Oracle Cloudは、セキュリティなどの移行リスクをどう低減するのか：日本国内のデータセンターも開設間近

オンプレミスと同じレベルでシステムを守れるか

　エンタープライズ向けクラウドプラットフォームを、SaaS、PaaS、IaaS領域で展開するOracle。2016年からIaaSプラットフォーム「Oracle Cloud Infrastructure」（以下、OCI）と、顧客企業のデータセンターでOracle Cloudを稼働させる「Oracle Cloud at Customer」を国内提供し始めたことも、「リフト＆シフト」に向けて企業の背中を押す一要素になっているといえるだろう。

　特に、Oracle DatabaseやWeb Logic Serverなどのソフトウェア製品、Oracle Exadata Database Machineなどのアプライアンス製品のユーザーにとっては、オンプレミスと同じアーキテクチャを持つ「Oracle Cloud」は、既存環境をクラウド上にそのまま移行できる点が魅力になっている。

　ただ企業にとって、クラウド移行で大きな懸念となるのがセキュリティだ。特にオンプレミスで稼働させてきた既存システムと同程度の信頼性・安定性、セキュリティをクラウド上で担保するのは簡単なことではない。ではセキュリティをはじめ、クラウド移行に対する企業の懸念にOCIはどう応えていくのか、米OracleのOCI製品戦略アーキテクト兼エバンジェリストであるローレント・ジル氏に話を聞いた。

外部脅威からシステムを守る「OCI Edge Services」

米Oracle OCI製品戦略アーキテクト兼エバンジェリスト ローレント・ジル（Laurent Gil）氏

　ジル氏は米Oracleが2018年2月に買収した、Webアプリケーションファイアウォール（WAF）製品、DDoS攻撃緩和製品などを提供してきたセキュリティベンダー、Zenedgeの共同創業者兼チーフプロダクトオフィサーを務めていた人物だ。2012年にGoogleに買収された顔認識ソフトウェア企業、ViewdleのCEO兼共同設立者でもあり、機械学習やAI、ネットワークセキュリティ分野で多くの知見を持つ。ジル氏はOCIについて次のように話す。

　「OCIの特徴は、安定性や確実なカバナンスなどオンプレミスの利点と、柔軟性・従量制といったクラウドの利点、両方の利点を併せ持ったエンタープライズグレードのクラウドプラットフォームであることです。クラウド移行を考える企業の課題には、セキュリティ、コスト、ナレッジ不足、ガバナンス、コンプライアンスなどがありますが、OCIはこれら全てに対処できるよう設計されています。特に企業にとって最大の懸念事項であるセキュリティには多くの開発リソースが割かれています。これにより、一社単独による対策では対処が難しいbotやDDoSといった攻撃からも、自社システムを強固に守ることができます」

　OCIは2018年7月現在、大きく8つのコンポーネントで構成されている。仮想マシンなどのコンピュートリソースを提供する「Compute」、仮想クラウドネットワーク（VCN）などを提供するネットワークサービス「Network」、ブロック／ファイル／オブジェクトなどのストレージを提供する「Storage」を基軸とし、Oracle Exadataなどの機能をオンデマンドで提供する「Database」、DockerやKubernetesなどを活用したコンテナサービスの「Containers」をラインアップ。さらにセキュリティ、コンプライアンス、ガバナンスなどに関わるサービスとして、クラウドへのプライベート接続を提供する「FastConnect」、リソース制御や監視のための基盤「Governance」、そしてDDos攻撃など外部からの攻撃に対処できる「OCI Edge Services」の8つだ。

　中でも、セキュリティ対策の鍵となるのがOCI Edge Servicesだという。というのも、システム内部のネットワークに対するセキュリティについては、Compute、Network、Strorageにそれぞれ備わる機能や、FastConnect、Governanceなどのサービスで対処できるが、botやDDoSといった外部ネットワークからの攻撃にはそれらだけで対処するのは難しいためだ。

　例えば、botはシステム内部のネットワークから見ると正規のアクセスと同じように見える。クローラーなど良性のbotもあるが、ほとんどの場合は開放されたTCP/IPポートを狙うような悪性botだ。巧妙化が進んでいて、一定間隔でアクセスするような機械的な動作はせず、あたかも人間がアクセスしたかのように頻度や期間を変えてアクセスするものが多い。これらをシステム内部のファイアウォール機能などで判別し、適切にブロックすることは難しいのが現実だ。

　DDoS攻撃についてもシステム内部からの対策が難しい。攻撃を受けると管理サーバへの接続すら難しくなるため、攻撃がやわらぐのを待ったり、DNSを使ってネットワークを切り替えたりするしかなくなる。OCI Edge Servicesはこうした課題に対応できるという。

OCI Edge Servicesの管理画面。ユーザー企業のネットワーク／セキュリティ担当者がダッシュボードを見て、自社をとりまく脅威を直感的に把握・対処できるようにしている

