Oracle Cloud Infrastructureドキュメント

セキュリティ概要

オラクルの使命は、お客様のミッション・クリティカルなワークロードを実行し、自信を持ってデータを格納するための効果的で管理可能なセキュリティを持つクラウド・インフラストラクチャとプラットフォーム・サービスを構築することです。

Oracle Cloud Infrastructureのセキュリティ・アプローチは、7つの主要な柱に基づいています。 各柱には、プラットフォームのセキュリティとコンプライアンスを最大化するように設計された複数のソリューションがあります。

顧客の隔離
顧客は、他のテナントおよびオラクルのスタッフと完全に隔離された環境に、アプリケーションおよびデータ・アセットをデプロイできます。
データの暗号化
顧客が暗号アルゴリズムとキー管理のセキュリティ要件とコンプライアンス要件を満たすことができるように、安心して顧客データを保護します。
セキュリティの制御
顧客に効果的で使いやすいセキュリティ管理ソリューションを提供することで、サービスへのアクセスを制限し、運用上の責任を分担して、悪意のあるユーザー操作や偶発的なユーザー操作に関連するリスクを削減します。
可視性
お客様の包括的なログ・データとセキュリティ・アナリティクスを提供し、リソースに対するアクションを監査および監視し、監査要件を満たし、セキュリティおよび運用リスクを軽減することができます。
ハイブリッド・クラウドを保護
クラウド・リソースにアクセスしてクラウド内のデータとアプリケーション・アセットを保護する際に、お客様が既存のセキュリティ・アセット(ユーザー・アカウントやポリシーなど)やサードパーティのセキュリティ・ソリューションを使用できるようにします。
高可用性
高可用性のスケールアウト・アーキテクチャを可能にし、ネットワーク攻撃に対して耐性があり、災害やセキュリティ攻撃に直面しても継続的な稼働時間を保証する、障害に依存しないデータセンターを提供します。
検証が容易なインフラストラクチャ
厳格なプロセスに従い、クラウド・サービスの開発と運用のすべてのフェーズで効果的なセキュリティ管理を使用します。 サードパーティの監査、認定、およびアテステーションを通じて、Oracleの厳しいセキュリティ基準への準拠を実証します。 顧客が社内のセキュリティおよびコンプライアンス・チーム、顧客、監査人、規制当局へのコンプライアンスの準備状況を示す手助けをします。

また、Oracleは、情報、データベース、アプリケーション、インフラストラクチャ、およびネットワーク・セキュリティに関する世界有数のセキュリティ・エキスパートを雇用しています。 Oracle Cloud Infrastructureを使用することにより、お客様はオラクルの深い専門知識と継続的なセキュリティ投資のメリットを直接得ることができます。

セキュリティの基本的な考慮事項

アプリケーションを安全に使用するためには、以下の原則が不可欠です:

  • ソフトウェアを最新の状態に保つ。 これには、最新の製品リリースおよびそれに適用されるパッチが含まれます。
  • 可能な限り特権を制限します。 ユーザーには、作業を実行するために必要なアクセス権のみを与える必要があります。 現在の作業要件との関連性を判断するために、ユーザー特権を定期的に確認する必要があります。
  • システム・アクティビティを監視します。 どのシステム・コンポーネントに誰がアクセスし、どれくらい頻繁にアクセスし、それらのコンポーネントを監視するかを設定します。
  • Oracle Cloud Infrastructureのセキュリティ機能について学び、使用してください。 詳細は、「セキュリティ・サービスと機能」を参照してください。
  • 安全なベスト・プラクティスを使用します。 詳細は、「セキュリティのベスト・プラクティス」を参照してください。
  • セキュリティ情報を最新の状態に保つ。 Oracleは定期的にセキュリティ関連のパッチ更新とセキュリティ・アラートを発行します。 すべてのセキュリティ・パッチをできるだけ早くインストールしてください。 「重要なパッチの更新とセキュリティ警告」のWebサイトを参照してください。

Oracle Cloud Infrastructure環境の理解

Oracle Cloud Infrastructureデプロイメントを計画するときは、次の点を考慮してください:

どのリソースを保護する必要がありますか?

