ヘルプ Oracle Cloud Infrastructure ガイダンスレポート

OCIガイダンスレポート

当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。
正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

Site24x7のOCIガイダンスレポートで、ベストプラクティスを表示しOracle Cloud Infrastructure(OCI)構成の最適化を行います。これによりパフォーマンスの最適化、信頼性とコスト効率の向上につなげられます。

次のベストプラクティスに基づいて、クラウドリソースパフォーマンスの向上、潜在的な問題の防止、セキュリティの維持を行います。
ガイダンスレポートでは可用性カテゴリーが「高、中、低」のレベルで分けられています。

OCIガイダンスレポートのメリット

OCIガイダンスレポートを使用すると、次のメリットがあります。

  • OCI構成における改良部分の特定による問題の事前修正
  • 推奨事項の把握によるインフラの容易な向上と効率的な適応
  • リソース割り当ての最適化によるOCIサービスバリューの最大化
  • クラウド環境のベストプラクティス対応による脆弱性リスクの削減

ユースケース

OCIブロックボリューム上に重要なアプリケーションを実行しているが、バックアップポリシーがアタッチされていないとします。バックアップポリシーがないと、ブロックボリュームに保存されているデータに脆弱性が発生し、ドメインの可用性障害を引き起こします。その結果、データ欠落やサービス停止につながる可能性があります。

Site24x7が、ブロックボリュームにバックアップポリシーがアタッチされていないことを検知し、その推奨事項を表示します。この推奨事項により、データのバックアップを定期的に行うよう構成変更し、可用性の向上とアプリケーションの保護を行います。

ガイダンスレポートとコンプライアンスチェックの表示方法

ガイダンスレポートでコンプライアンスデータを表示する方法は次のとおりです。

  1. Site24x7にログインします。
  2. [Cloud]→[OCI]に移動します。
  3. OCIアカウントを選択します。
  4. [ガイダンスレポート]をクリックします。
    ガイダンスレポート
  5. 各リソースに対応する推奨事項を確認します。
  6. 各アクションステップに基づいて、OCI環境の変更を行って最適化を行います。

OCIサービスのベストプラクティスチェック

各OCIサービスに対応しているベストプラクティスチェックは次のとおりです。

コンピュート・インスタンス

OCIコンピュート - 単一フォールト・ドメイン(優先度:低)

判定基準

可用性ドメイン内のインスタンスがすべて単一フォールト・ドメインに存在するか確認します。

説明

異なるフォールト・ドメイン内のコンピュート・インスタンスを可用性ゾーン内に配置することで、1フォールト・ドメイン内の障害発生時にも、アプリケーションの障害にならないようにします。

推奨事項

コンピュート・インスタンスのフォールト・ドメインの変更を検討します。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - タグ未設定のインスタンス(優先度:情報)

判定基準

コンピュート・インスタンスにタグが適用されているかをチェックします。

説明

リソースへのタグ付けにより、コスト追跡、ガバナンス、および整理されたクラウド管理が可能になります。適切なタグがないと、リソースの管理、コストの帰属特定、および監査が困難になります。

推奨事項

コスト追跡とガバナンスのために、コンピュート・インスタンスに適切なタグを追加することを検討してください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - 停止状態のインスタンス(優先度:中)

判定基準

停止状態のコンピュート・インスタンスが存在するかをチェックします。

説明

停止中のコンピュート・インスタンスであっても、ストレージのコストは引き続き発生する場合があります。また、一部のシェイプではインスタンスが停止状態であっても料金が発生し、未使用リソースの無駄遣いとなります。使用していない停止中のインスタンスを特定して削除することで、コストを削減できます。

推奨事項

不要になった停止中のコンピュート・インスタンスの終了を検討してください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - メンテナンスイベント(優先度:高)

判定基準

コンピュート・インスタンスに保留中のメンテナンスイベントがあるかをチェックします。

説明

Oracleは、コンピュートインフラストラクチャに対して定期的なメンテナンスイベントをスケジュールします。メンテナンスイベントを確認せず放置すると、インスタンスが予期せず再起動する可能性があります。

推奨事項

保留中のメンテナンスイベントを確認および承諾し、計画的なダウンタイムのスケジュールを立ててください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - インスタンス監視プラグインが無効(優先度:中)

判定基準

コンピュート・インスタンスの監視プラグインが有効になっているかをチェックします。

説明

監視プラグインは、インスタンスからパフォーマンスメトリックを収集します。このプラグインが無効な場合、OCI監視でのメトリック表示や、インスタンスの正常性に関するアラートの設定が実行できません。

推奨事項

パフォーマンスメトリックを収集するために、コンピュート・インスタンスの監視プラグインを有効にしてください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - カスタムログ監視が無効(優先度:中)

判定基準

コンピュート・インスタンスでカスタムログ監視が構成されているかをチェックします。

説明

カスタムログ監視を有効にすると、アプリケーションやOSのログをOCIロギングに取り込むことができ、ログの一元分析やアラート通知が可能になります。

推奨事項

アプリケーションおよびオペレーティングシステムのログをキャプチャするために、カスタムログ監視を構成してください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - 低利用率のインスタンス(優先度:高)

判定基準

CPUおよびメモリのメトリックに基づき、コンピュート・インスタンスが低利用状態にないかをチェックします。

説明

利用率の低いインスタンスは、コンピュート費用の無駄遣いにつながります。適切なサイズへの変更や、不要なインスタンスの終了により、大幅なコスト削減が可能になります。

推奨事項

コスト削減のために、利用率の低いコンピュート・インスタンスのサイズ適正化または終了を検討してください。

必要な権限

  • GetInstance - INSTANCE_READ
  • GetMetricData - METRIC_DATA_READ

OCIコンピュート - 高負荷リソース(優先度:高)

判定基準

コンピュート・インスタンスが非常に高いCPUまたはメモリ利用率で動作していないかをチェックします。

説明

継続的に高い利用率で動作しているインスタンスは、パフォーマンスの低下を招く可能性があります。スケールアップまたはスケールアウトを行うことで、アプリケーションの信頼性を確保できます。

推奨事項

インスタンスシェイプのスケールアップ、またはインスタンスを追加して負荷を分散することを検討してください。

必要な権限

  • GetInstance - INSTANCE_READ
  • GetMetricData - METRIC_DATA_READ

OCIコンピュート - トランジット暗号化が無効(優先度:高)

