Oracleは2018年、次世代クラウドと称する「Generation 2 Cloud」(以下、Gen 2 Cloud)を発表した。IT業界では、新製品に「次世代」といった表現が使われることは珍しくなく、ちょっとした機能追加が行われた製品も「次世代」とうたわれていることがある。

よって、「次世代クラウド」と聞いて、「どうせまた、誇大表現では」などと考える人もいるだろう。しかし、「Generation 2 Cloud」はそれまで提供していた「Generation 1 Cloud」(以下、Gen 1 Cloud)のアーキテクチャを継承することなく、ゼロからアーキテクチャを開発して、構築されている。

Oracle チーフ・インフォメーション・セキュリティ・オフィサー(CISO), Oracle Cloud Infrastructure(OCI)のエラン・フェイゲンバウム氏は「前世代のGen 1 Cloudが抱えていたセキュリティの課題を解決するため、アーキテクチャを刷新して、Gen 2 Cloudを開発した」と話す。

  • Oracle チーフ・インフォメーション・セキュリティ・オフィサー(CISO), Oracle Cloud Infrastructure(OCI) エラン・フェイゲンバウム氏

フェイゲンバウム氏は、ユーザーが抱えている、クラウド関連のセキュリティの問題として、以下を挙げた。

  • パッチが適切に当てられていない
  • Webアプリケーションを狙うSQLインジェクション
  • リモートアクセスに必要なユーザー認証情報の使い回し
  • 暗号化されていないデータベースが意図せずさらされている
  • オブジェクトストアがさらされている

こうした問題を解決するには、「クラウド基盤のアークテクチャを変えなければいけないと考えた」と、フェイゲンバウム氏は言う。では具体的に、Gen 2 Cloudでは何が変わっているのだろうか。

テナントのアイソレーションの強化

まず、Gen 2 Cloudでは、テナントのアイソレーションが強化されている。Gen 1 Cloudでは、テナント間でサーバ、CPU、メモリが共有されていた。こうした環境では、「前に使っていた企業のデータが残っている場合、ハードディスクをフォーマットすることで除去できるワークロードもあるが、センシティブなワークロードの場合、それでは不十分。われわれは、センシティブなワークロードの利用に耐えうるクラウドを作りたかった」(フェイゲンバウム氏)という。

これに対し、Gen 2 Cloudでは、「Off-box network virtualization」でネットワークを仮想化することで、各テナントを完全に分離している。その結果、ユーザーがハードディスクやメモリを管理すること、脅威を封じ込めてリスクを減じることが可能になる。

  • 「Off-box network virtualization」の仕組み

また、「Root of Trust」として、あらゆるデバイスのファームウェアをマシンとひもづけることで、前に使っていたユーザーがテナントに悪いものを残していないかどうかを確認できるようにしているという。

Oracle Cloud Guard

今年9月には、統合セキュリティ・ソリューションとして、「Oracle Cloud Guard」が発表された。このソリューションは、AIと機械学習を活用してデータを解析し、脅威・設定ミスの自動検出を行い、自動的に脅威を追跡してブロックする。

フェイゲンバウム氏は「Gen 1 Cloudでも、脅威を検知して通知するところまではできていた。しかし、脅威への対処はユーザー自身が行う必要があった。対するGen 2 Cloudでは、ユーザーの手を介することなく、脅威への対処まで行い、人的なエラーを減らす」と説明する。

例えば、不審なユーザーがログインしてきた場合、ブロックしたり、2要素認証に切り替えたりといったことを自動で行う。

Maximum Security Zones

同様に、今年9月に発表された「Oracle Maximum Security Zones」は、ユーザーが構成した環境に対し、セキュリティの制御とプラクティスを実施してくれるサービスで、フェイゲンバウム氏は「安全なコンパートメントのようなもの」と説明した。

Maximum Security Zonesを利用すると、安全ではない構成に変更が行われた場合、自動で防止が行われ、異常なアクティビティの監視・ブロックが可能になる。

フェイゲンバウム氏によると、他社のパブリッククラウドでも起こっていることだが、Gen 1 Cloudでは、意図しない設定変更が行われてしまうことがあったという。その変更内容によっては、クラウド環境に保存していたデータの流出につながる。

以上のように、Oracleはセキュリティを強化する上で「自動化」を重視している。例えば、脆弱性を修正するパッチが当てられていないために、攻撃者に狙われてしまうシステムが多い。企業・組織では、脆弱性を修正するパッチを適用するための人材や時間が不足しているために、脆弱性が放置され、その結果、深刻な情報漏洩を招いてしまうケースがある。

脆弱性を自動で検出し、そのパッチを自動でダウンロードして、自動で摘要するような仕組みがあれば、システムの安全性は強化される。

Oracleでは、脆弱性に限らず、Gen 2 Cloud全体にわたり、自動化によってセキュリティが担保されることを目指している。

ちなみに、セキュリティの強化を図っているクラウドベンダーはOracleだけではない。フェイゲンバウム氏に競合に対する強みを聞いてみたところ、「われわれは、Amazon Web Services、Microsoft、Googleに対して後発になる。これは、彼らがクラウド基盤を構築した時に存在しなかった技術が使えることを意味する。最新の技術を活用して、クラウド基盤を構築できるというわけだ」と語った。

経済産業省は2018年に「2025年の崖」と呼ばれる「DXレポート」を発表したが、その中で、クラウドサービスの活用を推進している。今後は、基幹システムでのクラウド利用も増えていくだろう。その時、セキュリティに対するニーズはこれまで以上に高いものになり、Gen 2 Cloudのセキュリティの高さはアドバンテージになっていくのではないだろうか。