  • クレジット・カード番号などの顧客データを保護します。
  • 独自のソース・コードなどの内部データを保護します。
  • 外部の攻撃や意図的なシステムの過負荷によって、システム・コンポーネントが無効になるのを防ぎます。

誰からデータを保護していますか?

たとえば、サブスクライバのデータを他のサブスクライバから保護する必要がありますが、組織内の誰かがそれを管理するためにそのデータにアクセスする必要があります。 ワークフローを分析して、データへのアクセスが必要なユーザーを特定します。 システム管理者に与えるアクセス権を慎重に考慮してください。システム管理者は、システム・データにアクセスする必要なく、システム・コンポーネントを管理することができます。

戦略的リソースの保護が失敗した場合はどうなりますか?

場合によっては、セキュリティ・スキームの不具合は不便なものにすぎません。 他の場合には、あなたや顧客に大きな損害を与える可能性があります。 各リソースのセキュリティの影響を理解することは、セキュリティを適切に保護するうえで役立ちます。

共有セキュリティ・モデル

Oracle Cloud Infrastructureは、エンタープライズ・クラウド・サービスを保護するためのクラス最高のセキュリティ・テクノロジと運用プロセスを提供します。 ただし、Oracle Cloud Infrastructureで作業負荷を安全に実行するには、セキュリティとコンプライアンスの責任を認識している必要があります。 設計上、Oracleはクラウド・インフラストラクチャおよびオペレーション(クラウド・オペレータのアクセス制御、インフラストラクチャ・セキュリティ・パッチなど)のセキュリティを提供しており、クラウド・リソースを安全に構成する責任があります。 クラウド内のセキュリティは、お客様とOracleの間の共通の責任です。

共有、マルチテナントのコンピューティング環境では、Oracleはクラウド・インフラストラクチャ(データセンター設備、ハードウェアおよびソフトウェア・システムなど)のセキュリティを担当し、ワークロードの保護とサービスの構成コンピューティング、ネットワーク、ストレージ、およびデータベース)を安全に保護します。

完全に隔離されたシングル・テナントのベアメタル・サーバー上にOracleソフトウェアが存在しない場合、アプリケーションをデプロイするソフトウェア・スタック全体(オペレーティング・システム以上)を取得するにつれて責任が増大します。 この環境では、ワークロードの保護、サービス(コンピューティング、ネットワーク、ストレージ、データベース)の安全な構成、ベアメタル・サーバー上で実行するソフトウェア・コンポーネントの確実な構成、デプロイ、および管理を確実に行う必要があります。

具体的には、お客様の責任とOracleの責任は次の領域に分けられます:

  • Identity and Access Management (IAM):すべてのOracleクラウド・サービスと同様に、クラウドのアクセス資格証明を保護し、個々のユーザー・アカウントを設定する必要があります。 自分の従業員口座、およびあなたのテナンシのもとで発生したすべての活動のアクセスを管理し、レビューする責任があります。 Oracleは、アイデンティティ管理、認証、認可、監査などの効果的なIAMサービスを提供する責任があります。
  • ワークロード・セキュリティ:攻撃や妥協からコンピューティング・インスタンスのオペレーティング・システムとアプリケーション層を保護し、保護する責任があります。 この保護には、アプリケーションとオペレーティング・システムのパッチ、オペレーティング・システム構成、マル・ウェアやネットワーク攻撃からの保護が含まれます。 オラクルは、強化され、最新のパッチを適用した安全なイメージを提供する責任があります。 また、Oracleは、今日使用しているのと同じサード・パーティのセキュリティ・ソリューションを簡単に導入することができます。
  • データの分類と準拠:お客様は、データを正しく分類してラベルを貼り、遵守義務を履行する責任があります。 また、法令遵守の義務を果たすためにソリューションを監査する責任もお客様にあります。
  • ホスト・インフラストラクチャのセキュリティ:コンピューティング(バーチャル・ホスト、コンテナ)、ストレージ(オブジェクト、ローカル・ストレージ、ブロック・ボリューム)、およびプラットフォーム(データベース構成)サービスを安全に設定および管理する責任があります。 オラクル社は、サービスが最適に構成され、保護されていることを保証する責任を共有しています。 この責任には、ホストが正しく通信し、デバイスが正しいストレージ・デバイスをアタッチまたはマウントできることを保証するために必要な、ハイパーバイザのセキュリティとアクセス許可とネットワーク・アクセス・コントロールの構成が含まれます。
  • ネットワーク・セキュリティ:仮想ネットワーク、負荷分散、DNS、ゲートウェイなどのネットワーク要素を安全に構成する責任があります。 Oracleは、安全なネットワーク・インフラストラクチャを提供する責任があります。
  • クライアントとエンドポイントの保護:企業は、モバイル・デバイスやブラウザなどのさまざまなハードウェアおよびソフトウェア・システムを使用してクラウド・リソースにアクセスします。 Oracle Cloud Infrastructureサービスにアクセスすることを許可するすべてのクライアントとエンドポイントを保護する責任があります。
  • 物理的セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護します。 このインフラストラクチャは、ハードウェア、ソフトウェア、ネットワーク、およびOracle Cloud Infrastructureサービスを実行する機能で構成されています。