判定基準

コンピュート・インスタンスでトランジット暗号化が有効になっているかをチェックします。

説明

トランジット暗号化は、インスタンスとブロックボリュームとの間を移動するデータの傍受を防ぎます。すべてのインスタンスでこれを有効にすることが、セキュリティ上のベストプラクティスです。

推奨事項

移動中のデータを保護するために、コンピュート・インスタンスのトランジット暗号化を有効にしてください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - レガシーIMDSが有効(優先度:高)

判定基準

古い世代のインスタンスメタデータサービス(IMDSv1)が有効になっているかをチェックします。

説明

IMDSv1は、サーバー側リクエスト偽装(SSRF)攻撃に対して脆弱です。IMDSv1を無効にし、トークンベースの認証を使用するセキュアな「IMDSv2」へ移行することで、このリスクを軽減できます。

推奨事項

レガシーなIMDSv1を無効にし、安全なトークンベースのIMDSv2へ移行してください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - セキュアブートが無効(優先度:高)

判定基準

コンピュート・インスタンスでセキュアブートが有効になっているかをチェックします。

説明

セキュアブートは、OEM(製造元)によって信頼されたソフトウェアのみを使用してデバイスを起動させる仕組みです。これにより、ブートレベルで感染するマルウェアやルートキットからシステムを保護します。

推奨事項

未承認のブートソフトウェアによる起動を防ぐために、コンピュート・インスタンスのセキュアブートを有効にしてください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - 機密コンピューティングが無効(優先度:中)

判定基準

コンピュート・インスタンスで機密コンピューティングが有効になっているかをチェックします。

説明

機密コンピューティングは、実行中のデータをメモリ上で暗号化し、ハイパーバイザやクラウドプロバイダからも保護します。機密性の高いワークロードに対して、最高レベルのデータ分離を提供します。

推奨事項

機密データを処理するインスタンスでは、機密コンピューティングを有効にしてください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - Cloud Guardが無効(優先度:高)

判定基準

コンピュート・インスタンスが属するコンパートメントで「OCI Cloud Guard」が有効になっているかをチェックします。

説明

Cloud Guardは、OCIリソースにセキュリティ設定の不備や脅威がないかを継続的に監視し、自動的な問題検出・修復機能を提供します。

推奨事項

セキュリティ脅威を検知して対応するために、OCI Cloud Guardを有効にしてください。

必要な権限

  • GetInstance - INSTANCE_READ
  • GetCloudGuardConfiguration - CLOUD_GUARD_CONFIG_READ

OCIコンピュート - OS管理が無効(優先度:中)

判定基準

コンピュート・インスタンスでOS管理が有効になっているかをチェックします。

説明

OS管理機能を使用すると、コンピュート・インスタンスのパッチ適用やパッケージ管理を自動化でき、脆弱性が未修正のまま放置されるリスクを低減できます。

推奨事項

パッチ適用やソフトウェア更新を自動化するために、OS管理を有効にしてください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - 脆弱性スキャンが無効(優先度:高)

判定基準

コンピュート・インスタンスで脆弱性スキャンが有効になっているかをチェックします。

説明

定期的な脆弱性スキャンにより、オペレーティングシステムやインストールされているパッケージ内の既知の脆弱性(CVE)や設定ミスを特定し、プロアクティブな対応が可能になります。

推奨事項

セキュリティの脆弱性を特定して修正するために、脆弱性スキャンを有効にしてください。

必要な権限

  • GetInstance - INSTANCE_READ

OCIコンピュート - メジャードブートが無効(優先度:中)

判定基準

コンピュート・インスタンスでメジャードブートが有効になっているかをチェックします。

説明

メジャードブートは、起動シーケンスのハッシュチェーンを記録し、それをTPMに保存します。これにより、起動プロセスにおける改ざんを検出できます。

推奨事項

完全なブート整合性検証を行うために、セキュアブートと併せてメジャードブートを有効にしてください。

必要な権限

  • GetInstance - INSTANCE_READ

ブロック・ボリューム

OCIブロック・ボリューム - バックアップポリシー(優先度:高)

判定基準

ブロック・ボリュームにバックアップポリシーが割り当てられているか確認します。

説明

可用性ドメインの障害からデータを保護し、データの可用性を確保するために、重要なアプリケーションのバックアップを取得することを推奨します。

推奨事項

ブロック・ボリュームにバックアップポリシーを割り当てることを検討してください。

必要な権限

  • GetVolumeBackupPolicyAssetAssignment - BACKUP_POLICY_ASSIGNMENT_INSPECT、VOLUME_INSPECT

OCIブロック・ボリューム - バックアップ・ポリシー無効化(優先度:高)

判定基準

ブロック・ボリュームにバックアップ・ポリシーが割り当てられているか確認します。

説明

可用性ドメインの障害からデータを保護し、データの可用性を確保するために、重要なアプリケーションのバックアップを取得することを推奨します。

推奨事項

ブロック・ボリュームにバックアップ・ポリシーを割り当てることを検討してください。

必要な権限

  • GetVolumeBackupPolicyAssetAssignment - BACKUP_POLICY_ASSIGNMENT_INSPECT、VOLUME_INSPECT

OCIブート・ボリューム - バックアップ・ポリシー無効化(優先度:高)

判定基準

ブロック・ボリュームにバックアップ・ポリシーが割り当てられているか確認します。

説明

ブート・ボリュームにはオペレーティングシステム(OS)が含まれており、インスタンスの復旧において非常に重要です。バックアップ・ポリシーを設定することで、不慮のデータ損失や破損からOSディスクを保護できます。

推奨事項

ブロック・ボリュームにバックアップ・ポリシーを割り当てることを検討してください。

必要な権限

  • GetVolumeBackupPolicyAssetAssignment - BACKUP_POLICY_ASSIGNMENT_INSPECT、BOOT_VOLUME_INSPECT

OCIブロック・ボリューム - 未アタッチ(優先度:中)

判定基準

ブロック・ボリュームがコンピュート・インスタンスにアタッチ(接続)されているかチェックします。

説明

アタッチされていないブロック・ボリュームは、価値を生み出さないままストレージコストが発生し続けます。こうした孤立したボリュームを特定することで、不要な支出を削減できます。

