Oracle Cloud Infrastructureドキュメント

セキュリティの概要

Oracleのクラウド・インフラストラクチャおよびサービスは、ミッションクリティカルなワークロードの実行と信頼性の高いデータの格納を可能にする、効果的で管理可能なセキュリティを提供します。

Oracle Cloud Infrastructure (OCI)セキュリティは、次のコア・ピラーに基づいています。ピラーごとに、OCIにはクラウド・プラットフォームのセキュリティとコンプライアンスを最大化する複数のソリューションがあります。

顧客の分離
他のテナントおよびOracleスタッフから完全に分離された環境に、アプリケーションおよびデータ・セットをデプロイできます。
データ暗号化
暗号アルゴリズムとキー管理のセキュリティ要件およびコンプライアンス要件を満たすために、保存中および移動中のデータを保護します。
セキュリティ制御
悪意のあるユーザー・アクションや偶発的なユーザー・アクションに関連するリスクを低減するために、サービスへのアクセスを制限し、業務上の職責を分割します。
可視性
リソースに対するアクションを監査およびモニターするための包括的なログ・データとセキュリティ分析を提供します。この可視化により、監査要件を満たし、業務上のリスクを軽減できます。
セキュアなハイブリッド・クラウド
ユーザー・アカウントやポリシーなどの既存のセキュリティ・アセットを使用できます。クラウド・リソースにアクセスし、クラウド内のデータおよびアプリケーション・アセットを保護する際に、サードパーティのセキュリティ・ソリューションを使用できます。
高可用性
可用性が高くスケーラブルなアーキテクチャを実現し、ネットワーク攻撃に対する自己回復性を備えた、障害に依存しないデータセンターを提供します。
検証可能なセキュア・インフラストラクチャ
クラウド・サービス開発および操作のすべての段階で、正確なセキュリティ制御を使用します。OCIは、サードパーティの監査、証明書およびアテステーションを通じて、Oracleの厳しいセキュリティ標準に準拠しています。オラクルのセキュアなインフラストラクチャは、内部セキュリティおよびコンプライアンス・チーム、顧客、監査者および規制者に対するコンプライアンス・レディネスを示すのに役立ちます。

Oracleは、情報、データベース、アプリケーション、インフラストラクチャ、ネットワーク・セキュリティに関する世界のエキスパートも採用しています。OCIを使用する場合、当社の深い専門知識とセキュリティへの継続的な投資の恩恵を直接受けます。

セキュリティに関する基本的な考慮事項

すべてのアプリケーションをセキュアに使うために、次の原則が重要になりますOracle Cloud Infrastructureでリソースを計画、開発、デプロイおよび実行します。

  • ソフトウェアを最新の状態に維持します。最新の製品リリースとそれに適用されるパッチを使用します。
  • 権限はできるだけ制限します。ユーザーが作業を行うために必要なアクセス権のみを付与します。ユーザー権限を定期的に見直して、現在の作業の要件に対する妥当性を判断してください。
  • システムのアクティビティをモニターします。誰がどのシステム・コンポーネントとアクセス頻度にアクセスするかを確認し、それらのコンポーネントをモニターします。
  • Oracle Cloud Infrastructureのセキュリティ機能について学習し、使用します。詳細は、「セキュリティ・サービス」を参照してください。
  • セキュアなベスト・プラクティスを使用します。詳細は、セキュリティのベスト・プラクティスを参照してください。
  • 最新のセキュリティ情報を常に把握します。オラクル社では、セキュリティ関連のパッチ更新およびセキュリティ・アラートが定期的に発行されます。セキュリティ・パッチはできるだけすぐにインストールします。クリティカル・パッチ・アップデートとセキュリティ・アラートのWebサイトを参照してください。

基本的なリソース保護

Oracle Cloud Infrastructureデプロイメントを計画する際には、保護する必要があるリソース、それらのリソースに付与するアクセス量およびそれらのリソースへのセキュリティ障害の影響について検討します。

どのリソースを保護する必要があるか

  • 顧客データ(クレジット・カード番号など)
  • 内部データ(固有のソース・コードなど)
  • システム・コンポーネント(外部攻撃または意図的なシステムのオーバーロードから保護)

データを誰から保護するのか

ワークフローを分析して、誰がどのデータにアクセスする必要があるかを決定します。たとえば、サブスクライバのデータを他のサブスクライバから保護する必要がありますが、組織内のユーザーは、管理のためにデータにアクセスする必要があります。