セキュリティ資格証明を使用してOracle Cloud Infrastructureにアクセスする方法については、「セキュリティ資格証明」を参照してください。

インフラストラクチャ・セキュリティ

当社のセキュリティ・モデルは、人々、プロセス、ツーリング、および製品を構築するためのメソッド論やアプローチの共通のセキュリティ・プラットフォームを中心に構築されています。 このモデルは、お客様のビジネスとビジネスを保護し、保護するために使用するセキュリティ文化、セキュリティ設計と制御、セキュア・ソフトウェア開発、人事セキュリティ、物理セキュリティ、およびセキュリティ・オペレーションのコア・セキュリティ・コンポーネントにこのモデルを適用します。

セキュリティ文化

私たちは、セキュリティを重視した組織を構築するためには、ダイナミックなセキュリティ・ファーストの文化が不可欠であると考えています。 私たちは、すべてのチーム・メンバーがセキュリティがビジネスで果たすロールを内在化し、積極的に製品セキュリティの姿勢を管理および改善するという、セキュリティ文化に対する包括的アプローチを築いてきました。 また、セキュリティを意識した文化の創造と維持を支援する仕組みを導入しました。

  • セキュリティに配慮したリーダーシップ:上級管理職は、セキュリティ計画、モニタリング、管理に積極的に関与しています。 私たちは、セキュリティ・メトリクスに対して自分自身を定義し、評価し、チーム評価プロセスの一環としてセキュリティを組み込んでいます。
  • 組み込みの専門知識:チーム内のセキュリティ・プラクティスの推進を支援するために、セキュリティ・チーム・メンバーが製品開発チームに座って作業しているセキュリティ・エンジニア・リング・モデルが組み込まれています。 このアプローチにより、当社のセキュリティ組織は、製品開発プロセスとシステム・アーキテクチャを深く理解することができます。 また、チームは、セキュリティの課題をリアルタイムで解決し、セキュリティ・イニシアチブをより効果的に推進するためのチームをより適切に支援することもできます。
  • 一般的なセキュリティ基準:私たちは積極的にセキュリティを製品と運用に統合しています。 私たちがこれをやったひとつの方法は、セキュリティ基準のベースラインを確立することです。 このベースラインを作成する私たちの目標は、明確で実行可能なガイドラインを確立するビジネスのための単一のセキュリティ参照ポイントを提供することです。 セキュリティ基準は頻繁に更新され、学習したレッスンを組み込み、新しいビジネス上のファクタを反映します。 また、参照アーキテクチャ、実装ガイド、セキュリティ専門家へのアクセスなど、セキュリティ管理を実装するチームを支援する一連のサポート資料を作成しました。
  • オープン性、建設的な議論、奨励されたエスカレーションの価値:セキュリティ問題は、修正可能な人々がそれらを認識している場合にのみ対処することができます。 私たちは、オープン性と透明性、建設的な議論、奨励されたエスカレーションが我々をより強くすると信じています。 エスカレーションを奨励し、早期に問題を提起することがしばしば報われる環境を作り出しています。
  • セキュリティ・トレーニングの意識:私たちは、セキュリティ文化の認知度を高め、強化する堅牢なセキュリティと意識啓発プログラムを維持しています。 新入社員全員、年1回の再訓練訓練のための詳細なセキュリティ・トレーニング・セッションを必要とし、従業員の特定の職務に合わせたセキュリティ・トレーニングを提供しています。 すべてのソフトウェア開発者は、製品開発のための基本的なセキュリティ要件を確立し、ベスト・プラクティスを提供する安全な開発トレーニングを受けます。 また、ゲスト・スピーカやインタラクティブなフォーラムなど、魅力的で革新的なセキュリティ意識啓発トレーニングを提供しています(また、出席のために食べ物や飲み物、衣服を提供することはありません)。