推奨事項

不要になった未アタッチのブロック・ボリュームを削除するか、アーカイブすることを検討してください。

必要な権限

  • ListVolumes - VOLUME_INSPECT

OCIブート・ボリューム - 未アタッチ(優先度:中)

判定基準

ブート・ボリュームがコンピュート・インスタンスにアタッチされているかチェックします。

説明

デタッチされたブート・ボリュームであっても、ストレージコストは発生し続けます。インスタンスを終了した後に残された、未アタッチのブート・ボリュームを確認し、不要であれば削除する必要があります。

推奨事項

デタッチ(切断)されたブート・ボリュームであっても、ストレージコストは発生し続けます。インスタンスを終了(削除)した後に残された、未アタッチのブート・ボリュームを確認し、不要であれば削除する必要があります。

必要な権限

  • ListBootVolumes - BOOT_VOLUME_INSPECT

OCIブロック・ボリューム - オートチューン無効化(優先度:中)

判定基準

ブロック・ボリュームのパフォーマンス自動調整が有効になっているかチェックします。

説明

オートチューン機能は、ボリュームがデタッチされた際などにパフォーマンス・ティア(性能レベル)を自動的に引き下げ、ボリュームがアクティブに使用されていない期間のコストを削減します。

推奨事項

オートチューン機能は、ボリュームがデタッチされた際などにパフォーマンス・ティア(性能レベル)を自動的に引き下げ、ボリュームがアクティブに使用されていない期間のコストを削減します。

必要な権限

  • GetVolume - VOLUME_INSPECT

OCI ブート・ボリューム - オートチューン無効化(優先度:中)

判定基準

ブート・ボリュームのパフォーマンス自動調整(オートチューン)が有効になっているかチェックします。

説明

ブート・ボリュームのオートチューンは、インスタンスが停止またはデタッチされている状態のときにパフォーマンス・ティアを自動的に下げることで、コストを削減します。

推奨事項

低利用期間中のコストを最適化するために、ブート・ボリュームのオートチューンを有効にしてください。

必要な権限

  • GetBootVolume - BOOT_VOLUME_INSPECT

OCI ブロック・ボリューム - クロスリージョン複製無効化(優先度:高)

判定基準

ブロック・ボリュームのクロスリージョン複製(地域間レプリケーション)が有効になっているかチェックします。

説明

クロスリージョン複製は、リージョン規模の災害からデータを保護し、ビジネス継続性(BCP)および災害復旧(DR)の目的をサポートします。

推奨事項

重要なブロック・ボリュームに対して、クロスリージョン複製を有効にしてください。

必要な権限

  • GetVolume - VOLUME_INSPECT

OCI ブロック・ボリューム - 顧客管理鍵(CMK)暗号化無効化(優先度:高)

判定基準

ブロック・ボリュームがCMKで暗号化されているかを確認します。

説明

OCIはデフォルトでブロック・ボリュームを暗号化しますが、顧客管理キー(CMK)を使用することで、キーのライフサイクルに対する制御性を高め、データの主権に関するコンプライアンス要件を満たすことができます。

推奨事項

ブロック・ボリュームに対して、顧客管理キーによる暗号化を有効にしてください。

必要な権限

  • GetVolume - VOLUME_INSPECT

OCI ブート・ボリューム - 顧客管理鍵(CMK)暗号化無効化(優先度:高)

判定基準

ブート・ボリュームが顧客管理鍵(CMK)で暗号化されているかチェックします。

説明

ブート・ボリュームにはオペレーティングシステム(OS)が保存されています。顧客管理鍵(CMK)で暗号化することにより、保存されているOSデータ(データ・アット・レスト)がご自身で管理する鍵によって確実に保護されます。

推奨事項

ブート・ボリュームに対して顧客管理鍵(CMK)による暗号化を有効にしてください。

必要な権限

  • GetBootVolume - BOOT_VOLUME_INSPECT

OCI Autonomous Database

OCI Autonomous Database - バックアップ保持期間(優先度:中)

判定基準

Autonomous Databaseに少なくとも7日間のバックアップ保持期間があるか確認します。

説明

コンプライアンス要件に合わせるために、7日間の最小のバックアップ保持期間を設定することを推奨しています。

推奨事項

最低7日間にAutonomous Databaseのバックアップ保持期間を設定することを検討します。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - コンピュート自動スケーリング無効化(優先度:中)

判定基準

自立型データベースでコンピュート自動スケーリングが有効になっているかチェックします。

説明

コンピュート自動スケーリングを有効にすると、ワークロードのピーク時に基本OCPU数の最大3倍まで自動的に拡張され、パフォーマンスを確保しながら実際の使用量のみに対して課金されます。

推奨事項

ピーク時のワークロード要求に効率よく対応するため、コンピュート自動スケーリングを有効にしてください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - ストレージ自動スケーリング無効化(優先度:中)

判定基準

自立型データベースでストレージ自動スケーリングが有効になっているかチェックします。

説明

ストレージ自動スケーリングを有効にすると、データの増加に合わせてストレージが自動的に拡張され、ストレージ容量不足によるシステム停止を防ぐことができます。

推奨事項

ストレージ容量不足によるトラブルを防ぐために、ストレージ自動スケーリングを有効にしてください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - Opsインサイトの無効化(優先度:低)

判定基準

Opsインサイトは、AIを活用したリソース利用率の分析や、Autonomous Databaseのキャパシティプランニングに関する推奨対策を提供します。

説明

Opsインサイトは、AIを活用したリソース利用率の分析や、Autonomous Databaseのキャパシティプランニングに関する推奨対策を提供します。

推奨事項

データベースのリソース使用傾向を可視化するために、Opsインサイトを有効にしてください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - タグ設定チェック(優先度:情報)

判定基準

Autonomous Databaseにコスト追跡用のタグが適用されているかチェックします。

説明

タグを使用することで、OCIリソース全体におけるコストの割り当て、予算の追跡、およびガバナンスが可能になります。

推奨事項

Autonomous Databaseに適切なコスト追跡用およびガバナンス用のタグを適用してください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - クロスリージョン複製未構成(優先度:高)

判定基準

Autonomous Databaseでクロスリージョン複製が構成されているかチェックします。

説明

クロスリージョン・レプリケーション(地域間複製)は、リージョン障害が発生した際にもデータベースの可用性を確保し、重要なワークロードにおける目標復旧時間(RTO)および目標復旧時点(RPO)の要件を満たします。