システム管理者にどの程度のアクセス権を与えるか慎重に検討してください。システム管理者は、システム・データにアクセスする必要なく、システム・コンポーネントを管理できます。

戦略的リソースの保護が失敗したらどうなるか

場合によっては、セキュリティ・スキームの障害はただの不都合です。そうしないと、障害によってユーザーや顧客が損なわれることがあります。各リソースのセキュリティーの影響を理解することは、保護に役立ちます。

共同セキュリティ・モデル

Oracle Cloud Infrastructureのセキュリティは、ユーザーとOracleの間の共有職責です。クラス最高のセキュリティ・テクノロジと運用プロセスを使用して、クラウド・サービスを保護します。ただし、OCIでワークロードを安全に実行するには、セキュリティおよびコンプライアンスの責任を知っている必要があります。

共有のマルチテナント・コンピュート環境では、基盤となるクラウド・インフラストラクチャ(データ・センター施設、ハードウェアおよびソフトウェア・システムなど)のセキュリティを担当します。ワークロードを保護し、クラウド・リソース(コンピュート、ネットワーク、ストレージ、データベースなど)を安全に構成するのはユーザーの責任です。

完全に分離されたシングルテナントのベア・メタル・サーバーで、Oracleソフトウェアがないと、ユーザーの責任が大きくなります。アプリケーションをデプロイするソフトウェア・スタック全体(オペレーティング・システムなど)を所有しているためです。この環境では、次のタスクを担当します。

  • ワークロードのセキュリティ保護
  • サービス(計算、ネットワーク、ストレージ、データベース)を安全に構成する
  • ベア・メタル・サーバーで実行するソフトウェア・コンポーネントが安全に構成、デプロイ、パッチ適用および管理されるようにします。

具体的には、責任とOracleの責任を次の領域に分割できます。

アイデンティティおよびアクセス管理(IAM)

クラウド・アクセス資格証明を保護し、個々のユーザー・アカウントを設定する責任があります。また、自分の従業員アカウントについて、およびテナンシで発生するすべてのアクティビティについて、アクセスを管理してレビューする責任もあります。

Oracleは、アイデンティティ管理、認証、認可、監査など、効果的なIAMサービスの提供を担当します。

ワークロード・セキュリティ

コンピュート・インスタンスのオペレーティング・システム・レイヤーとアプリケーション・レイヤーの攻撃や侵害からの保護は、ユーザーの責任です。この保護には、アプリケーションおよびオペレーティング・システムへのパッチ適用、オペレーティング・システムの構成、マルウェアやネットワーク攻撃からの保護などが含まれます。

Oracleは、イメージのセキュリティを強化し、最新パッチを適用してから提供することに責任を持ちます。Oracleでは、オンプレミスですでに使用しているのと同じサードパーティ・セキュリティ・ソリューションを使用することもできます。

データの分類とコンプライアンス

データを正しく分類およびラベル付けし、すべてのコンプライアンス義務を満たす責任はユーザーにあります。また、ソリューションを監査して、コンプライアンス義務を満たしていることを確認する必要もあります。

ホスト・インフラストラクチャ・セキュリティ

コンピュート(仮想ホスト、コンテナ)、ストレージ(オブジェクト、ファイル、ローカル・ストレージ、ブロック・ボリューム)およびプラットフォーム(データベース構成)の各サービスの構成および管理は、ユーザーの責任です。

Oracleは、ユーザーと共同して、サービスが最適に構成されて保護されていることを確認します。この職責には、ハイパーバイザのセキュリティと、権限とネットワーク・アクセス制御の構成が含まれます。

ネットワーク・セキュリティ

仮想ネットワーキング、ロード・バランシング、DNS、ゲートウェイなどのネットワーク要素を安全に構成する責任はユーザーにあります。ホストが正しく通信でき、デバイスが正しいストレージ・デバイスをアタッチまたはマウントできることを確認します。

Oracleは、セキュアなネットワーク・インフラストラクチャの提供に責任を持ちます。L3/4 DDoS保護はすべてのOracle Cloud Infrastructureアカウントに含まれており、構成や監視は必要ありません。

クライアントおよびエンドポイントの保護

企業は、モバイル・デバイスやブラウザなど、様々なハードウェアおよびソフトウェア・システムを使用してクラウド・リソースにアクセスします。OCIサービスへのアクセスを許可するすべてのクライアントおよびエンドポイントを保護する必要があります。