セキュリティ設計とコントロール

セキュリティは、Oracle Cloud Infrastructureメソドロジを介して当社の製品およびオペレーションに統合されています。 この集中化されたメソッド論は、私たちが製品を構築する際のセキュリティ基盤を形成するコア・セキュリティ領域に対する当社のアプローチを定義しています。 このアプローチは敏捷性に役立ち、1つの製品から得られたベスト・プラクティスと教訓をビジネス全体に適用し、すべての製品のセキュリティを向上させるのに役立ちます。

  • ユーザー認証とアクセス制御:運用システムへのアクセスを許可するには、最低特権アクセスが使用され、サービス・チーム・メンバーの承認済みリストは、正当な必要がない場合に定期的にアクセスを取り消すように見直されます。 本番環境へのアクセスには、マルチ・ファクタ認証(MFA)が必要です。 MFAトークンはセキュリティ・チームによって付与され、非アクティブ・メンバーのトークンは無効になります。 本番システムへのすべてのアクセスはログに記録され、ログはセキュリティ分析のために保管されます。
  • 変更管理: Oracle Cloud Infrastructureは、独自に開発した独自のテストおよびデプロイメント・ツールを使用して、厳密な変更管理とデプロイメント・プロセスを厳格に行います。 本番環境にデプロイされるすべての変更は、リリース前にテストおよび承認プロセスに従います。 このプロセスは、意図したとおりに変更が確実に実行されるように設計されており、予期しないバグや操作上の問題から正常に回復するために、。 また、重要なシステム構成の整合性を追跡し、それらが期待どおりの状態になるようにします。
  • 脆弱性管理:内部侵入テスト・チームと外部の業界専門家の両方を使用して、製品の潜在的な脆弱性を特定するのを支援します。 これらの演習は、製品のセキュリティを向上させるのに役立ち、学習した教訓を将来の開発作業に取り入れるよう努めています。 Oracle Cloud Infrastructureホストは業界標準のスキャナを使用して定期的な脆弱性スキャンを受けます。 スキャン結果は、Oracle Cloud Infrastructure環境への結果の適用可能性を検証するために審査され、該当する調査結果が当社の製品チームによってパッチ適用されます。
  • インシデント対応: 私たちは、発生したインシデントに対応し対処するための強力なプロセスとメカニズムを開発しました。 私たちは24/7インシデント対応チームを維持し、イベントの検出と対応に備えて準備を整えています。 当社の重要なスタッフは、問題解決のために必要な専門知識を求めるページング・デバイスを搭載しています。 また、インシデントから学ぶためのプロセスを構築しました。 私たちは、是正措置/予防措置(CAPA)プロセスを通じて根本原因を分析します。 CAPAは、インシデント発生後にビジネスで行われるプロセスのギャップや変更を発見することを目的としています。 CAPAは、問題を反映し、将来の運用準備状況を改善するための具体的な措置を講じるために使用できる共通言語として機能します。 CAPAは、問題の根本的な原因、問題を含めるか修正するために必要なもの、および問題が再発しないようにするために必要なステップをキャプチャします。 私たちのリーダーシップ・チームはすべてのCAPAをレビューし、学んだレッスンのために組織間のアプリケーションを探し、タイムリにアクションが実行されるようにします。
  • セキュリティ・ログとモニタリング:インフラストラクチャ内のさまざまなセキュリティ関連のイベント(API呼び出しやネットワーク・イベントなど)をログに記録し、異常な動作についてログを監視するための自動化されたメカニズムを作成しました。 モニタリング・メカニズムによって生成されたアラートは、セキュリティ・チームによって追跡およびトライアルされます。
  • ネットワーク・セキュリティ: デフォルトでは、最新のTLS暗号と構成を使用してOracle Cloud Infrastructureサービスと顧客との通信が行われ、通過中の顧客データを保護し、man-in-the-middle攻撃を阻止します。 さらに深い多重防御として、サービスに対する顧客のコマンドは、改ざんを防ぐために、公開キーを使用してデジタル署名されています。 このサービスは、分散型サービス拒否(DDoS)攻撃を軽減し、高可用性を維持するための、実証済みの業界をリードするツールとメカニズムもデプロイしています。
  • コントロール・プレーンのセキュリティ: Oracle Cloud Infrastructureバックエンド(コントロール・プレーン)ホストは、ネットワークACLを使用して顧客インスタンスから安全に隔離されます。 顧客インスタンスのプロビジョニングおよび管理は、バックエンド・ホストとやり取りする必要があるソフトウェア・エージェントによって実行されます。 認証され、許可されたソフトウェア・エージェントだけが、Oracle Cloud Infrastructureバックエンド・ホストと正常に対話できます。 バックエンド・ホストでは、開発環境やテスト環境が運用環境に影響を与えないように、運用前環境(たとえば、dev、test、およびinteg)を運用環境から分離します。
  • サーバーのセキュリティとメディア管理:オラクルは、エンタープライズ・クラスのセキュアなハードウェア開発の長い履歴を持っています。 当社のハードウェア・セキュリティ・チームは、Oracle Cloud Infrastructureサービスを提供するために使用されるハードウェアのセキュリティを設計およびテストする責任があります。 このチームは、サプライ・チェーンと連携して、ハードウェア・コンポーネントをテストし、厳格なOracle Cloud Infrastructureハードウェア・セキュリティ基準に対して検証します。 また、このチームは、製品開発機能と緊密に連携して、ハードウェアが顧客によってリリースされた後で元の安全な状態に戻せるようにします。
  • セキュアなホスト・ワイプとメディアの破壊: Oracle Cloud Infrastructureインスタンスは、ハードウェアが顧客によって解放された後、安全に消去されます。 この安全なワイプは、ハードウェアを元の状態に戻します。 ハードウェアを安全に拭き取り、再初期化できる独自のハードウェア・コンポーネントを使用して、プラットフォームを再設計しました。 基礎となるハードウェアが寿命に達すると、ハードウェアは安全に破壊されます。 データセンターを離れる前に、業界をリードするメディア破棄デバイスを使用してドライブを使用不能にしています。

