物理的および環境的セキュリティ
概要
Oracle Global Physical Securityは、オラクルの従業員、施設、事業資産を保護するための物理的セキュリティの定義、開発、実装、管理を担当しています。
予防的セキュリティ対策: オラクルの資産と従業員の保護
オラクルは、オラクルの施設において以下のプロトコルを実施しています。
- 施設への物理的アクセスは、オラクルの従業員、契約業者、ならびに許可された訪問者に限定されています。
- オラクルの従業員、下請業者、許可された訪問者には、オラクル施設内で常に着用すべきIDカードが発行されます。
- 訪問者は入館前に登録が必要であり、オラクルの担当者による付き添いが必要です。
- 鍵やアクセスカードの保有状況および施設へのアクセス権限は、セキュリティチームが監視しています。退職時には鍵やカードを返却する必要があり、これらは退職と同時に無効化されます。
- サービス拠点の物理的防護設備や入退室管理装置に対する修理・変更は、すべてセキュリティ部門の承認が必要です。
- 施設のリスクや保護レベルに応じて、24時間365日体制の常駐警備員または巡回警備員を配置しています。すべてのケースにおいて、警備員は巡回、アラーム対応、物理的なセキュリティイベントの記録を担当します。
- 中央管理された電子アクセス制御システムには、侵入者警報機能が統合されており、CCTVによる監視と録画も行われます。アクセス制御システムのログとCCTV記録は、施設の機能、リスクレベル、および現地の法律に基づいて定められた期間(30~90日)保持されます。
データ・センターのセキュリティ
オラクルのクラウドサービスをホストするデータセンターは、顧客データのセキュリティと可用性の確保を目的に設計されています。この取り組みは、オラクルのサイト選定およびデータセンター事業者の選定プロセスから始まります。候補地および事業者のロケーションは、環境リスク、電力供給の安定性、ベンダーの信頼性と実績、周辺施設の機能(例:高リスク製造施設や脅威対象となる場所がないか)、業界標準への準拠状況、地政学的観点など、複数の基準に基づいてリスク評価が行われます。
Oracleは、Oracle Cloud Infrastructure(OCI)サービスを収容するデータセンター事業者に対し、業界のベストプラクティスに基づいた要件を定義しています。これには、冗長化された電源供給、停電時のビジネス継続性を確保するための予備電源(発電機)の維持、空調温度および湿度の監視、消化システムの導入などが含まれます。スタッフには、セキュリティイベントおよび可用性イベントに対応するための手順とエスカレーション体制に関するトレーニングが実施されています。オラクルのデータセンターチームは、ISO 27001やSOC 2などの標準に基づいた第三者機関による認証を活用して、データセンター事業者のビジネス継続性およびセキュリティ対策を評価しています。