物理的なセキュリティ

Oracleは、OCIで提供されるサービスを実行するグローバル・インフラストラクチャの保護に責任を持ちます。このインフラストラクチャは、ハードウェア、ソフトウェア、ネットワークおよび設備で構成されます。

インフラストラクチャ・セキュリティ・モデル

Oracle Cloud Infrastructureのセキュリティ・モデルは、製品の構築元となるメソドロジやアプローチの個人、プロセス、ツール、共通のセキュリティ・プラットフォームに基づいて構築されます。

このモデルを、顧客とビジネスを保護するために使用するコア・セキュリティ・コンポーネント(セキュリティ文化、セキュリティの設計と制御、セキュアなソフトウェア開発、人員セキュリティ、物理セキュリティおよびセキュリティ操作)に適用します。

セキュリティの文化

セキュリティ主導の文化は、セキュリティ主導の組織を築くために不可欠です。すべてのOCIチーム・メンバーは、ビジネスでセキュリティが果たす役割を理解しており、製品のセキュリティ状態の管理と向上に積極的に関与しています。セキュリティを意識した文化を創造し維持するために、次のメカニズムも実装しました。

  • セキュリティ志向のリーダーシップ:シニア・リーダーシップは、セキュリティの計画、モニタリングおよび管理に積極的に関与しています。セキュリティ・メトリックを定義および測定し、チーム評価プロセスのコンポーネントとしてセキュリティを含めます。
  • 専門家の組込み:セキュリティ・チーム・メンバーは、製品開発チームと緊密に連携しています。このアプローチにより、セキュリティ部門が製品開発プロセスやシステム・アーキテクチャについて深く理解できるようになります。このアプローチは、チームがセキュリティの課題を迅速に解決し、セキュリティ・イニシアチブをより効果的に推進するためにも役立ちます。
  • 共通のセキュリティ標準:セキュリティが製品および操作に統合されます。たとえば、セキュリティ標準ベースラインを確立します。このベースラインは、単一のセキュリティ・ポイントの参照を提供し、明確で実用的なガイドラインを確立します。学習したレッスンを取り込み、新しいビジネス・ファクタを反映するために、このベースラインを頻繁に更新します。また、チームによるセキュリティ制御の実装を支援するサポート資料も作成します。これらの資料には、リファレンス・アーキテクチャ、実装ガイド、およびセキュリティ・エキスパートへのアクセスが含まれます。
  • オープン性、建設的議論、エスカレーション推奨:セキュリティの問題に対処できるのは、解決できる人が問題を認識した場合のみです。エスカレーションを推奨しています。また、問題を早く頻繁に発生させることが報われる環境を作り出すように取り組んでいます。
  • セキュリティ意識向上トレーニング:セキュリティと認識に関する充実したトレーニング・プログラムを提供し、セキュリティ文化を強化しています。すべての新入社員向けの詳細なセキュリティ・トレーニング・セッションと年1回の再教育が必要です。また、特定のジョブ・ロールに合せたセキュリティ・トレーニングも提供しています。ソフトウェア開発者全員が、製品開発のためのベースライン・セキュリティ要件とベスト・プラクティスを提供する、セキュアな開発トレーニングに参加します。また、ゲストスピーカーやインタラクティブフォーラムなど、魅力的で革新的な形式のセキュリティ意識トレーニングも提供しています。

セキュリティの設計と制御

オラクルでは、一元化された方法論によってクラウド製品および運用のセキュリティを統合しています。この方法では、複数のコア セキュリティ領域に対するアプローチを定義し、これらの領域を合わせて、製品の構築元のセキュリティ基盤を形成します。このアプローチは、1つの製品で得たベスト・プラクティスと教訓をビジネス全体に適用して、すべての製品のセキュリティを向上するのに役立ちます。

