプラットフォームです。 高い権限を持つ管理者が増えると、不正なユーザーが重要なインフラストラクチャにアクセスする可能性が高まるため、組織がリスクにさらされます。

Box

コラボレーションまたは機密情報を含むファイルの共有

組織がクラウド・ストレージとしてBoxを利用することが増えています。

ファイルやフォルダに機密データ(財務諸表、個人情報など)が格納されている場合、Boxを使用した共有やコラボレーションにより、不正なユーザーがその情報にアクセスできるようになる可能性があります。

Salesforce

システム管理者プロファイルのクローニング

Salesforceには、ミッションクリティカルなデータが格納されています。 高い権限を持つ管理者が増えると、不正なユーザーがその情報にアクセスできるようになる可能性が高まります。

ServiceNow

管理者による他のユーザーの偽装

ServiceNow管理者は通常、他のユーザーを偽装してテストを実施します。 ただし、高い権限を持つユーザーまたは管理者ロールの偽装は、永続的なプロファイルやロールの増加と同じリスクをもたらします。

ポリシー定義に基づくアラート

Oracle CASB Cloud Serviceでは、定義したポリシー(ルールのセット)とクラウド内のユーザー・アクティビティを比較することにより、既知のリスクを監視できます。

Oracle CASB Cloud Serviceは、これらのルールと一致する行動を検出すると、ポリシー違反を説明するアラートを生成します。また、それに対する推奨事項を提供する場合もあります。

きわめて注意を要する操作については厳密に監視する必要があるため、ポリシー・アラートが重要です。 たとえば、次のいずれかのアクションが実行された場合は、即座に把握する必要があります。

  • AWS Identity and Access Management (IAM)のセキュリティ・グループ、ロール、SAMLアイデンティティ・プロバイダ、および本番用としてタグ付けされたアセットの変更

  • Box内の機密ファイルおよびフォルダの共有またはコラボレータの招待

  • Office 365のデータ損失防止ポリシーまたはメール・ルーティング構成の変更

  • Salesforceのシステム管理者プロファイルの変更

異常な行動およびIPアドレス

行動上のリスクがどのようなもので、どのようにOracle CASB Cloud Serviceがそれらを検出するのかを理解します。

従業員の拠点、ビジネス・パートナ、およびベンダーは継続的に変化し、攻撃パターンは複雑になる可能性があるため、Oracle CASB Cloud Serviceは自動的に動作上のリスクを検出します。

Oracle CASB Cloud Serviceは、すべてのユーザーがクラウド・アプリケーション内およびクラウド・アプリケーション全体で実行している内容を監視します。 これにより、クラウドに接続する各ユーザー(エンド・ユーザー、権限のあるユーザーおよびAPIアイデンティティ)の通常の状態を決める行動ベースラインまたは行動プロファイルを構築します。 Oracle CASB Cloud Serviceは、通常の状態を示すベースラインから逸脱したアクションを実行しているユーザーを検出するとアラートを出します。

Oracle CASB Cloud Serviceにユーザーのベースラインがない場合(新規ユーザーの監視の開始時など)でも、そのユーザーの行動を初期ベースラインのセットと比較できます。

異常な行動およびユーザーの行動のその他のリスクの例を次に示します。

  • ユーザーが、短期間に複数のIPアドレスや通常とは異なるIPアドレスおよび複数の地理的位置からログインしています。 ユーザーまたはプログラムが想定外の地理的位置からアプリケーションにアクセスする場合、これは、攻撃者が様々な場所に移動(ホップ)していることを示しています。 通常、このタイプのホップは見せかけであり、攻撃者は実際には動いていません。

  • ユーザーが、制限された時間内に異常な回数のログインを実行しています。 様々な地理的位置からのアクセスと、短時間でのクラウド・アプリケーションへの連続ログインの組合せは、問題が差し迫っていることを示しています。

  • 管理者が、アプリケーション設定に対して過度に多くの変更を加えています。

  • ユーザーは、パブリック・ブラックリストにあるIPアドレスからログインします。 これは悪意のある活動の原因となることが知られています。

  • ユーザーが、匿名のプロキシを使用してユーザーの実際の場所を隠すネットワークからログインしています。

  • 自社のユーザーが存在しないことがわかっている場所から、ユーザーが自社のアプリケーションにアクセスしています。

  • アプリケーション内での管理上の変更の回数が大幅に増加しています。

  • 1人のユーザーによる地理的に分散した複数の場所からのアクセス試行回数が大幅に増加しています。

Oracle CASB Cloud Serviceは、これらのアクティビティをさらに調査できるように、サポート・データ、コンテンツおよびグラフィックとともにこれらの行動を通知します。 また、Oracle CASB Cloud Serviceは、ブラックリストに登録されたIPアドレスが監視対象のアプリケーションにアクセスすると自動的に検出します。 Oracle CASB Cloud ServiceでIPアドレスの新しいブラックリストとホワイトリストを定義することもできます。 詳細は、「ブラックリストまたはホワイトリストへのIPアドレスの追加」を参照してください。