セキュアなソフトウェア開発

セキュアな製品開発には、明確なセキュリティ対策方針と原則に適合する一貫して適用されるメソッド論が必要です。 私たちは、製品開発ライフサイクルのすべての要素にセキュリティ・プラクティスを構築します。 オラクルは、開発者向けのロードマップおよびガイドである正式なセキュアな製品開発標準を採用しています。 これらの標準は、設計原則や一般的な脆弱性などの一般的なセキュリティ知識の分野について議論し、データ検証、データ・プライバシ、ユーザー管理などのトピックに関する具体的なガイダンスを提供します。

オラクルのセキュアな製品開発標準は、コード、新しい脅威が発見された際の一般的な問題、およびOracleの新しいユース・ケースに対処するために、時間の経過と共に発展し、拡張されました。 標準には洞察と学習されたレッスンが組み込まれています。彼らは空中に住んでいないし、ソフトウェア開発の事後の補遺もありません。 これらは、Java、PL/SQLなどのC/C++,などの言語固有の標準に不可欠であり、Oracleの安全な開発プログラムおよびプロセスの基礎となります。

セキュリティ保証の分析とテストは、様々なタイプの攻撃に対するOracle製品のセキュリティ品質を検証します。 Oracle製品のテストには、大きく2つのカテゴリがあります: 静的および動的分析。 これらのテストは、製品開発ライフサイクルにそれぞれ違ったものがあり、異なるカテゴリの問題を見つける傾向があるため、Oracle製品チームによって一緒に使用されます。