  • ユーザー認証およびアクセス制御:最小権限アプローチを使用して、本番システムへのアクセス権を付与します。サービス・チーム・メンバーの承認済リストは、必要性を正当化できない場合にアクセスを取り消すために定期的にレビューされます。本番システムへのアクセスには、多要素認証(MFA)も必要です。セキュリティ・チームはMFAトークンを付与し、非アクティブ・メンバーのトークンは無効になります。本番システムへのすべてのアクセスはログに記録され、ログはセキュリティ分析のために保管されます。
  • 変更管理:独自のテスト・ツールやデプロイメント・ツールを使用する、厳格な変更管理およびデプロイメント・プロセスに従います。本番環境にデプロイされたすべての変更は、リリース前にテストおよび承認されます。このプロセスにより、変更が意図したとおりに動作し、以前の状態にロールバックして、バグや操作の問題を正常にリカバリできます。また、クリティカルなシステム構成の整合性を管理し、予期される状態に合っていることを確認します。
  • 脆弱性の管理:社内のペネトレーション・テスト・チームと社外の専門家を使用して、製品の潜在的な脆弱性を識別します。これらの専門家は、製品のセキュリティの向上に役立ち、弊社の将来の開発業務に学習するレッスンを取り入れています。また、業界標準のスキャナを使用して、OCIホストを定期的にスキャンして脆弱性を探します。スキャン結果がOCI環境に適用されるかどうかを決定し、製品チームは必要に応じて必要なパッチを適用します。
  • インシデントへのレスポンス:インシデントの発生時にすぐ反応して対処できる、強力なプロセスとメカニズムがあります。インシデント・レスポンス・チームは、イベント24時間365日を検出して対応できます。重要なスタッフ・メンバーはページング・デバイスを使用するため、問題の解決に必要な専門知識を活用できます。

    インシデントの学習を支援するプロセスもあります。Corrective Action/Preventative Action (CAPA)プロセスで根本原因分析を実行します。CAPAは、インシデントの発生後に行えるプロセス・ギャップと変更の検出に役立ちます。CAPAは、一般的な言語であり、問題について反映して、将来の操作の即応性を改善するためのステップを取得できます。CAPAには、問題の根本原因、問題を阻止または修正するために必要なもの、問題が再発しないために行う必要があるステップが含まれます。リーダーシップ・チームは、すべてのCAPAを確認して、得た教訓が組織全体に適用されるようにし、タイミングよく処置が行われることを確認します。

  • セキュリティのロギングとモニタリング:インフラストラクチャ内のセキュリティ関連イベント(たとえば、APIコールやネットワーク・イベント)のログを記録し、異常動作についてログをモニターする自動メカニズムがあります。セキュリティ・チームは、モニタリング・メカニズムによって生成されたアラートを追跡および切り捨てます。
  • ネットワーク・セキュリティ:デフォルトでは、OCIサービスとの顧客通信では、最新のTransport Layer Security (TLS)暗号と構成を使用して、転送中の顧客データを保護し、中間攻撃を防止します。さらに、サービスに対する顧客のコマンドは、公開鍵を使用してデジタル署名され、改ざんを防止できます。サービスでも、業界をリードするツールとメカニズムをデプロイすることで、分散DoS(DDoS)攻撃を軽減し、高可用性を維持します。
  • コントロール・プレーン・セキュリティ: OCIバックエンド(コントロール・プレーン)ホストは、ネットワーク・アクセス制御リスト(ACL)を使用して、顧客インスタンスから安全に分離されています。インスタンスは、バックエンド・ホストと対話する必要があるソフトウェア・エージェントによってプロビジョニングおよび管理されます。これらのバックエンド・ホストと正常に対話できるのは、認証および認可されたソフトウェア・エージェントのみです。これらのホストでは、本番前の環境(たとえば、開発、テスト、統合)は本番環境と切り離されているため、開発やテストのアクティビティは本番システムに影響しません。
  • サーバー・セキュリティおよびメディア管理:ハードウェア・セキュリティ・チームが、OCIサービスの提供に使用されるハードウェアのセキュリティの設計およびテストを担当します。このチームは、サプライ・チェーンと連携して、ハードウェア・コンポーネントをテストし、OCIの厳しいハードウェア・セキュリティ標準に照らして検証します。このチームはまた、製品開発部門とも緊密に連携して、顧客がハードウェアをリリースした後、ハードウェアが安全な初期状態に戻るようにします。
  • セキュア・ホスト・ワイプおよびメディアの破壊: OCIインスタンスは、顧客がハードウェアをリリースした後、安全にワイプされます。このセキュア・ワイプによって、ハードウェアが初期状態にリストアされます。独自のハードウェア・コンポーネントを使用してプラットフォームを再設計して、セキュアな方法でハードウェアをワイプして再初期化できるようにしています。基礎となるハードウェアが耐用期限になると、ハードウェアは確実に破壊されます。ドライブは、データ・センターから運び出される前に、業界トップのメディア破壊装置を使用して使用できない状態にされます。