　「OCI Edge Servicesは、レイヤー7のWebアプリケーションのセキュリティ対策と、レイヤー3、4でのDDoS攻撃対策という大きく2つのサービスで構成されています。Webアプリケーションのセキュリティ対策としては、WAFをはじめ、悪性botをブロックしてトラフィックの負荷を下げるbot管理、APIエンドポイントを不正なアクセスや不正な認証から保護し、APIの利用に制限をかけるAPIセキュリティ、不正なファイルやマルウェア本体のシステムへの侵入をブロックするマルウェア検知などによって、システムを外部脅威から守ります」　

　DDoS攻撃については、DDoSの検知と緩和、ルーティングの変更などの機能を提供する。WAFでは、検知技術やアクセス制御、キャッシングなどを使ってさまざまな脅威に対抗する。具体的には「OWASP Top 10 - 2017」が公表している10大リスク（インジェクション、認証の不備、機微情報の露出、XML外部実態参照など）の全てに対応できるという。　

参考リンク：「OWASP Top 10」をはじめ、業界標準ガイドラインの改訂相次ぐ

他社のエッジサービスとは異なる3つの特長

　セキュリティ関連のクラウドサービスとしては、Amazon Web Services（AWS）が提供するCDNサービス「Amazon CloudFront」や、DNSサービス「Amazon Route 53」上で提供するDDoS保護機能「AWS Shield」、Microsoft Azureが提供する「Azure DDoS Protection」なども存在する。だがOCI Edge Servicesには3つの特長があるという。

　1つ目は、OCIとは異なるデータセンターを利用した、独立したセキュリティサービスであること。ジル氏は、「WAFを中核とするこれらのセキュリティ機能を、独立したクラウドサービスとして提供することで、オンプレミスの既存システム、クラウド上のシステム、共に同じセキュリティポリシーを適用することができます」と解説する。

自社システム環境の外部のクラウドサービスを使ってシステムを保護

　OCIの日本データセンターは近々に開設予定としているが、OCI Edge Servicesについては日本を含めた14地域300ロケーション以上ですでに開設済みだ。膨大なエンドポイントから日々データを収集し、DDoS攻撃の兆候や不正な挙動を監視、把握可能としている。日本の大手航空会社や量販店など、すでに多くの顧客がOCI Edge Servicesを利用しており、bot対策やDDoS対策に役立てているという。

　2つ目は、マルチクラウド環境を保護できること。他社の場合、基本的に自社のCDNやDNSサービスを利用するアプリケーションしか保護しない例が多いのに対し、OCI Edge Servicesは既存のオンプレミスシステムはもとより、他社のクラウドサービス上のシステムもサポートする。

　「実際、AWS EC2などを使ってシステムを構築しているユーザーが、OCI Edge Servicesを利用しているケースも多くあります。ぜひマルチクラウド環境をOCI Edge Servicesで保護していただきたい。エンタープライズ顧客のニーズを満たすことがわれわれの目指すところです」

　そして3つ目はマネージドサービスであること。顧客がOCI Edge Servicesの基盤や設定などを管理する必要はなく、全てをオラクル側が担う。ジル氏は、「脅威が巧妙化する中、セキュリティ対策はますます複雑になっています。どんなエキスパートでも脅威に完全に立ち向かうことは不可能といっていいでしょう。だからこそ、セキュリティのマネージドサービスは重要です。われわれはAIなどのインテリジェンスを用いながら、セキュリティの管理や運営を自動化しています。企業はそれをいかに活用するかです」と話す。

フルスタックのサービスを提供するOCI日本拠点、近々に開設予定

　もちろんセキュリティに限らず、OCIには「IaaSについては後発であるからこそ」他社のクラウドサービスにはない強みがあるという。そのポイントとは「既存の投資の保護」「オープン、マルチクラウド」「独立したエッジサービス」「優れたパフォーマンス」「リスクの少ないリフト＆シフト」の5つだ。

　これらは相互に関係し合っており、顧客のメリットに相乗効果をもたらすものだという。例えば「既存の投資の保護」とは、Oracle Real Application Clusters（Oracle RAC）やJavaシステムなどの既存資産をそのままクラウドにリフト＆シフトできることと共に、OCI Edge Servicesによって、既存資産に適用してきたセキュリティポリシーを、クラウド移行したシステムにもそのまま適用できることを指す。このため「リスクの少ないリフト＆シフト」を実現できるというわけだ。また、AWS、Azure、Google Cloud Platform（GCP）などのシステムをOCI Edge Servicesで一元的に保護したり、環境ごとにパフォーマンスやワークロードを最適化したりするなど「オープン、マルチクラウド」なインフラを効率的に使いこなせる、といった具合だ。

　「OCIの強みは、何よりもエンタープライズ向けに作られたクラウドであることです。エンタープライズの顧客が最も気に掛けるセキュリティをはじめとして、クラウドに対する懸念のほとんど全てを解消することができます。ミッションクリティカルなアプリケーションを含む、ポートフォリオ全体を網羅したソリューションを提供しています。OCIも近々に全スタックが日本のデータセンターで提供される予定です。日本拠点では高性能なGPUインスタンスや高性能コンピューティング環境も提供予定です。強固なセキュリティで保護された環境を使って、ぜひ自社のビジネス拡大につなげてほしいと考えています」