Oracle Cloud Infrastructureドキュメント

SIEM統合の設計ガイダンス

クラウド導入フレームワークの柱の1つは、セキュリティです。ワークラドを移行する場合や、クラウドにワークロードを作成する場合、様々なセキュリティ・レイヤーを実装して、攻撃のリスクを軽減します。Oracle Cloud Infrastructure(OCI)は、多層防御(DiD)フレームワークを使用して、様々なレベルでクラウド・インフラストラクチャを保護します。また、OCIではゼロ・トラスト・セキュリティ・アプローチも適用しています。詳細は、Oracle Cloud Infrastructureでのゼロ・トラスト・セキュリティへのアプローチを参照してください。

多層防御とは何か、なぜそれが重要なのか。

多層防御は、様々なタイプのセキュリティ防御を使用してデータを保護するのに役立つ、セキュリティに対するマルチレイヤ・アプローチです。ある防御レイヤーで障害が発生した場合や、危険にさらされた場合には、他のタイプの防御が攻撃を軽減し、運用可能になります。たとえば、生体認証、ネットワーク・アクセス、認証などの異なる防御タイプを備えた複数のセーフ内にデータを保存すると、セキュリティの各レイヤーによってデータの安全性が保証されます。各レイヤーには、セーフのセキュリティ・ステータスの完全なビューを提供する潜在的なモニタリング・システムがあります。

同様に、この概念をITシステムの防御に適用する場合、多層防御アプローチによってシステムのすべてのレイヤーが保護されます。たとえば、DiDフレームワークは、従業員のラップトップ・コンピュータ、ユーザーとそのアイデンティティ、各システムを接続するネットワーク、およびデータを守るアプリケーションを保護します。

多層防御の要素

多層防御では、次の制御領域に重点を置いています:

  • 物理的な制御: 物理システムへのアクセスの防止。通常、生体認証システムやセキュリティ・ドアではなく、セキュリティ担当者がこの制御を表します。
  • 技術的な制御: ハードウェアおよびソフトウェアを含むITシステムへのアクセスの防止。この制御には、ファイアウォールおよび侵入検出システム、Webスキャナ、ジャストインタイム・アクセス、ネットワーク・セグメンテーションおよびデータ暗号化が含まれます。また、この制御は、セキュリティ情報およびイベント管理(SIEM)プラットフォームを使用したり、セキュリティ、オーケストレーション、自動化およびレスポンス(SOAR)プラットフォームを使用して、自身のシステムをモニタリングすることによっても実装されます。
  • 管理上の制御: セキュリティ・ポリシーの実装、サイバーセキュリティ・リスク評価、および従業員とベンダーの管理を通じて、セキュリティを測定および検証します。

詳細は、クラウド内外でデータを常に保護: 多層防御を参照してください。

SIEM統合パターン

セキュリティ攻撃に対する反応性を高めるためには、SIEMプラットフォームが必要です。SIEMシステムを介して、ネットワーク、デバイス、アイデンティティなど、様々なソースからのセキュリティ・イベントをモニターできます。また、機械学習を使用してこれらのシグナルをリアルタイムで分析することで、様々なシグナルを相互に関連付け、脅威となるハッキング・アクティビティや、ネットワークを経由するイレギュラなセキュリティ・イベントを特定できます。OCIで生成されたログおよびイベントとの統合に使用できるサードパーティSIEMが複数あります。ご使用のSIEMプラットフォームがそれに該当しない場合は、Oracle担当者に連絡してサポートを受けることをお薦めします。

サービス・ログ統合

モニタリング・システムをOCIと統合すると、OCI Loggingで生成されたログを統合できます。ロギングは、OCIリソースからすべてのログへのアクセスを提供し、テナンシ内のすべてのログを完全に管理します。また、非常にスケーラブルです。ログには、リソースのパフォーマンスやアクセス状況を示すクリティカルな診断情報が含まれます。

次の種類のログがあります:

  • 監査ログ: OCI Auditサービスによって発行されたイベントに関連するログ。
  • サービス・ログ: OCIネイティブ・サービス(APIゲートウェイ、イベント、ファンクション、ロード・バランシング、オブジェクト・ストレージ、VCNフロー・ログなど)によって発行されたログ。サポートされているこれらの各サービスには、それぞれのリソースで有効化または無効化できる事前定義済のロギング・カテゴリがあります。
  • カスタム・ログ: カスタム・アプリケーション、他のクラウド・プロバイダまたはオンプレミス環境からの診断情報を含むログ。カスタム・ログは、APIを介して、または統合モニタリング・エージェントを構成することで収集できます。統合モニタリング・エージェントを介してカスタム・ログを直接アップロードするようにOCI Computeインスタンスを構成できます。仮想マシンおよびベア・メタルのシナリオでは、カスタム・ログがサポートされています。

