オラクルのアクセス制御
概要
アクセス制御とは、リソースへのアクセスおよびその利用を管理するためのポリシー、手順、ツールのことを指します。ここでいうリソースには、クラウドサービス、物理サーバー、ファイル、アプリケーション、データベース内のデータ、ネットワーク機器などが含まれます。
- 最小権限とは、ユーザーやシステムが業務を遂行するために必要なリソースにのみアクセスできるよう、権限と機能を慎重に評価・制限する、システム指向のアプローチです。
- デフォルト拒否は、あらゆる通信を初期状態では拒否し、その後、必要な通信のみをプロトコル、ポート、送信元アドレス、宛先アドレスなどの条件に基づいて個別に許可する、ネットワーク指向の設定手法です。
オラクルのアクセス制御ポリシーと実践
オラクルの論理アクセス制御ポリシーは、オラクルの全従業員と、オラクルが管理権限を持つすべての情報処理施設のアクセス制御の意思決定に適用されます。このポリシーは、Oracle Cloud Services の顧客エンドユーザーアカウントには適用されません。アプリケーションやシステムの論理アクセス制御は、識別、認証、認可、アカウンタビリティ、監査機能を提供しなければなりません。
ユーザーアクセス管理
オラクルのユーザーアクセスは、オラクルの人事データベースと統合されたアカウント・プロビジョニング・システムを通じて付与されます。アクセス権限は職務に基づいて付与され、管理者の承認が必要です。
権限管理
特定のリソースへのアクセスを制御するには、エンティティまたは個人の身元を確認する必要があるため、アクセスが認められるには認証の成功が条件となります。オラクルでは、アクセスの付与・承認・見直しにあたり、以下の原則に基づいて判断することを義務づけています。
- 知る必要性:ユーザーは職務遂行のためにこのアクセスを必要としますか?
- 職務分離:アクセスによって利害の対立が生じますか?
- 最小権限:業務に必要なリソースや情報にのみアクセスが制限されていますか?
パスワード管理
パスワードの使用については、オラクルのパスワードポリシーで定められています。オラクルは、オラクルネットワーク、オペレーティングシステム、メール、データベース、その他のアカウントに対して強力なパスワードポリシー(長さや複雑さの要件を含む)を適用し、ユーザーアカウントや関連するパスワードの悪用によって侵入者がシステムや環境にアクセスするリスクを低減しています。システムが自動生成・割り当てたパスワードは、受け取り次第すぐに変更する必要があります。
オラクルの従業員は、パスワードの長さ、複雑さ、その他の要件に関するルールを遵守する義務があります。従業員は、パスワードなどの認証情報を常に秘密に保ち、安全に管理しなければなりません。また、いかなる手段によっても、個人のアカウントパスワードを他者に開示してはなりません。従業員は、オラクルのシステムまたはアプリケーションのパスワードを、オラクル以外のアプリケーションまたはシステムに使用することは禁止されています。
アクセスの見直しと取り消し
オラクルでは、ネットワークおよびオペレーティングシステムのアカウントについて、従業員のアクセス権限が適切であるか定期的に見直すことが義務付けられています。従業員の退職、死亡、または辞職があった場合には、ネットワークおよび物理的なアクセスを速やかに取り消すための適切な措置が講じられます。
ネットワークアクセス制御
オラクルは、オラクルおよび顧客データの保護と制御のために、データの送信中に強力なネットワーク制御を設けています。オラクルのネットワーク・セキュリティ・ポリシーでは、ネットワーク管理、ネットワークアクセス、ネットワークデバイス管理の要件が定められており、これには物理デバイスとソフトウェアベースのシステムの両方に対する認証と認可の要件が含まれます。未使用のネットワークポートは無効化する必要があります。