申し訳ございません。検索条件に一致するものが見つかりませんでした。

お探しのものを見つけるために、以下の項目を試してみてください。

  • キーワード検索のスペルを確認してください。
  • 入力したキーワードの同義語を使用してください。たとえば、「ソフトウェア」の代わりに「アプリケーション」を試してみてください。
  • 新しい検索を開始してください。
お問い合わせ Oracle Cloudにサインイン

Cloud Guard FAQ

全般

Oracle Cloud Guardとは何ですか?

お客様は、Oracle Cloud Guardによって、クラウド・セキュリティ・リスクを示す弱いセキュリティ構成およびアクティビティを検出して、良好なセキュリティ・ポスチャを維持できます。

Cloud Guardは、各リージョンのリソースに関する監査および構成データを取り込み、ディテクタ・ルールに基づいて処理し、レポート・リージョンで問題を関連付けて、顧客テナント内のセキュリティの問題を検出します。特定された問題は、ダッシュボードやメトリックスの作成に使用され、問題解決を支援するために1つまたは複数の提供されたレスポンダーをトリガーすることもあります。

レスポンダーは、問題に基づいてセキュリティ問題を緩和、修正、および防止します。

Cloud Guardを有効にするにはどうすればよいですか?

Cloud Guardは、Oracle Cloud Infrastructure(OCI)のテナント内でデフォルトで利用可能で、OCI Securityコンソールからアクセスできます。以下は、Cloud Guardを初めて有効にするための手順です。

前提条件:Cloud Guardは、無料のOracle Cloud Infrastructureテナンシではご利用いただけません。Cloud Guardを有効にする前に、有料テナンシを所有されていることをご確認ください。

その他すべての前提条件については、https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htmをご覧ください。

  • トップレベルメニューから、Security -> Cloud Guardに進みます。
  • Enable Cloud Guardをクリックします。
  • Add Statementsをクリックして必要なOracle Identity and Access Management(IAM)ポリシーを追加し、Enableをクリックします。
  • これでCloud Guardの概要ページが表示されるようになりました。
  • データ収集が開始され、テナンシのセキュリティ設定がグローバルに評価されると、ページの内容が更新されます。

Cloud Guardの価格はいくらですか?

OCI構成とOCIアクティビティ向けCloud Guardは、サポートされるOCIサービスに対して無料で提供されます。

Cloud Guardはリージョンごとのサービスですか、それともグローバルなサービスですか?

Cloud Guardはリージョンごとに導入され、お客様が選択したレポート・リージョンに問題を集約し、グローバルビューを提供します。

どのリージョンが監視対象ですか?

テナンシのすべての商用リージョンが監視対象リージョンです。現在サポートされているリージョンの一覧は、こちらをご覧ください: https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm

レポート・リージョンを変更できますか?

いいえ、レポート・リージョンを変更することはできません。レポート・リージョンはCloud Guardの有効化時に選択でき、一度割り当てられた設定はCloud Guardを無効化し有効化しても変更できません。

レポートはCloud Guardの有効化時にのみ有効にすることができます。そのため、既存のレポート・リージョンを変更する必要がある場合は、Cloud Guardを無効化し、再有効化プロセスの際に同じまたは異なるレポート・リージョンを選択できます。

別のレポート・リージョンで再有効化する場合は、約20分の待ち時間があることにご注意ください。これは、リージョン間でリソースの同期が必要なためです。

Cloud Guard は、現在のセキュリティ状況を示す指標を表示しますか?

はい。Cloud Guardは、コンソールの概要ページの一部として、リスク・スコアとセキュリティ・スコアの2つの主要な指標を提供します。セキュリティ・スコアは、問題の数、種類、および深刻度を使用して、セキュリティ・ポスチャの強度の全体的な評価を決定するための、0〜100の範囲で正規化された値です。リスク・スコアは、テナントのリスク・エクスポージャ全体を決定するために、監視対象のリソース合計数、各リソース・タイプの機密性、およびリソースに関連する問題の重大度を評価して、セキュリティ・スコアを補完します。これらは、「小規模だが安全でない」環境と「大規模だが全体的に安全な」環境を正しく評価するために使用されます。

Cloud Guardは現在、どのようなコンプライアンス基準に対応していますか?

Cloud Guardは、OCIのCIS Foundationsベンチマーク基準に準拠しています。また、GA後にコンプライアンス機能の追加を予定しています。

Cloud Guardと、他のOCI SIEMのようなサービスやツールの違いは何ですか?

SIEMとCloud Guardは補完的なサービスです。Cloud Guardは、監査/ログ・データを取り込み、リソースの構成状態を監視して、OCIテナントのセキュリティ・ポスチャ評価およびセキュリティ監視を提供します。Cloud Guardでは、OOTB検出機能がデフォルトで提供され有効になっており、リソースの問題検出を支援します。SIEMベースのサービスは、リソースやアプリケーションからログデータを取り込み、フォレンジック調査やリスクの新しい指標やカスタムイベントの発見を可能にする検索/分析エンジンのサポートを提供します。Cloud Guardの自動修復機能(別名レスポンダー)は、Cloud Guardで設定・起動できますが、アクションはSIEMツールのルール構築の一部として定義する必要があります。

Cloud Guardは、SecOpsやインシデント対応プロセスとどのように統合できますか?