最後に、Oracle CASB Cloud Serviceはディレクトリ・メタデータを利用して、様々なクラウド・アプリケーションでのユーザー、および特定のアプリケーション内でのユーザーを追跡できます。

脅威のカテゴリ

Oracle CASB Cloud Serviceでの脅威のカテゴリを次に示します。

IPホップ ユーザーやプログラムは、クラウド・アプリケーションにアクセスするクライアント・コンピュータとして偽装することを試みるアノニマイザを利用できます。 Oracle CASB Cloud Serviceは、匿名アクセスのインジケータであるIPホップの証拠を検出すると、脅威イベントを生成します。

ブルート・フォース攻撃 ログイン失敗はよくあることです。 ただし、ログイン失敗回数が変化したり、非常に多い場合は、ユーザーのパスワードを推測しようとするブルート・フォース攻撃として知られる一般的な攻撃を示している可能性があります。

ユーザーの行動のリスク 明らかな地理的距離の移動、アクセスしているIPアドレスの数、特定の時間枠でのログイン失敗回数など、いくつかの要因の組合せは目を引きます。

管理者の行動のリスク 管理上の変更回数が異常な場合は、内部脅威またはアカウントのハイジャックを示している可能性があります。

リスク管理およびインシデント追跡について

Oracle CASB Cloud Serviceのレポートが、リスク検出とは関係なく、使用傾向に関する情報を提供する方法を理解します。

クラウド・アプリケーションに対するリスクを特定することに加え、これらのリスクを管理する必要があります。 Oracle CASB Cloud Serviceは、軽量のインシデント追跡システムによってその管理を可能にしています。 Oracle CASB Cloud Serviceから中央チケット発行システムにインシデント・チケットをエクスポートできます。 詳細は、「インシデントの検索、管理および解決」を参照してください。

自動生成されるインシデント・チケット

Oracle CASB Cloud Serviceでは、脅威に基づくリスクを検出すると、その解決までリスクを追跡できるようにインシデント・チケットが自動作成されます。 詳細は、「異常な行動およびIPアドレス」を参照してください。

手動で作成するインシデント・チケット

Oracle CASB Cloud Serviceコンソールで、セキュリティ制御のリスクおよびポリシー・アラートに対するインシデント・チケットを手動で作成できます。 ポリシーを作成する際に、ポリシーによりアラートがトリガーされたときに実行するアクションに関する指示を含めることができます。 これにより、問題の解決にかかる時間を大幅に短縮できます。

レポートについて

Oracle CASB Cloud Serviceのレポートが、リスク検出とは関係なく、使用傾向に関する情報を提供する方法を理解します。

Oracle CASB Cloud Serviceは、実際のリスクが検出されたかどうかに関係なく、クラウド・アプリケーションのリスクについてのインサイトを提供し、一般的な使用パターンに対する可視性を提供します。 このインサイトにより、アプリケーションの使用状況について理解できます。

事前定義されたグローバル・レポートに加え、登録されているアプリケーションの複数のインジケータに関するレポートを実行できます。 また、組込みレポートで提供されない傾向を分析するカスタム・レポートを作成して実行することもできます。

レポートの詳細は、「レポートの作成と実行」を参照してください。

データの保存について

Oracle CASB Cloud Serviceに表示されるデータに適用される期間と、古いデータに何が起こるかを理解します。

Oracle CASB Cloud Serviceは、登録したすべてのクラウド・アプリケーションの新規データを継続的に収集します。 コンソールでデータを表示している期間は、アプリケーションを登録した前の期間によって異なります。

  • 初期: イベントの発生時にのみ収集されるため、アプリケーションのデータがまったく表示されないことがあります。

  • しばらくしてから: アプリケーションを登録した時点から現在までのデータを表示します。

  • 90日後: 過去90日間のデータが表示されます。 90日を超えるデータは自動的にパージされます。