ロギングおよびOCI Service Connector Hubを使用してログを統合する方法の詳細は、CIS OCIランディング・ゾーンでのセキュリティ・ログ統合を参照してください。

また、ベスト・プラクティスとして、クラウド・ガードによって生成されたイベントを取得して、SIEMプラットフォームに送信するための十分に詳細なデータを取得することもお薦めします。このプロセスは、潜在的なセキュリティ問題に備えるのに役立ちます。

クラウド・ガードによって生成されたイベントをエクスポートする方法の詳細は、OCI EventsおよびFunctionsを使用したOracle Cloud Guardと外部システムの統合を参照してください。

サードパーティSIEMリファレンス・アーキテクチャ

サードパーティSIEMリファレンス・アーキテクチャでは、ロギングによって、監査ログ、サービス・ログ(VCNフロー・ログ)、カスタム・ログなどの様々なソースからログが取得されます。ログごとに個別のストリームがあり、各ログは、OCI Streamingサービス内にログを書き込むサービス・コネクタ・ハブを使用してそのストリームに接続されます。並行して、クラウド・ガードによって生成されたイベントは、OCI Streamingにイベントを書き込むOCIファンクションを介して収集され、正規化されます。

これにより、OCI Streamingは、詳細な分析のためにストリーム・データを収集するSplunkやQRadarなどのサードパーティSIEMプラットフォームと連動できます。例については、Oracle Cloudからストリーミングされたログを使用したSplunkでのSIEMシステムの実装を参照してください。

OCI Loggingの統合を示すSIEMリファレンス・アーキテクチャの図。

SIEMリファレンス・アーキテクチャには、次のアーキテクチャ・コンポーネントが含まれています。

リージョン
OCIリージョンとは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、長距離の場合は複数の国または大陸にまたがるリージョンを分離できます。
可用性ドメイン
可用性ドメインは、リージョン内の独立したスタンドアロン・データ・センターです。各可用性ドメイン内の物理リソースは、他の可用性ドメイン内のリソースから分離されているため、フォルト・トレランスが提供されます。可用性ドメインどうしは、電力や冷却、内部可用性ドメイン・ネットワークなどのインフラを共有しません。そのため、ある可用性ドメインでの障害がリージョン内の他の可用性ドメインに影響を及ぼすことはほとんどありません。
仮想クラウド・ネットワークおよびサブネット
仮想クラウド・ネットワーク(VCN)は、ソフトウェアで定義されたカスタマイズ可能なネットワークであり、OCIリージョン内に設定します。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境の完全な制御を可能にします。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。
ロギング
ロギングは、クラウド内のリソースからログへのアクセスを提供する、スケーラブルな完全管理型のサービスです。ログのタイプには、監査ログ、サービス・ログおよびカスタム・ログがあります。
ストリーミング
ストリーミングは、スケーラブルで耐久性に優れた完全管理型のストレージ・ソリューションを提供し、連続する大量のデータ・ストリームを取り込んでリアルタイムに消費および処理できるようにします。ストリーミングは、アプリケーション・ログ、運用テレメトリ、Webクリック・ストリーム・データなど、大量のデータを取り込むために使用できます。また、パブリッシュ/サブスクライブのメッセージング・モデルにおいてデータが連続して順に生成および処理されるような他のユース・ケースでも使用できます。
サービス・コネクタ・ハブ
サービス・コネクタ・ハブは、OCIのサービス間でのデータ移動を調整するクラウド・メッセージ・バス・プラットフォームです。このプラットフォームを使用して、OCIサービス間でデータを移動できます。データはサービス・コネクタを使用して移動されます。サービス・コネクタは、移動対象のデータを含むソース・サービス、データに対して実行するタスク、およびタスクの完了時にデータを配信する必要があるターゲット・サービスを指定します。
Oracle Cloud Guard
クラウド・ガードは、Oracle Cloudで強力なセキュリティ・ポスチャをモニター、識別、実現および維持するのに役立ちます。このサービスを使用して、OCIリソースに構成に関連するセキュリティ脆弱性がないか、およびオペレータとユーザーにリスクのあるアクティビティがないかを調べます。検出されると、クラウド・ガードは、構成に基づいて修正処理を提案、支援または実行できます。