推奨事項

重要なワークロードをホストしているAutonomous Databaseに対して、クロスリージョン複製を構成してください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - データベース管理無効化(優先度:中)

判定基準

Autonomous Databaseでデータベース管理機能が有効になっているかチェックします。

説明

データベース管理機能は、Autonomous Databaseに対するパフォーマンス監視、チューニングのアドバイス、および複数データベースの一元管理を提供します。

推奨事項

パフォーマンス診断やチューニングに関するインサイトを利用できるようにするために、データベース管理機能を有効にしてください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - Data Safe無効化(優先度:高)

判定基準

Autonomous DatabaseでOCI Data Safeが有効になっているかチェックします。

説明

Data Safeは、データベース内の機密データを保護するために、セキュリティ評価、ユーザー評価、データ検出、データ・マスキング、およびアクティビティ監査を提供します。

推奨事項

機密データを継続的に監視し保護するために、Data Safeを有効にしてください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - 高コストツール有効化(優先度:中)

判定基準

Autonomous Databaseで、高額なアドオンツールが不要であるにもかかわらず有効化されていないかチェックします。

説明

一部のAutonomous Database(ADB)用ツールには追加のライセンス費用が発生します。実際に使用していないのに有効にしたままにしていると、不要なコストが請求される原因となります。

推奨事項

有効になっているツールを確認し、現在アクティブに使用されていない高コストなツールは無効化してください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - 顧客管理鍵(CMK)暗号化無効化(優先度:高)

判定基準

Autonomous Databaseが顧客管理鍵(CMK)で暗号化されているかチェックします。

説明

顧客管理鍵を使用することで、暗号化のライフサイクルを自社で制御できるようになり、データ主権に関する要件やコンプライアンス要件を満たすことができます。

推奨事項

Autonomous Databaseに対して顧客管理鍵(CMK)による暗号化を有効にしてください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - パブリックアクセス有効化(優先度:高)

判定基準

Autonomous Databaseがパブリックインターネットからのアクセスを許可しているかチェックします。

説明

データベースをパブリックインターネットに公開すると、攻撃を受けるリスク(アタックサーフェス)が大幅に増加します。データベースは、信頼できるプライベートネットワークからのみアクセスできるようにすべきです。

推奨事項

パブリックアクセスを制限し、代わりにプライベートエンドポイントを使用してください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - プライベートエンドポイント未構成(優先度:高)

判定基準

Autonomous Databaseにプライベートエンドポイントが構成されているかチェックします。

説明

プライベートエンドポイントを構成することで、データベースの通信トラフィックが常にOCIのネットワーク内に留まり、パブリックインターネットに曝露されるのを防ぐことができます。

推奨事項

Autonomous Databaseに対してプライベートエンドポイントを構成してください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - mTLS必須化未設定(優先度:高)

判定基準

データベースへの接続において、相互TLS(mTLS)認証が必須とされているかチェックします。

説明

mTLSは、クライアントとサーバーの両方が証明書を用いて互いを認証する仕組みです。これにより強力な相互認証が実現し、なりすまし攻撃などからシステムを保護できます。

推奨事項

Autonomous Databaseへのすべての接続に対して、mTLSによる認証を必須化してください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

OCI Autonomous Database - 顧客連絡先未登録(優先度:低)

判定基準

Autonomous Databaseに顧客連絡先が設定されているかチェックします。

説明

登録された連絡先には、データベースに関する重要なメンテナンスイベント、脆弱性通知、および運用のアップデート情報が届きます。

推奨事項

データベースに関する通知を確実に受信できるよう、顧客連絡先情報を設定してください。

必要な権限

  • GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT

オブジェクト・ストレージ・バケット

OCIストレージ・バケット - レプリケーションの無効化(優先度:中)

判定基準

ストレージ・バケットにレプリケーションポリシーが作成されているか確認します。

説明

レプリケーションポリシーはリージョナルな障害からの保護と復旧、データ冗長性に関するコンプライアンス要件の特定に使用されます。リージョナルロケーション内のデータの複数コピーを維持することで、ユーザーアクセスの遅延を削減することもできます。

推奨事項

ストレージバケットのレプリケーションポリシーの作成を検討します。

必要な権限

  • GetBucket - BUCKET_READ

OCIストレージ・バケット - バージョニング無効化(優先度:中)

判定基準

ストレージ・バケットでオブジェクトのバージョニング(世代管理)が有効になっているかチェックします。

説明

オブジェクトのバージョニングは、オブジェクトの過去のバージョンを保持することで、不慮の上書きや削除からデータを保護し、特定時点への復旧を可能にします。

推奨事項

重要なデータが含まれるストレージ・バケットのバージョニングを有効にしてください。

必要な権限

  • GetBucket - BUCKET_READ

OCIストレージ・バケット - パブリックアクセス未ブロック(優先度:高)

判定基準

オブジェクト・ストレージ・バケットへのパブリックアクセスがブロックされているかチェックします。

説明

パブリックアクセスが可能なバケットは、保存されたデータが未認可の第三者に曝露されるリスクがあります。一般公開するコンテンツを意図して配信する場合を除き、バケットはすべてのパブリックアクセスをブロックすべきです。

推奨事項

公開コンテンツをホストするために明示的に必要な場合を除き、すべてのストレージ・バケットへのパブリックアクセスをブロックしてください。

必要な権限

  • GetBucket - BUCKET_READ

OCIストレージ・バケット - ライフサイクル・ポリシー未構成(優先度:中)

判定基準

ストレージ・バケットにライフサイクル・ポリシーが構成されているかチェックします。

説明

ライフサイクル・ポリシーは、オブジェクトをより低コストなストレージ・ティアへ自動的に移行したり、期限切れのオブジェクトを自動削除したりすることで、経時的なストレージコストを削減します。

推奨事項

オブジェクトの保持期間とストレージ・ティアの移行を管理するために、ライフサイクル・ポリシーを構成してください。

必要な権限

  • GetBucket - BUCKET_READ

OCIストレージ・バケット - タグ設定チェック(優先度:情報)

判定基準

ストレージ・バケットに必要なタグが適用されているかチェックします。

説明

タグを使用することで、ストレージリソース全体におけるコストの割り当て(部門ごとの費用算出など)やガバナンスが可能になります。

推奨事項

すべてのストレージ・バケットに、適切なコスト追跡用およびガバナンス用のタグを適用してください。

必要な権限

  • GetBucket - BUCKET_READ

OCIストレージ・バケット - オートスケーリング(自動ティアリング)無効化(優先度:中)

