セキュリティもOK! Oracle Java Cloud Serviceの実力をPSソリューションズが検証

Oracle Java & Developers編集部
2016-04-20 11:00:00
  • このエントリーをはてなブックマークに追加

Oracle WebLogic Serverのパブリック・クラウド版「Oracle Java Cloud Service」について、ソフトバンク・グループのPSソリューションズがさらなる検証を実施した。今回のテーマは、多くの企業が関心を寄せる「セキュリティ」だ。

性能、可用性は問題なし。それでは「セキュリティ」は?


PSソリューションズ エンタープライズ事業本部 エンタープライズ事業推進部 部長/チーフテクニカルエンジニアの飯泉卓也氏

 オラクルが"ミッション・クリティカル・クラウド"として推進するパブリック・クラウド・サービス「Oracle Cloud Platform」。その機能や性能は、企業が求めるミッション・クリティカルな要件を満たしているのか?──これについて現在、国内でも多くのパートナー企業が技術検証を進めているが、その1社がソフトバンク・グループでITソリューションを手掛けるPSソリューションズだ。

 オラクル製品を用いたミッション・クリティカル・システムの構築/運用で豊富な実績を誇る同社は、それらのノウハウを基に、Oracle Cloud Platformの実力について多様な視点から検証を進めている。PSソリューションズ エンタープライズ事業本部 エンタープライズ事業推進部 部長/チーフテクニカルエンジニアの飯泉卓也氏は、「Oracle Cloud Platformをミッション・クリティカル領域に適用するにあたっては、基本機能や性能のほかに、可用性、セキュリティといった面からも複合的に検証を行う必要があると考えています」と話す。

 そこで、同社が今回の検証テーマとして選んだのが、Oracle Cloud Platformの「セキュリティ」だ。同社はすでに、「性能」および「可用性」をテーマにした検証を実施しており、その結果から「ミッション・クリティカル領域への適用は十分に可能」との感触を得ている(性能に関する検証結果については、本サイト記事『オンプレミスと遜色なしのスケーラビリティ! Oracle Java Cloud Serviceの実力をPSソリューションズが検証』を参照されたい)。これらに加えてセキュリティについても検証も行うことで、ミッション・クリティカル領域におけるOracle Cloud Platformの活用に弾みをつけようというわけである。

 Oracle Cloud Platformのセキュリティについて、PSソリューションズでは「基本的な機能および仕様」と「ネットワーク・セキュリティの状況」の2点に重点を置いて検証を行ったという。

 「パブリック・クラウドのセキュリティに不安を感じるという企業も、実はその理由が漠然としているケースが多いのではないかと思います。今回の検証では、当社がパブリック・クラウドを利用する場合に必須と考えるセキュリティ要件を洗い出し、それに即して検証を実施しました」(飯泉氏)

基本的なセキュリティ要件はクリア。さらなる強化に期待

 1つ目の「基本的な機能および仕様」については、「通信データの暗号化」、「ファイアウォール」、「アカウント」、「ログ」、「非機能(NTP)」、「第三者認証」、「損害賠償規定」といった大項目を設定。そこからさらに小項目をリストアップし、それらがOracle Cloud Platformでサポートされるかどうかを確認した。チェックした項目と確認結果は下図のようになる。


※クリックすると拡大画像が見られます

PSソリューションズ エンタープライズ事業本部 エンタープライズ事業推進部 シニアテクニカルエンジニアの福田隆弘氏

 検証作業を担当したPSソリューションズ エンタープライズ事業本部 エンタープライズ事業推進部 シニアテクニカルエンジニアの福田隆弘氏によれば、これらのチェック項目はIaaSやPaaSなどのクラウド・サービスに対して企業が一般的に求める最小限のセキュリティ仕様となる。Oracle Cloud Platformの対応状況については、いずれも「問題なし」と評価された。

 ただし、セキュリティについて、より厳しい基準を設けている企業での採用を考えた場合には、まだ改善の余地があると福田氏は指摘する。

 「Oracle Cloud PlatformのISMS認証について、早期の取得を期待しています。日本企業が利用する場合には、やはりISMS認証があるかどうかが大きなポイントになると思います。

 また、現時点ではOracle Cloud Platformのコントロール・パネルへのアクセスに関して、ID/パスワード認証のみ利用可能となっています。コントロール・パネルはインターネット経由で誰でもアクセスできる環境なので、マルチデバイスなどによる2要素認証などにも標準で対応可能であれば、高いセキュリティ・レベルを実現できると感じました。Oracle Cloud Platformのサービス・アクセスに関しては、IPアドレス・ポート指定に基づくアクセス制限が可能であり、オンプレミスと同様の方式でセキュリティ・ニーズを満たせるはずです」(福田氏)

Oracle Traffic Directorが持つファイアウォール機能の実力と課題

 2つ目のチェックポイントは「ネットワーク・セキュリティの状況」だ。

 次に示す図は、一般的なオンプレミス環境とOracle Cloud Platform環境において、各ネットワーク・レイヤに対応した攻撃をどのように防御するのかを図示したものである。


※クリックすると拡大画像が見られます

 この図でご注目いただきたいのは、Oracle Cloud Platformでアプリケーション層への攻撃を防御する役割を受け持つ「OTD(Oracle Traffic Director)」だ。OTDは、オラクルがパブリック・クラウド上で提供するソフトウェア・ロードバランサ(アプリケーション・デリバリ・コントローラ)である。もともとは「Oracle Exalogic」のコンポーネントとして提供されていたものだが、Oracle Cloud Platformでは「Oracle Java Cloud Service」の標準コンポーネントとして提供されている。

 今回の検証では、初めにOTDによるWAF(Web Application Firewall)機能について検証を行った。具体的には、「クロスサイト・スクリプティング」、「SQLインジェクション」、「ブルートフォース」といった手法によるWebアプリケーションへの攻撃をOTDによって防御できるかどうかを検証し、いずれも問題がないことを確認したという。


※クリックすると拡大画像が見られます