セキュアなソフトウェア開発

セキュアなソフトウェア開発では、セキュリティの明確さと原則に準拠した方法論を一貫して適用する必要があります。製品開発ライフ・サイクルのすべての要素にセキュリティ・プラクティスを組み込んでいます。開発者のためのロードマップとガイドとなる正式なセキュリティ製品開発標準を用意しています。これらの標準では、設計原則や一般的な脆弱性などの総合的なセキュリティ情報の分野について説明され、データの検証、データ・プライバシ、ユーザー管理などのトピックに関する具体的なガイダンスが提供されます。

当社のセキュアな製品開発基準は、コードに影響する一般的な問題、発見された新しい脅威、お客様による新しいユース・ケースに対応するために、時間の経過とともに進化および拡張します。標準は、インサイトや学んだ教訓を取り入れています。分離して生きていることや、ソフトウェア開発に「事後」をもたらすこともありません。これらは、C/C++、Java、PL/SQL、その他の言語固有の標準に不可欠であり、セキュアな開発プログラムおよびプロセスの土木です。

セキュリティ保証分析およびテストでは、各種の攻撃に対する製品のセキュリティ品質を検証します。テストには、静的分析と動的分析の2つのカテゴリが使用されます。これらのテストは、製品開発ライフ・サイクルの異なる面で、通常は異なるカテゴリの問題を見つけるため、製品チームによって一緒に使用されます。

人事セキュリティ

最高の採用を目指し、従業員に投資します。トレーニングを大切にしています。すべての従業員にベースライン・セキュリティ・トレーニングが必要です。また、チームに最新のセキュリティ・テクノロジ、脆弱性およびメソドロジについて通知する特別なトレーニングも必要です。オラクルの年間企業トレーニング・プログラムは、情報セキュリティ・プログラムやプライバシー・プログラムなど、多くの人々を対象としています。また、さまざまな業界グループと提携し、社員を専門家の会議に送って、新しい課題について他の業界の専門家と協力します。当社のセキュリティ・トレーニング・プログラムの目的は、従業員がお客様と製品をより適切に保護できるようにすること、従業員がセキュリティに関する知識領域を拡大できるようにすること、および最高の人材を魅了して留めさせるとい目標を推進することです。

我々は強い倫理と良い判断で人を雇う。当社の従業員は、犯罪的な経歴の調査や前職の検証など、法律で許可されているスクリーニングを雇用前に受けます。また、チームおよび従業員のパフォーマンス評価プロセスを使用して、良好なパフォーマンスを認識し、チームと従業員が成長の機会を識別するのを支援します。セキュリティは、チーム評価プロセスのコンポーネントです。このアプローチは、チームがセキュリティ標準をどのように実行しているかを示しており、重要なセキュリティ・プロセスのベスト・プラクティスと改善分野を識別できます。

物理的なセキュリティ

Oracle Cloud Infrastructureデータ・センターは、顧客データのセキュリティと可用性を実現するように設計されます。このデザインは、サイト選択プロセスから開始します。求職者の構築サイトとプロバイダの場所には、大規模なリスク評価プロセスが伴います。このプロセスでは、環境上の脅威、電源の可用性と安定性、ベンダーの評判と履歴、近隣施設の機能(高リスクの製造や、脅威目標など)、地理的な問題を考慮します。

OCIデータ・センターは、Uptime Instituteおよび電気通信産業協会(TIA)のANSI/TIA-942-A Tier 3またはTier 4標準に準拠し、N2冗長化方式に従って重要な機器を操作します。OCIサービスを格納しているデータ・センターは、冗長電源を使用し、発電機のバックアップを維持して、広域の停電を防止します。サーバー室は、気温や湿度が細かくモニタリングされ、消火システムが配備されています。データ・センター・スタッフは、発生する可能性のあるセキュリティまたは可用性イベントに対処できるように、インシデントへの対応やエスカレーション手順についてトレーニングを受けています。

物理的なセキュリティに対する階層化されたアプローチは、サイトの構築から始まります。データセンター設備は、鋼鉄、コンクリート、または同等の材料によって耐久性があり、軽い車両ストライキによる衝撃に耐えるように設計されています。当社のサイトには、インシデントに24時間365日対応可能な警備員が担当しています。各サイトの外側は、建物境界を覆う警備員とカメラで積極的に監視されている。

