Oracle Cloud に無償のセキュリティ・サービスが提供される理由は?

Oracle Adds Free Security Services to Public Cloud

2021/11/09 SecurityBoulevard — 今日、Oracle Cloud Infrastructure (OCI) プラットフォームに4つの無料サービスが追加され、クラウド・セキュリティに関する、同社の懸念への対応が進められた。Oracle Cloud Infrastructure Vulnerability Scanning Service (OCI VSS) は、パッチが適用されていない脆弱性や、開放されたポートを特定するための無料サービスであり、OCI 上に展開されたアプリケーションのセキュリティ状態を監視する、無料サービスである Cloud Guard と統合される。

それにより、Oracle がロードバランサーに提供している、ファイアウォール・サービスの範囲が拡大される。また、OCI の無料レイヤで利用可能なマネージド・サービスである Oracle Cloud Infrastructure Bastion (OCI Bastion) は、セキュアで短時間で終了する Secure Shell (SSH) を使用して、OCI のプライベートリソースへのアクセスを実現する。

また、Oracle は (TLS) 接続で発行された証明書を管理する、無料の X.509 証明書サービスを追加する。これらの証明書は、FIPS 140-2 Level 3 のハードウェア・セキュリティ・モジュール (HSM) によりバックアップされている。

Oracle の Global VP for Cross Platform, Security and Analytics である Fred Kost は、「Oracle は、クラウド業界の競合他社との差別化を図るために、追加費用なしで利用できるセキュリティ・サービスを強くアピールしている。現在、企業はマルチ・クラウド・コンピューティング戦略を採用しており、ワークロードの配置を決定する際には、そのワークロードのセキュリティを確保するための、総コストを考慮する必要がある」と述べている。

Oracle は、企業の IT 部門が抱えるセキュリティ上の懸念に対応することで、クラウド・アプリケーション環境のセキュリティを確保するためのコストを、IT 部門が追加でセキュリティ・プラットフォームを導入/維持するのではなく、簡単に呼び出すことができる一連のサービスにより解決する。

サイバーセキュリティ・チームが常に直面する問題の核心は、開発者がプロビジョニングしたインフラ・リソースが、しばしば誤って設定されることである。たとえば、サイバー犯罪者が、開いいているポートを使ってデータを流出させることは、珍しいことではない。実際のところ Gartner は、2025年までに発生するクラウド侵害の 99% 以上が、エンドユーザーによる設定ミスなどを原因とすることになると予測している。

理論的には、開発者は DevSecOps のベストプラクティスを採用して、クラウド環境のセキュリティを向上させ、脆弱性を低減/排除しようとしている。しかし、DevSecOps に関しては、まだ初期段階にあるため、その変化による影響は限定された範囲に限られる。サイバーセキュリティ・チームは当面の間、クラウドのセキュリティについても、責任を問われることになると考えるべきだろう。

人間がコードを書く限り、ミスを犯す機会が常に存在する。目標は、開発者が安全なアプリケーションを構築するプロセスを簡単にし、アプリケーションの構築とデプロイの速度を落とさないようにすることだ。サイバーセキュリティ・チームは、アプリケーション開発プロジェクトが予定よりも遅れているときに、開発者が簡単に遵守できるような、ポリシーやガードレールを定義する必要がある。セキュリティのプロセスが複雑であれば、開発者はその場しのぎの判断を下してしまい、大惨事を引き起こす原因となる可能性がある。

この記事で、ちょっと気になったのは「セキュアで短時間で終了する Secure Shell (SSH) を使用して」の部分で、原文は「employs secure and ephemeral Secure Shell (SSH) 」となります。この「ephemeral」は「短命・儚い」といった意味であり、 「DevOps 2021:サプライチェーンを Ephemerality 概念の導入で守る」では VMware も重要性を主張しています。Oracle や VMware の動向と合わせて。注目し続けていきたい言葉です。

%d bloggers like this: