通信・運用管理
許容される利用とオラクル従業員に関する規定
オラクルでは、従業員、契約社員、来訪者が利用可能な、オラクルの社内ネットワーク、コンピュータシステム、電話システム、メッセージング技術、インターネットアクセス、企業データ、顧客データ、その他の会社資源に関して、利用に関する正式な要件を定めています。
通信に関する一般的なセキュリティ原則
オラクルの企業ネットワークとの通信は、ネットワーク境界にあるネットワーク・セキュリティ・デバイスを経由しなければなりません。第三者がオラクルの企業ネットワークにアクセスする場合は、事前の承認が必要です。オラクルの企業ネットワークへのリモート接続には、承認された仮想プライベートネットワーク(VPN)ソリューションのみを使用しなければなりません。オラクルのネットワーク管理に関する詳細は、ネットワーク通信セキュリティをご覧ください。
アクセス制御
オラクルでは、業務が役割ごとに分けられており、それぞれの業務はその分野を専門とする従業員のチームが担当しています。分野別チームの例としては、開発者、データベース管理者、システム管理者、ネットワークエンジニアなどがあります。詳細は、オラクルのアクセス制御をご覧ください。
脆弱性管理
オラクルでは、企業システムおよびお客様の Oracle Cloud Services 環境に影響を及ぼす可能性のある技術的セキュリティ脆弱性を特定、分析、修正するための正式な要件を定めています。
オラクルのITチーム、セキュリティチーム、開発チームは、オラクル自身のセキュリティ勧告を含む、関連するベンダーや業界のセキュリティ情報を監視し、該当するセキュリティパッチを特定・評価することが求められています。さらに、オラクルが管理する社内および外部公開システムに対しては、自動スキャンツールを用いた脆弱性スキャンを定期的に実施することが義務付けられています。クラウドサービス環境については、システムのリスクレベルに応じて侵入テストが行われます。
Oracle Cloudにおける脆弱性対応において、オラクルの戦略的優先事項は、問題の重大度およびOracle Cloud Servicesへの潜在的影響に応じて修正作業を行うことです。脆弱性の相対的な重大度を評価する際には、共通脆弱性評価システム(CVSS)のベーススコアが基準の一つとして使用されます。オラクルでは、特定された脆弱性は、欠陥追跡システムに記録・管理することが求められます。
オラクルは、計画されたメンテナンス期間内に、テスト、実装、再起動または再プロビジョニング(必要な場合)を含むクラウドサービスの修正作業を完了することを目指しています。ただし、必要に応じて、Oracle Cloud Hosting and Delivery Policiesおよび関連するPillarドキュメントに記載されたとおり、定期メンテナンス以外のタイミングでセキュリティ保守作業を実施する場合もあります。
Oracle Software Security Assurance は、オラクル製品における設計・構築・テスト・保守の各段階でセキュリティを組み込むための手法であり、オンプレミス環境やOracle Cloud経由で提供される製品に適用されます。
お客様やセキュリティ研究者は、疑わしい脆弱性をオラクルに報告することができます。報告方法については、セキュリティ脆弱性のオラクルへの報告方法をご覧いただくか、指定されたサポートシステムからサービスリクエストを提出してください。
Oracle’s Customer Security Testing Policyでは、お客様がオラクルのオンプレミス製品およびOracle Cloud Servicesに対して実施できるセキュリティテスト(例:侵入テスト、脆弱性スキャン)に関する内容を定めています。
監査ログ情報の監視と保護
オラクルでは、システムオーナーがオペレーティングシステム、アプリケーション、データベース、ネットワーク機器における特定のセキュリティ関連活動についてログを取得・保持することを義務付けています。システムは、オラクルのシステムおよびアプリケーションへのアクセスの記録に加えて、システムアラート、コンソールメッセージ、システムエラーなどもログに記録する必要があります。オラクルは、ログファイル媒体の容量枯渇、イベント記録の失敗、ログの上書きなどの運用上の問題を防止するための制御を実施しています。
オラクルのポリシーでは、各事業部門がセキュリティイベントの調査およびフォレンジック目的でログを監視することが求められています。検出された異常なアクティビティは、そのシステムを所有する事業部門のセキュリティイベント管理プロセスにフィードされなければなりません。セキュリティログへのアクセスは、最小権限の原則に基づき、それを知る必要がある人にのみ付与されます。可能な場合は、ログファイルはその他のセキュリティ管理策に加えて強力な暗号化によって保護され、アクセス状況も監視されます。インターネットにアクセス可能なシステムによって生成されたログは、インターネットにアクセスできないシステムに移動させる必要があります。
資産管理
Oracle Information Systems Asset Inventory Policyでは、企業が承認したインベントリシステムを使って、情報資産のライフサイクル全体にわたって、情報システムやデバイスの正確なインベントリを行うことを義務付けています。このポリシーでは、サーバーハードウェア、ソフトウェア、情報システム上に保持されているデータ、および災害復旧や事業継続のために必要な情報について、記録すべき識別属性が定義されています。
通信技術
オラクルの IT 部門は、社内および外部関係者とのコラボレーションやコミュニケーションを行うための企業向けソリューションを管理しています。オラクルのポリシーでは、機密情報を取り扱う際には、これらの承認された企業ツールを使用することが従業員に求められています。これらのツールには、マルウェア対策やウイルス対策などの予防的および検出的セキュリティ制御が導入されています。
また、オラクルでは、サプライヤー やその他の第三者と安全に情報をやり取りするためのガイドラインを定めています。
買収
オラクルが買収する企業は、統合プロセスの一環として、これらのセキュリティ対策に準拠することが求められます。統合の各側面に要する期間や成果は、買収対象企業の規模、業務の複雑さ、既存の契約上の義務、ならびにその製品・サービス・人員・運用に適用される規制要件によって異なります。