オラクルはIaaSとして「Oracle Cloud Infrastructure(OCI)」を提供しているが、今年7月に都内で開催されたイベント「Innovation Summit Tokyo 2018」で、近日中に、このOCIの全スタックを提供することが可能なデータセンターを日本に設けることが明らかにされた。

今回、Oracle Cloud Infrastructure製品戦略アーキテクト兼エバンジェリストを務めるローレント・ジル氏にOCIの最新動向について話を聞いた。

  • 米オラクル Oracle Cloud Infrastructure製品戦略アーキテクト兼エバンジェリスト ローレント・ジル氏

OCIでWebアプリケーション向けセキュリティサービスを提供

ジル氏は2018年2月にOracleが買収を発表したセキュリティベンダーのZenedgeの共同設立者の1人だ。ZenedgeはクラウドベースのAI(人工知能)に基づいたセキュリティソリューションとして、クラウドベースのWebアプリケーションファイアウォールとDDoS対策ソリューションを提供していた。

OCIでは、Compute、Networking、Storage、Database、Containers、FastConnect、Edge Services、Governanceといったサービスを提供しているが、Zenedgeが提供していたソリューションは、Edge Servicesにおいて国内でも提供されている。

ジル氏は、国内でEdge Servicesにセキュリティサービスを提供している理由について、「日本企業がクラウドを利用するにあたって最も重視している点はセキュリティとなっている。そこで、われわれとしても、OCIにおいてセキュリティを強化している」と語る。

Edge Servicesでは、 Web Application Securityとして、Web Application Firewall(WAF)、ボット管理、 APIセキュリティ、マルウェア対策、DDoS攻撃からの保護を提供している。

クラウドベース、機械学習活用が強み

WAFには機械学習が採用されており、Webアプリケーション起点のすべてのトラフィックを検査し、悪意のあるトラフィックを識別してブロックする。ジル氏は同サービスが100%クラウドベースであることから、利用中のアプリケーションに変更を一切加えることなく利用できると説明した。

ボットの管理においては「人間かボットかを分析した上で、ボットと判断したら、いいボットか悪いボットかを分析して、ユーザーに通知する」(ジル氏)という。悪意のあるボットは、広告詐欺、クレジットカード詐欺、コメントスパムなど、攻撃を行うために用いられる。

具体的には、IPレート制限、CAPTCHA、JavaScriptチャレンジなどのボット検出技術を利用して、悪意のあるボットや疑わしいボットの活動を特定して、ブロックする。

APIのセキュリティにおいては、API呼び出しの正当性を判断し、ネットワークに到達する前に攻撃を排除する。ジル氏は「マシン対マシンの通信におけるAPIコールに悪意があるかどうかを分析する」と話す。IPレートと基本的なDDoS対策によるこれまでの手法ではその判別は難しく、同サービスでは高度なアルゴリズムでAPIリクエストを検証し、正当性を判断しているそうだ。

マルウェア対策としては、顧客のWebサイトがマルウェアの配信に悪用されないよう、マルウェアがWebアプリケーションに到達する前にエッジで検出する。同サービスでは、双方向の通信を監視しているため、内部から機密データが送信されようとしている場合もブロックすることができる。

これらのサービスに関しては、データ・インテリジェンスとして、リアルタイムで統計情報を提供している。その情報はダッシュボードで閲覧でき、HTTPSのリクエストの状況が「Bot」「Access Control」「WAF」「Caching」「Original」という分類に基づき表示される。また、これらの分類に基づき、顧客の保護状況もモニタリングすることができる。

  • Oracle Cloud Infrastructure Edge ServicesのApplication Suiteの画面

企業が利用する上で必要な機能も網羅

ジル氏はOCIが企業利用に適したクラウドであることを強調した。例えば、企業が安全にOCIを利用するための機能として、ルールの承認機能が提供されている。ルールを承認できる人は、修正は行えないという。つまり、アクセス権を分散することで、不正やミスが発生することを防ごうというわけだ。

加えて、コンプライアンス向けの機能として、セキュリティプロファイルを変更したらすべてのリージョンに反映される仕組みになっているという。

セキュリティ人材が不足している企業を対象に、SoC(Security Operation Center)のサービスの提供している。ジル氏によると、SoCに関わる人員は70人に及ぶそうだ。

ジル氏は、セキュリテイベンダーがAIを活用しているのと同様に、攻撃者もAIを活用するようになっており、いわば「AI対AI」の戦いになってきていると指摘する。こうした状況の中で、企業がセキュリティの脅威を防御するには、「人間の挙動をAIと分析することが重要」と話す。

知っての通り、企業を脅かすセキュリティのリスクは増すばかりだ。オラクルの新サービスが少しでもリスクの低減に貢献することを期待したい。