判定基準

ストレージ・バケットで自動ティアリングが有効になっているかチェックします。

説明

自動ティアリング機能は、アクセスの少ないオブジェクトをより低コストなアーカイブストレージに自動的に移動させることで、手動での管理を行わずにコストを削減します。

推奨事項

アクセス頻度が不定期または混合しているバケットでは、自動ティアリングを有効にしてストレージコストを削減してください。

必要な権限

  • GetBucket - BUCKET_READ

OCIストレージ・バケット - アーカイブ・ストレージ・ティア(優先度:低)

判定基準

バケットがアーカイブストレージ・ティアを適切に使用しているかチェックします。

説明

アーカイブ・ティアは、滅多にアクセスされないデータ向けに設計されています。アクセス頻度の高いデータにこのティアを使用すると、データの取り出し(データ抽出)に長い時間がかかるほか、余計なコストが発生する原因となります。

推奨事項

アーカイブ・ティアにあるバケットを確認し、実際のアクセスパターンがこのティア(長期保管用)に適しているか再評価してください。

必要な権限

  • GetBucket - BUCKET_READ

OCIストレージ・バケット - 保持ルール未構成(優先度:中)

判定基準

ストレージ・バケットに保持ルールが構成されているかチェックします。

説明

保持ルールを設定すると、指定された期間が経過するまでオブジェクトの削除や上書きを禁止できます。これはコンプライアンス要件やデータの完全性(改ざん防止など)の維持に役立ちます。

推奨事項

コンプライアンス関連データや監査ログデータを保存するバケットに、保持ルールを構成してください。

必要な権限

  • GetBucket - BUCKET_READ

OCIストレージ・バケット - ロギング無効化(優先度:中)

判定基準

ストレージ・バケットのアクセス・ロギング(利用履歴記録)が有効になっているかチェックします。

説明

アクセス・ロギングは、バケットに対するすべての読み取りおよび書き込み操作を記録します。これにより、セキュリティ侵害時の追跡調査やコンプライアンス監査のための監査証跡(オーディットトレイル)が確保されます。

推奨事項

すべてのストレージ・バケットでアクセス・ロギングを有効にしてください。

必要な権限

  • GetBucket - BUCKET_READ

OCIストレージ・バケット - 顧客管理鍵(CMK)暗号化無効化(優先度:高)

判定基準

ストレージ・バケットが顧客管理鍵(CMK)で暗号化されているかチェックします。

説明

顧客管理鍵(CMK)を使用することで、データの暗号化を自社で高度に制御できるようになり、オブジェクト・ストレージ内に保存する機密データに対する各種コンプライアンス要件を満たすことができます。

推奨事項

ストレージ・バケットに対して顧客管理鍵(CMK)による暗号化を有効にしてください。

必要な権限

  • GetBucket - BUCKET_READ

VCN(Virtual Cloud Network)

OCI VCN - 可用性ドメイン特有サブネット(優先度:高)

判定基準

サブネットが可用性ドメインに特有であるかどうか確認します。

説明

リージョナルサブネットを採用すると、どのリージョンの可用性ドメインにも存在できるため、可用性ドメインの障害が軽減されます。

推奨事項

リージョナルサブネットを作成して可用性ドメイン特有サブネットとすることがOracleで推奨されています。可用性ドメイン特有サブネットをリージョナルサブネットに置換することを検討します。

必要な権限

  • ListSubnets - SUBNET_READ

OCI VCN - プライベート・サブネットのインターネット・ゲートウェイ(IGW)ルート存在(優先度:高)

判定基準

プライベート・サブネットのルート・ルールに、インターネット・ゲートウェイ(IGW)を指すルールが含まれていないかチェックします。

説明

プライベート・サブネットは、インターネット・ゲートウェイへの直接的なルートを持つべきではありません。このような誤構成があると、プライベートリソースが不慮の事故でインターネットに曝露される可能性があります。

推奨事項

プライベート・サブネットのルート表から、インターネット・ゲートウェイを宛先とするルート・ルールを削除してください。

必要な権限

  • GetVcn - VCN_READ
  • GetRouteTable - ROUTE_TABLE_INSPECT

OCI VCN - デフォルト VCNの使用(優先度:中)

判定基準

テナンシによって自動作成されたデフォルトのVCNが使用されているかチェックします。

説明

デフォルトのVCNは初期設定の許容範囲が広すぎることが多く、セキュリティのベストプラクティスに適合していません。明確に設計されたネットワーク・トポロジを持つ、カスタム作成したVCNを使用することを推奨します。

推奨事項

デフォルトのVCNから、特定の目的に合わせて適切にセキュリティ保護されたカスタムVCNへワークロードを移行してください。

必要な権限

  • GetVcn - VCN_READ

OCI VCN - フローログ無効化(優先度:高)

判定基準

VCNフローログが有効になっているかチェックします。

説明

VCNフローログは、すべてのネットワーク・トラフィックのメタデータをキャプチャするため、脅威の検出、コンプライアンス監査、およびネットワークのトラブルシューティングにおける可視性を提供します。

推奨事項

すべてのVCNでVCNフローログを有効にしてください。

必要な権限

  • GetVcn - VCN_READ

OCI VCN - タグ設定なし(優先度:低)

判定基準

VCNに必要なタグが適用されているかチェックします。

説明

タグを使用することで、VCNリソースのコスト割り当て、ガバナンス、およびライフサイクル管理が可能になります。

推奨事項

すべてのVCNにコスト追跡用およびガバナンス用のタグを適用してください。

必要な権限

  • GetVcn - VCN_READ

OCI サブネット - 可用性ドメイン固有のサブネット(優先度:高)

判定基準

サブネットが可用性・ドメイン固有のものに設定されているかチェックします。

説明

リージョン・サブネットを選択することで、リソースをリージョン内の任意の可用性・ドメインに配置できるようになるため、特定可用性・ドメインの障害による影響を軽減できます。

推奨事項

Oracleでは、可用性・ドメイン固有のサブネットではなく、リージョン・サブネットを作成することを推奨しています。可用性・ドメイン固有のサブネットをリージョン・サブネットに置き換えることを検討してください。

必要な権限

  • ListSubnets - SUBNET_READ

OCI サブネット - フローロギング無効化(優先度:高)

判定基準

サブネットでフローログが有効になっているかチェックします。

説明

フローログは、サブネットを通過するすべてのトラフィックのネットワークメタデータをキャプチャし、脅威の検出、トラフィック分析、およびフォレンジック調査(原因究明)を可能にします。

推奨事項

すべてのサブネット、特に機密性の高いワークロードをホストしているサブネットでフローロギングを有効にしてください。

必要な権限

  • ListSubnets - SUBNET_READ
  • GetFlowLogConfig - VNIC_READ

OCI NSG - 制限のないインバウンド・トラフィック(優先度:高)

判定基準

ネットワーク・セキュリティ・グループが、送信元を制限しないインバウンド・トラフィック(0.0.0.0/0 からの接続)を許可していないかチェックします。

説明

制限のないインバウンド・ルールは、インスタンスをすべてのインターネットトラフィックに曝露させるため、総当たり(ブルートフォース)攻撃、ポートスキャン、および開放されているポートへの脆弱性攻撃を許す原因となります。

推奨事項

インバウンドNSGルールを、既知のIP範囲および必要なポートのみに制限してください。

必要な権限

  • GetNetworkSecurityGroup - NETWORK_SECURITY_GROUP_INSPECT

OCI NSG - 制限のないアウトバウンド・トラフィック(優先度:中)

判定基準

ネットワーク・セキュリティ・グループ(NSG)が、制限のないアウトバウンド(送信外)トラフィックを許可していないかチェックします。

説明

アウトバウンド・ルールに制限がない場合、マルウェアや不正侵入されたインスタンスがデータを外部に流出させたり、C2サーバー(コマンド&コントロールサーバー)と通信したりすることを許してしまう可能性があります。

推奨事項

アウトバウンドNSGルールを、既知の宛先および必要なプロトコルのみに制限してください。

必要な権限

  • GetNetworkSecurityGroup - NETWORK_SECURITY_GROUP_INSPECT

OCI NSG - 制限のないRDPアクセス(優先度:高)

判定基準

NSGが、RDP ポート(3389)での制限のないインバウンドアクセスを許可していないかチェックします。

説明

RDP(リモートデスクトップ)をインターネットに公開することは、ランサムウェアや総当たり攻撃の主な標的となります。RDPは、VPNなどを経由した信頼できるIP範囲からのみアクセスできるようにすべきです。

推奨事項

RDPアクセス(ポート3389)を特定の信頼できるIP範囲のみに制限するか、完全に削除してOCI Bastion(要塞)サービス経由のアクセスに切り替えてください。

必要な権限

  • GetNetworkSecurityGroup - NETWORK_SECURITY_GROUP_INSPECT

OCI NSG - 制限のないSSHアクセス(優先度:高)

判定基準

NSGが、SSH ポート(22)での制限のないインバウンドアクセスを許可していないかチェックします。

説明

インターネットに対してSSHアクセス(ポート22)を開放すると、インスタンスが総当たり攻撃や資格情報詰め込み(クレデンシャルスタッフィング)攻撃のリスクに曝されます。SSH は既知の管理用 IP または要塞ホストのみに制限する必要があります。

推奨事項

SSHアクセス(ポート22)を特定の信頼できるIP範囲のみに制限するか、OCI Bastionサービスを使用してください。

必要な権限

  • GetNetworkSecurityGroup - NETWORK_SECURITY_GROUP_INSPECT

OCI セキュリティ・リスト - 制限のないインバウンド・トラフィック(優先度:高)

判定基準

セキュリティ・リストが、すべての送信元からの制限のないインバウンド・トラフィックを許可していないかチェックします。

説明

制限のないインバウンド・ルールは、あらゆる送信元からのすべてのトラフィックを許可するため、サブネット内にあるリソースの攻撃対象領域(アタックサーフェス)を著しく拡大させます。

推奨事項

セキュリティ・リストのインバウンド・ルールを、必要なポートおよび信頼できる送信元IP範囲のみに制限してください。

必要な権限

  • GetSecurityList - SECURITY_LIST_INSPECT

OCI セキュリティ・リスト - 制限のないステートレス・インバウンド・トラフィック(優先度:中)

判定基準

セキュリティ・リストに、制限のないステートレス・インバウンド・ルールが含まれていないかチェックします。

説明

ステートレス・ルールは接続状態を追跡しないため、戻りのトラフィックも明示的に許可する必要があります。制限のないステートレス・インバウンド・ルールは、トラフィック増幅攻撃(アンプ攻撃)に悪用される危険性があります。

推奨事項

ステートレス・インバウンド・ルールを確認し、リスクを最小限に抑えるために制限を設定してください。

必要な権限

  • GetSecurityList - SECURITY_LIST_INSPECT

OCI セキュリティ・リスト - 制限のないアウトバウンド・トラフィック(優先度:中)

判定基準

セキュリティ・リストが、制限のないアウトバウンド・トラフィックを許可していないかチェックします。

説明

アウトバウンド・ルールに制限がない場合、侵害されたインスタンスからデータが外部へ流出することを許してしまう可能性があります。アウトバウンド・トラフィックを必要な宛先のみに制限することで、このリスクを軽減できます。

推奨事項

セキュリティ・リストのアウトバウンド・ルールを、既知の宛先およびプロトコルに制限してください。

必要な権限

  • GetSecurityList - SECURITY_LIST_INSPECT

OCI セキュリティ・リスト - 制限のないステートレス・アウトバウンド・トラフィック(優先度:中)

判定基準

セキュリティ・リストに、制限のないステートレス・アウトバウンド・ルールが含まれていないかチェックします。

説明

制限のないステートレス・アウトバウンド・ルールが、緩いインバウンド・ルールと組み合わさると、接続状態の追跡を行わないまま、不正なデータ流出を許してしまう可能性があります。

推奨事項

セキュリティ・リストのステートレス・アウトバウンド・ルールを確認し、制限を設定してください。

必要な権限

  • GetSecurityList - SECURITY_LIST_INSPECT

OCI セキュリティ・リスト - 制限のないRDPアクセス(優先度:高)

判定基準

セキュリティ・リストが、制限のないRDPアクセス(ポート3389)を許可していないかチェックします。

説明

セキュリティ・リストでRDPアクセスを開放すると、サブネット内のすべてのインスタンスが、Windowsリモートデスクトップを標的としたインターネット上の攻撃に曝されることになります。

