Oracle Cloud Guard(OCG)
1. Cloud Guard の概要
Oracle Cloud Guard(クラウド・ガード)は、Oracle Cloud Infrastructure(OCI) の セキュリティ監視、脅威の検出、対応を自動化する セキュリティ管理ツールです。
- OCI のクラウドリソースをリアルタイムで監視 し、セキュリティリスクや脆弱性を特定する。
- 発見された問題に対し、自動修正 または 手動での対応 を可能にする。
- 無料で利用可能(一部高度な機能は有料)。
- OCI Security Zones や Oracle Security Advisor などと連携可能。
2. Cloud Guard の構成
Cloud Guard の基本構成は 「ディテクタ(検出)→ 問題(記録)→ レスポンダ(対応)」 の 3 ステップで動作します。
(1) ディテクタ(Detector)
OCI 環境の異常を監視し、セキュリティリスクを検出 するコンポーネントです。
OCI のリソース(Compute、Object Storage、IAM、ネットワークなど)を継続的にスキャンし、問題がないかを評価します。
ディテクタの種類
ディテクタは大きく 2 種類 に分かれます。
| 種類 | 役割 | 例 |
|---|---|---|
| 活動ディテクタ(Activity Detector) | OCI のユーザーアクティビティを監視し、不審な動作を検出する | - 不正なリージョンからのログイン - 予期しない権限変更 - 高頻度の API リクエスト |
| 構成ディテクタ(Configuration Detector) | OCI のリソース設定を監視し、セキュリティリスクを検出する | - 公開ストレージバケットの検出 - 過剰なアクセス許可のセキュリティグループ - ログ記録の無効化 |
(2) 問題(Problem)
ディテクタが異常を検出すると、Cloud Guard はその問題を 「問題(Problem)」 として記録します。
問題の特性
カテゴリ
- IAM(アイデンティティ管理の異常)
- ネットワーク(異常なトラフィックや設定ミス)
- ストレージ(公開バケットなど)
- コンピュート(不適切な設定やアクティビティ)
重要度(Severity)
- Critical(重大):深刻なセキュリティリスク(例:IAM アカウントの乗っ取り)
- High(高):重大な問題(例:パブリックに公開されたバケット)
- Medium(中):要注意の問題(例:セキュリティログの無効化)
- Low(低):リスクはあるが影響が小さい(例:使用されていないリソース)
(3) レスポンダ(Responder)
問題が検出された際に、自動修正または手動で対応を行う コンポーネントです。
レスポンダの種類
レスポンダには 2 種類 があります。
| 種類 | 役割 | 例 |
|---|---|---|
| 修正レスポンダ(Remediation Responder) | 自動または手動で問題を修正する | - パブリックストレージバケットを非公開に変更 - 高リスクな IAM 権限を削除 - セキュリティグループの設定を適正化 |
| 通知レスポンダ(Notification Responder) | 問題が発生したことを通知する | - Cloud Guard ダッシュボードに警告を表示 - Email/Slack へ通知 - Oracle Logging へ記録 |
3. Cloud Guard の動作フロー
Cloud Guard は 「検出 → 分析 → 対応」 の 3 ステップで動作します。
ステップ 1: 検出(ディテクタ)
- 活動ディテクタが OCI の操作ログを監視
- 構成ディテクタが OCI のリソース設定を監視
- 異常が検出されると問題として記録
ステップ 2: 分析(問題の分類)
- 問題のカテゴリ(IAM, ネットワーク, ストレージ, コンピュート)を判定
- 問題の重要度(Critical/High/Medium/Low) を分類
- Cloud Guard が推奨される修正策を提示
ステップ 3: 対応(レスポンダ)
- 修正レスポンダが自動で修正 or 手動で対応
- 通知レスポンダが管理者に通知
4. 具体的なユースケース
(1) IAM の不正アクセス対策
| シナリオ | 対応策 |
|---|---|
| 問題: IAM ユーザーが異常なリージョンからログイン | - レスポンダが管理者に通知 - 影響を受けたユーザーのアクセスを制限 |
| 問題: 予期しない IAM 権限の変更 | - 自動で権限をリセット - 管理者にアラートを送信 |
(2) ストレージのデータ漏洩防止
| シナリオ | 対応策 |
|---|---|
| 問題: Object Storage バケットがパブリックになっている | - 自動でバケットをプライベートに変更 |
| 問題: 重要なログファイルが削除された | - Cloud Guard による通知 - バックアップからのリストアを推奨 |
(3) ネットワークのセキュリティ監視
| シナリオ | 対応策 |
|---|---|
| 問題: セキュリティグループが全ての IP アドレスを許可している | - 自動で適切な設定に修正 |
| 問題: 予期しないトラフィックの急増 | - レスポンダが通知 - 影響範囲を分析するよう管理者に提案 |
5. Cloud Guard の料金
- Cloud Guard の基本機能は無料
- 追加の Security Zones 機能を利用する場合は有料
有料オプション
- OCI Security Zones: クラウドセキュリティの強化ポリシーを提供(オプション)
- 高度なセキュリティインサイト: 大規模な環境向けのセキュリティ監視機能
6. まとめ
| 項目 | 説明 |
|---|---|
| サービス名 | Oracle Cloud Guard(OCG) |
| 目的 | OCI のセキュリティ監視・リスク検出・自動対応 |
| 主要コンポーネント | ディテクタ(Detector)、問題(Problem)、レスポンダ(Responder) |
| 監視対象 | IAM、ネットワーク、ストレージ、Compute、セキュリティ設定 |
| 対応アクション | 自動修正(修正レスポンダ)、通知(通知レスポンダ) |
| 料金 | 基本無料(一部機能は有料) |
Cloud Guard を活用すれば、OCI の セキュリティリスクを自動的に監視・修正 でき、より安全なクラウド運用が可能になります!