人事セキュリティ

私たちの人々は私たちのビジネスを行います。 私たちは最高の人材を育てようと努力しており、私たちは従業員に投資し、引き続き従業員を育てています。 私たちはトレーニングを重視し、従業員全員のベースライン・セキュリティ・トレーニングだけでなく、チームに最新のセキュリティ技術、悪用メソッド、およびメソッド論を知らせるための専門的なトレーニングも必要とします。 当社は、情報セキュリティおよびプライバシ・プログラム(その他多くのもの)をカバーする標準的な年次企業研修プログラムに加えて、幅広い業種グループに従事し、従業員を専門会議に送って、新たな課題について他の業界専門家と協力します。 当社のセキュリティ・トレーニング・プログラムの目的は、従業員が顧客や製品をより良く保護し、社員がセキュリティを中心に知識領域を拡大し、最高の人材を引き付けて維持するという使命をさらに深めることができるよう支援することです。

私たちが成長するにつれ、私たちのチームのために最高の才能を募集し、強い倫理観と優れた判断力を持つ人材を雇います。 すべての従業員は、刑事裁判所の査定や雇用前の妥当性確認など、法律で認められている雇用前のスクリーニングを受けています。 また、業績評価プロセスを維持し、良好な業績を認識し、チームと従業員が成長の機会を特定するのを支援します。 当社は、チームと従業員の評価プロセスを維持し、チーム評価プロセスの一環としてセキュリティを使用しています。 このアプローチは、チームがどのように当社のセキュリティ基準に則って行動しているかをチームとリーダーシップで把握し、重要なセキュリティ・プロセスのベスト・プラクティスと改善領域を特定することを可能にします。

物理的なセキュリティ

Oracle Cloud Infrastructureデータセンターは、顧客データのセキュリティと可用性を考慮して設計されています。 このアプローチは、サイト選択プロセスから始まります。 候補ビルド・サイトとプロバイダのロケーションでは、環境の脅威、電力の可用性と安定性、ベンダーの評判と履歴、近隣の施設機能(ハイ・リスクの製造業や脅威の高いターゲットなど)、地政学的な考慮事項などを考慮して、その他の基準。

Oracle Cloud Infrastructureデータセンターは、Uptime Institute and Telecommunications Industry Association (TIA)のANSI/TIA-942-A Tier 3またはTier 4標準に準拠しており、重要な装置操作のためのN2冗長化メソッドに従います。 Oracle Cloud Infrastructureサービスを収容するデータ・センターは、広範囲の停電が発生した場合に冗長電源を使用し、ジェネレータのバックアップを維持します。 サーバー・ルームは気温と湿度を厳密に監視され、消火システムが設置されています。 データセンターのスタッフは、発生する可能性のあるセキュリティまたは可用性イベントに対処するために、インシデント対応およびエスカレーション手順を訓練しています。

私たちは、サイト構築から始まる物理的なセキュリティへの階層的なアプローチを取っています。 Oracle Cloud Infrastructureデータセンターの設備は、耐久性のある鉄鋼、コンクリートまたはそれに類する材料で建設されており、軽乗用車の衝突による衝撃に耐えるように設計されています。 私たちのサイトには、24時間、年中無休、年中無休で対応できるセキュリティ・ガードが配置されています。 敷地の外面は周囲のリアで保護されており、ガードフォースと建物周辺を覆うカメラによって車両チェックが積極的に監視されています。

データセンターに入るすべての人は、まずセキュリティ・ガードのスタッフが入室している玄関の入口でセキュリティのレイヤーを通過しなければなりません。 サイト固有のセキュリティ・バッジがサイトに入っていない人は、政府発行の身分証明書を提示し、データセンター・ビルへのアクセスを許可するアクセス許可が承認されている必要があります。 すべての従業員とビジターは、目に見える正式な識別バッジを常に着用しなければなりません。 エントリ・ルームとサーバー・ルームの間には、サイト・ビルドとリスク・プロファイルによって異なるセキュリティ・レイヤーが追加されています。 データセンター・サーバー・ルームには、サーバー・ルーム、2ファクタ・アクセス・コントロール、侵入検知メカニズムをカバーするカメラなど、追加のセキュリティ・レイヤーが組み込まれています。 床から(該当する場合は上げ床の下を含む)天井(該当する場合は上の天井タイルを含む)にまたがるサーバー・ラックとネットワーク・ラックの周囲に隔離されたセキュリティ・ゾーンを作成するための物理的障壁があります。