推奨事項

すべてのセキュリティ・リストにおいて、RDPアクセスを特定の信頼できるIP範囲のみに制限してください。

必要な権限

  • GetSecurityList - SECURITY_LIST_INSPECT

OCI セキュリティ・リスト - 制限のないSSHアクセス(優先度:高)

判定基準

セキュリティ・リストが、制限のないSSHアクセス(ポート22)を許可していないかチェックします。

説明

セキュリティ・リストでSSHアクセスを開放すると、サブネット内のすべてのインスタンスが、インターネットからの総当たり攻撃や資格情報窃盗攻撃のリスクに曝されます。

推奨事項

すべてのセキュリティ・リストにおいて、SSHアクセスを特定の信頼できるIP範囲または要塞ホストのIPのみに制限してください。

必要な権限

  • GetSecurityList - SECURITY_LIST_INSPECT

OCI セキュリティ・リスト - デフォルトのセキュリティ・リストが制限なしのトラフィックを許可(優先度:高)

判定基準

VCN作成時に自動生成されるデフォルトのセキュリティ・リストが、制限のない初期状態のまま放置されていないかチェックします。

説明

デフォルトのセキュリティ・リストは、VCN作成後に変更されないまま残されがちです。ここには、カスタムのセキュリティ・リストを持たないすべてのサブネットに適用されてしまう、過剰に許容されたルールが含まれている可能性があります。

推奨事項

VCN作成後すぐに、デフォルトのセキュリティ・リストのルールを確認し、厳格に制限してください。

必要な権限

  • GetSecurityList - SECURITY_LIST_INSPECT

Base Database Service

OCI BaseDB - 自動バックアップ無効化(優先度:高)

判定基準

Base Databaseで自動バックアップが有効になっているかチェックします。

説明

自動バックアップは、不慮の削除、データの破損、またはハードウェアの障害によるデータ損失からシステムを保護します。バックアップがない場合、復旧の選択肢が著しく制限されます。

推奨事項

すべてのBase Databaseインスタンスで自動バックアップを有効にしてください。

必要な権限

  • GetDbSystem - DB_SYSTEM_INSPECT

OCI BaseDB - バックアップ保持期間の不足(優先度:中)

判定基準

Base Databaseのバックアップ保持期間が最低基準を満たしているかチェックします。

説明

保持期間が短いと、発生から時間が経過して発見された障害やインシデントに対処できなくなります。ワークロードの重要度に基づき、最低30日間の保持期間を設定することを推奨します。

推奨事項

復旧要件(RTO/RPO)を満たすために、バックアップ保持期間を延長してください。

必要な権限

  • GetDbSystem - DB_SYSTEM_INSPECT

OCI BaseDBシステム - メンテナンス・ウィンドウ未構成(優先度:中)

判定基準

Base Databaseシステムにメンテナンス・ウィンドウが構成されているかチェックします。

説明

メンテナンス・ウィンドウを構成することで、Oracleがパッチやアップデートを適用するタイミングを制御できるようになり、ビジネス運用への影響を最小限に抑えることができます。

推奨事項

ワークロードのトラフィックが低い時間帯に合わせて、メンテナンス・ウィンドウを構成してください。

必要な権限

  • GetDbSystem - DB_SYSTEM_INSPECT

OCI BaseDBシステム - タグ設定チェック(優先度:情報)

判定基準

Base Databaseシステムに必要なタグが適用されているかチェックします。

説明

適切なタグ設定を行うことで、データベースリソース全体におけるコストの割り当て、ガバナンスの適用、およびリソースのライフサイクル管理が可能になります。

推奨事項

すべてのBase Databaseシステムに、コスト追跡用およびガバナンス用のタグを適用してください。

必要な権限

  • GetDbSystem - DB_SYSTEM_INSPECT

OCI BaseDBシステム - 診断データ収集無効化(優先度:中)

判定基準

Base Databaseシステムで診断データの収集が有効になっているかチェックします。

説明

診断データ収集を有効にすると、Oracleサポートがトラブル解決に必要なパフォーマンスデータやエラーデータにスムーズにアクセスできるようになり、問題解決までの平均時間(MTTR)を短縮できます。

推奨事項

サポートの対応時間を向上させるために、診断データ収集を有効にしてください。

必要な権限

  • GetDbSystem - DB_SYSTEM_INSPECT

OCI BaseDBシステム - ヘルス・モニタリング無効化(優先度:中)

判定基準

Base Databaseシステムでヘルス・モニタリング(健全性監視)が有効になっているかチェックします。

説明

ヘルス・モニタリングは、データベースインフラの構成コンポーネントの稼働状態を追跡し、性能低下や障害が発生したコンポーネントがある場合にアラート(警告)を通知します。

推奨事項

インフラの障害を未然に検知してプロアクティブ(先回り)に対応できるように、ヘルス・モニタリングを有効にしてください。

必要な権限

  • GetDbSystem - DB_SYSTEM_INSPECT

OCI BaseDBシステム - インシデント・ログ無効化(優先度:中)

判定基準

Databaseシステムでインシデント・ログの収集が有効になっているかチェックします。

説明

インシデント・ログは、データベース障害時の根本原因分析(RCA)に不可欠なエラーイベントや診断データをキャプチャします。

推奨事項

迅速なインシデント対応と根本原因分析をサポートするために、インシデント・ログの収集を有効にしてください。

必要な権限

  • GetDbSystem - DB_SYSTEM_INSPECT

OCI プラガブル・データベース - データベース管理無効化(優先度:中)

判定基準

プラガブル・データベースでデータベース管理機能が有効になっているかチェックします。

説明

データベース管理機能は、プラガブル・データベースに対するパフォーマンス監視、SQLチューニングのアドバイス、および一元管理機能を提供します。

推奨事項

パフォーマンスに関するインサイトを利用できるようにするために、プラガブル・データベースのデータベース管理機能を有効にしてください。

必要な権限

  • GetPluggableDatabase - PLUGGABLE_DATABASE_INSPECT

OCI プラガブル・データベース - データベース管理無効化(優先度:中)