データ・センターに入ろうとするすべての個人は、セキュリティ・ガードのスタッフであるサイト入り口でセキュリティを通る必要があります。サイト固有のセキュリティ・バッジを持たない個人は、政府が発行した識別情報を提供し、データ・センターの建物へのアクセス権を付与する承認済アクセス・リクエストを持っている必要があります。すべての従業員および訪問者は、正式なIDバッジを見える形で、必ず着用する必要があります。設置場所と設置場所の間のその他のセキュリティー対策は、設置場所やリスクプロファイルによって異なります。

データ・センターのサーバー室には、サーバー室を覆ったカメラ、2要素のアクセス制御、侵入検知メカニズムなど、さらにセキュリティが組み込まれています。サーバーとネットワーキング・ラックの周囲には、床(該当する場合は二重床の下も)から天井(該当する場合は天井タイルの上も)までの物理的な壁が設置され、セキュリティ・ゾーンが分離されています。

データ・センターへのアクセスは、慎重に管理され、最小限権限アクセス・アプローチに従っています。承認された担当者は、サーバー室へのアクセスをすべて承認する必要があります。また、アクセスは、必要な期間だけ許可されます。アクセスの使用は監査され、データ・センターのリーダーシップは、システム内でプロビジョニングされたアクセスを定期的にレビューします。サーバー・ルームは、ゾーンごとに管理されるセキュア・ゾーンに分離されます。アクセスは、担当者が必要とするゾーンに対してのみプロビジョニングされます。

セキュリティ運用

Oracle Cloud Infrastructureセキュリティ運用チームは、一意のOCIホスティング・テクノロジおよび仮想ネットワーキング・テクノロジのモニタリングと保護を担当します。このチームは、これらのテクノロジを開発するOracleエンジニアと直接連携してトレーニングを行います。

出現するインターネット・セキュリティの脅威を毎日モニターして、業務に対するリスクに対処するために、対応と防御の適切な計画を実装します。緊急の変更が推奨され、顧客の責任範囲にあると判断した場合には、顧客にセキュリティ・アラート報告を発行して確実な保護を確認します。

検出またはレポートされたセキュリティの問題がOCIのサーバーまたはネットワークに影響する場合、セキュリティ運用スタッフは24時間365日対応、エスカレーション、または必要な修正アクションを実行できます。必要な場合には、外部組織(ネットワークやホスティング・サービス・プロバイダ、ハードウェア・ベンダー、警察など)にエスカレーションを行い、協同して、OCI、顧客、およびネットワークのセキュリティと評価を保護します。

セキュリティ運用チームがセキュリティ問題に応答すると、ドキュメント化されたプロセスに従って行動し、すべてのアクションがコンプライアンス要件に従って記録されます。サービスとデータ整合性、プライバシおよびビジネス継続性という目標を守るために、常に注意が払われています。

顧客データ保護

お客様のデータ保護は非常に重要です。オラクルでは、データ・セキュリティに関するすべての法的要件およびコンプライアンス要件を満たすステップを実行します。

データの権利および所有権

Oracle Cloud Infrastructureの顧客は、内容に関するすべての所有権と知的財産権を保持します。当社では、データ保護プロセスおよび法執行機関から受ける可能性がある要求について透明性を保つように努めています。

データ・プライバシ

OCIには、一般的なデータ・プライバシ原則に沿うのに役立つ機能があります。Oracle Cloud Infrastructureプライバシ機能を参照してください。

法執行機関の要求

法律で定められている場合を除き、Oracleは、執行機関または行政機関またはその他の政府機関の召喚状、司法、行政、または仲裁命令を、Oracleがお客様に代わって処理する個人データに関連することを速やかに顧客に通知します。お客様のご要望に応じて、Oracleは、法執行要請に関連する妥当な情報と、お客様が要求にタイムリーに対応するために必要な合理的な支援をお客様に提供します。

コンプライアンス

情報セキュリティ制御を推進するにあたり、ISO/IEC 27002実務指針に従っています。これは、当社の業務に適用する包括的なセキュリティ制御と同一です。これらのセキュリティ制御と運用では、外部監査が行われます。オラクルでは、業界や政府の多様な認定、監査および規制プログラムを受けています。Oracle Cloudコンプライアンスを参照してください。