Oracle Cloud Infrastructureデータセンターへのアクセスは慎重に管理され、最小特権アクセスの方法に従います。 サーバー・ルームへのアクセスはすべて、許可された人員の承認を受け、必要な期間だけ許可されている必要があります。 アクセスの使用状況は監査され、システム内でプロビジョニングされたアクセスはデータセンターのリーダーシップによって定期的に見直されます。 サーバー・ルームは、ゾーン単位で管理されるセキュア・ゾーンに分離され、アクセスは人員が必要とするゾーンに対してのみプロビジョニングされます。

セキュリティ運用

Oracle Cloud Infrastructure Security Operationsチームは、独自のOracle Cloud Infrastructureホスティングおよび仮想ネットワーキング技術のモニタリングと保護を担当しています。 チームは、独自のセキュリティとイントロスペクション機能を活用するために、これらのテクノロジを開発しているOracleエンジニアと直接作業しトレーニングします。

私たちは、新興のインターネット・セキュリティの脅威を毎日監視し、ビジネスのリスクに対処するための適切な対応と防衛計画を実施します。 緊急の変更が顧客の責任の範囲内にあることが推奨されると判断した場合、その顧客にセキュリティ警告を発行してその保護を保証します。

Oracle Cloud Infrastructureサーバーまたはネットワークに影響を及ぼす検出または報告されたセキュリティ問題の場合、Security Operationsスタッフは、24時間365日対応して応答、エスカレート、または必要な修正措置を講じます。 必要に応じて、Oracle Cloud Infrastructure、お客様、およびネットワークのセキュリティと評判を保護するために、外部の関係者(ネットワークおよびホスティング・サービス・プロバイダ、ハードウェア・ベンダー、または法執行機関を含む)とエスカレートし調整します。

Security Operationsチームによるセキュリティ問題に対応して実行されるすべてのアクションは、文書化されたプロセスに従って実行され、コンプライアンス要件に従って記録されます。 サービスとデータの完全性、プライバシ、ビジネス継続性の目標を保護するために常に注意が払われます。

顧客データ保護

データ権利と所有権

Oracle Cloud Infrastructureのお客様は、コンテンツに対するすべての所有権と知的財産権を保持します。 顧客データの保護は非常に重要であり、私たちはデータ保護プロセスと法令執行の要請を受け入れることができるように努力しています。

データ・プライバシ

オラクルは、欧州連合(EU)から米国へ移管された個人情報の収集、使用、保持に関して、米国商務省が定めたEU-U.S.プライバシ・シールド・フレームワークを遵守します。 オラクル社は、代理人として代理人として行動する第三者が同じことを確実に行う責任も負っています。

オラクル社は、商務省に対し、プライバシ保護の原則に準拠していることを認定しています。 プライバシ・ポリシーの規約とプライバシ・シールドの原則の間に矛盾がある場合、プライバシ・シールドの原則が適用されます。 Privacy Shieldプログラムの詳細と認定資格については、https://www.privacyshield.gov/listをご覧ください。

プライバシ・シールド・フレームワークに従って受領または転送された個人情報については、オラクルは米国連邦取引委員会の規制執行権限の対象となります。

オラクルは、スイスから受け取った個人情報の処理について、スイス・セーフ・ハー・バーの欧州プライバシ原則を遵守し続けています。 セーフ・ハー・バー・プログラムの詳細と認定資格については、https://safeharbor.export.gov/swisslist.aspxをご覧ください。

法令執行のリクエスト

オラクルは、法律で要求されている場合を除き、お客様が受け取った執行機関、行政機関またはその他の政府機関の召喚状、司法、行政または仲裁命令を顧客に速やかに通知します。 オラクルはお客様からの要請に応じて、法令執行のリクエストに関連する合理的な情報と、適時にリクエストに応えるために合理的に必要とされる援助をお客様に提供します。

コンプライアンス

Oracle Cloud Infrastructureは企業向けに作られたものです。 私たちは、情報セキュリティ管理のためのISO/IEC 27002 Code of Practiceに準拠したプラクティスの下で業務を行っており、そこから当社のビジネスに適用される包括的なセキュリティ管理策を特定しています。 Oracle Cloud Infrastructureは依然として新製品ラインであり、これらのセキュリティ管理および業務が外部監査を受けるためには一定期間稼働しなければなりません。 エンタープライズ・クラウドとして、業界および政府の認定、監査、規制プログラムの幅広いスイートを追求する予定です。