ほとんどのお客様は、既存のプロセス、手順、および担当者とクラウド・セキュリティ監視を統合することをご希望です。多くの情報セキュリティチームは、Cloud Guardの問題を内部のプロセスと結びつけるために、Cloud Guardの問題を内部のSIEMツールに統合します。これらの統合には、Cloud Guard APIや、OCIイベント、OCI通知、OCI関数などの既存のOCIインフラストラクチャ・サービスを使用できます。Cloud Guardは、例えばイベントをトリガーとして、メール、Slack、PagerDuty、およびカスタムOCI関数に問題を送信可能です。また、お客様は、Event to OCI Functionsを使用して、お客様のユースケースに基づいたカスタム統合やレスポンスを構築できます。

Oracle Cloud Guard Fusion Applications Detector

Oracle Cloud Guard Fusion Applications Detectorとは何ですか?

Oracle Cloud Guard Fusion Applications Detectorは、Oracle Cloud GuardをOCIのクラウド・セキュリティ・ポスチャ管理にとどまらず、Oracle Fusion Cloud Applicationsの監視も行い、セキュリティ・ポリシーの統合ビューをお客様に提供します。このサービスは、まずOracle Fusion Cloud Human Capital Management(HCM)およびOracle Fusion Cloud Enterprise Resource Planning(ERP)でご利用いただけます。このサービスは、アプリケーションにおける潜在的なセキュリティ違反を監視するために、事前設定およびカスタマイズされた設定、いわゆる「レシピ」を提供します。ディテクターは、重要なデータアクセスに影響を与えるユーザー権限に関連した機密性の高い設定変更(ロールとユーザーのデータ権限および機能権限の追加、削除、変更、および機密オブジェクトの変更など)に対応してアラートを発します。

Cloud Guard Fusion Applications Activity Detectorのレシピ(オラクルが管理)は、すぐに利用可能な(OOTB)テンプレートであり、変更はできません。お客様は独自のルールをコピーして編集できます。例えば、名前の修正、リスクレベルの変更、特定のユーザーをフィルタリングしてそのアクティビティを監視する、ルールを無効にする、などが可能です。

Cloud Guardで監視するためには、Fusion ApplicationポッドをOCI上で実行する必要がありますか?

いいえ、Cloud GuardがポッドのAPIエンドポイントに到達できる限り、ポッドを監視することができます。

Cloud Guardは、OCI Classic上で実行されているFusion Applicationポッドを監視できますか?

その答えは「はい」です。Cloud GuardがポッドのAPIエンドポイントに到達できる限り、ポッドを監視することができます。

Fusionの顧客のために、Cloud Guardはデフォルトで有効化されていますか、それともオプトインする必要がありますか?

お客様は、まずオプトインして、OCIテナンシ内でCloud Guard を有効にする必要があります。Cloud Guardを有効にすると、Cloud Guard内のターゲット登録フローが、お客様のポッドURLと、Fusion Application内で前もって作成されたサービスユーザーの認証情報を提供するよう要求します。ターゲットが作成され、Fusion Applicationのレシピが添付されると、自動的に監視がオンになり、Fusion Applicationのユーザー・アクティビティに問題がある場合はアラートが発せられます。

複数のFusion Applicationインスタンスを1つのCloud Guardターゲットで監視できますか?

Cloud Guardの1つのFusion Applicationターゲットは、1つのFusion Applicationインスタンスと関連付けることができます。Fusion Applicationインスタンスは、お客様のFusion Applicationのプロビジョニングやデプロイの設定に応じて、Oracle Fusion Cloud HCMやERPなどの複数のFusion Applicationのピラーサービスをホストできます。Fusion Applicationターゲットは、Fusion Applicationのサービスレベルではなく、Fusion Applatioicのインスタンスレベルで設定されます。したがって、1つのFusion Applicationターゲットが複数のFusion Applicationインスタンスを監視することはできませんが、1つのFusion Applicationポッドで有効になっているOracle Fusion Cloud HCMとERP全体のイベントを検出できる、一つのFusion Applicationターゲットを持つことは可能です。

OOTB Fusion Application Detectorのレシピでは、どのような監視が可能になりますか?

HCM向けのCloud Guard Detector、ロールやユーザーのデータ権限および機能権限の追加、削除、変更など、重要なデータアクセスに影響を与えるユーザー権限に関連した機密性の高い設定変更に対応してアラートを発する、OOTBレシピを提供する予定です。また、Cloud Guardは、氏名、住所、国籍、障害などの個人識別情報(PII)に関連する活動を監視および検出し、データの取り扱い、報告、または流出に関する潜在的な問題を示唆できるようになる予定です。まとめると、HCM向けのCloud Guard Detectorは、基本的にロール管理、ロール・プロビジョニング、PIIオブジェクト管理、およびアクセス管理をカバーしています。

Oracle Cloud Access Security Broker(CASB)のポリシーをCloud Guardに移行できますか?

Cloud Guardの既存のルールまたはテンプレートを使用して同様のポリシーを作成できます。

セキュリティ情報およびイベント管理(SIEM)において、報告されたFusionの問題をどのように監視できますか?

Cloud Guardは、SIEMとの直接的な統合を提供していません。お客様は、通知サービス、機能サービスなどのOCIイベントや機能を利用して、Cloud GuardとサードパーティーのSIEMを統合できます。

OCIサービスを導入していなくても、Cloud Guardを利用できますか?

Cloud Guardにアクセスするには、有料のOCIテナンシが必要ですが、OCIサービスを利用する必要はありません。