判定基準

プラガブル・データベースでデータベース管理機能が有効になっているかチェックします。

説明

データベース管理機能は、プラガブル・データベースに対するパフォーマンス監視、SQLチューニングのアドバイス、および一元管理機能を提供します。

推奨事項

パフォーマンスに関するインサイトを利用できるようにするために、プラガブル・データベースのデータベース管理機能を有効にしてください。

必要な権限

  • GetPluggableDatabase - PLUGGABLE_DATABASE_INSPECT

OCI プラガブル・データベース - 接続文字列未構成(優先度:高)

判定基準

プラガブル・データベース(PDB)に接続文字列が構成されているかチェックします。

説明

接続文字列が設定されていないと、アプリケーションがPDBに接続できなくなります。これはデータベースのセットアップ構成に誤りがあることを示しています。

推奨事項

すべてのプラガブル・データベースに対して、適切な接続文字列を構成してください。

必要な権限

  • GetPluggableDatabase - PLUGGABLE_DATABASE_INSPECT

OCI プラガブル・データベース - タグ設定チェック(優先度:情報)

判定基準

プラガブル・データベース(PDB)に必要なタグが適用されているかチェックします。

説明

タグを使用することで、データベースリソース間におけるコスト割り当てや、ライフサイクルにわたるガバナンス管理が可能になります。

推奨事項

すべてのプラガブル・データベース(PDB)にコスト追跡用およびガバナンス用のタグを適用してください。

必要な権限

  • GetPluggableDatabase - PLUGGABLE_DATABASE_INSPECT

Functions

OCI Function - プロビジョニングされた同時実行数が未設定(優先度:中)

判定基準

OCI Functionsにプロビジョニングされた同時実行数が設定されているかを確認します。

説明

プロビジョニングされた同時実行数が設定されていない場合、Functionsはコールドスタートを発生させ、初回呼び出し時にレイテンシが追加されます。レイテンシに敏感なワークロードでは、プロビジョニングされた同時実行数を設定することで、Functionsを常にウォーム(即時実行可能)な状態に保つことができます。

推奨事項

レイテンシに敏感なOCI Functionsに対して、プロビジョニングされた同時実行数を設定してください。

必要な権限

  • GetFunction - FUNCTION_INSPECT

OCI Function - トレースが未設定(優先度:低)

判定基準

OCI Functionsに分散トレーシングが設定されているかを確認します。

説明

分散トレーシングは、Functionsの実行、レイテンシ、およびエラーに対するエンドツーエンドの可視性を提供し、デバッグやパフォーマンスの最適化を容易にします。

推奨事項

OCI Functionsのオブザーバビリティを向上させるために、分散トレーシングを有効にしてください。

必要な権限

  • GetFunction - FUNCTION_INSPECT

OCI Application - トレースが無効(優先度:中)

判定基準

OCI Applicationsで分散トレーシングが有効になっているかを確認します。

説明

分散トレーシングは、アプリケーションコンポーネント間のリクエストフローに対するエンドツーエンドの可視性を提供し、レイテンシの分析や根本原因の調査を可能にします。

推奨事項

すべてのOCI Applicationsで分散トレーシングを有効にしてください。

必要な権限

  • GetApplication - APPLICATION_INSPECT

OCI Application - ロギングが無効(優先度:中)

判定基準

OCI Applicationsでロギングが有効になっているかを確認します。

説明

アプリケーションログは、デバッグ、パフォーマンス分析、セキュリティ監査、およびコンプライアンスに不可欠です。ロギングが無効な場合、問題の診断が著しく困難になります。

推奨事項

すべてのOCI Applicationsでロギングを有効にしてください。

必要な権限

  • GetApplication - APPLICATION_INSPECT

Vault

OCI Vault - キーが存在しない(優先度:中)

判定基準

仮想プライベートおよび外部タイプのVault内に、キーが保存されているかを確認します。

説明

空のVaultは、キーが削除されたか、あるいは一度も作成されていないことを示している可能性があり、このVaultを参照するサービスで暗号化が使用されていないリスクがあります。

推奨事項

空のVaultを確認し、暗号化を必要とするすべてのリソースに関連するキーが割り当てられていることを保証してください。

必要な権限

  • ListKeys - KEY_INSPECT

OCI Vault Key - 自動ローテーションが無効(優先度:高)

判定基準

Vaultキーに対して、自動キーローテーションが有効になっているかを確認します。

説明

定期的なキーのローテーションは、万が一キーが漏洩した場合の被害に遭う期間を制限します。自動ローテーションを設定することで、手動での介入なしに確実にキーを更新できます。

推奨事項

すべてのVaultキーで自動キーローテーションを有効にしてください。

必要な権限

  • GetKey - KEY_INSPECT

OCI Vault Key - ローテーション未実施(優先度:高)

判定基準

Vaultキーが、推奨される期間内(90日以内)にローテーションされているかを確認します。

説明

自動ローテーションを有効にしていても、実際にローテーションが実行されたかを検証することは極めて重要です。長期間ローテーションされていないキーは、漏洩時のリスクを高めます。

推奨事項

要求される期間内にローテーションされていないVaultキーは、ただちにローテーションを実施してください。

必要な権限

  • GetKey - KEY_INSPECT

OCI Vault Key - コスト追跡タグ未設定(優先度:情報)

判定基準

Vaultキーにコスト追跡タグが適用されているかを確認します。

説明

Vaultキーにタグを付与することで、コストの割り当てやライフサイエンスの統制が可能になります。

推奨事項

すべてのVaultキーにコスト追跡タグを適用してください。

必要な権限

  • GetKey - KEY_INSPECT

OCI Vault Key - HSM保護の未導入(優先度:中)

判定基準

Vaultキーがハードウェア・セキュリティ・モジュール(HSM)によって保護されているかを確認します。

説明

HSMで保護されたキーは、不正開封防止を備えたハードウェア内に保存されるため、機密性の高いワークロードやコンプライアンス要件に対して最高レベルのキーセキュリティを提供します。

推奨事項

機密データを保護するキーや、コンプライアンス枠組みで要求されるVaultキーには、HSM保護を使用してください。

必要な権限

  • GetKey - KEY_INSPECT

OCI Vault Key - 未使用のキー(優先度:中)

判定基準

Vaultキーが暗号化にアクティブに使用されているかを確認します。

説明

使用されていないキーは、不要なコストの発生や、キー管理のオーバーヘッドの増加につながります。未使用のキーを特定して削除することで、所有するキー資産をシンプルに維持できます。

推奨事項

どのリソースもアクティブに保護していないVaultキーを確認し、削除してください。

必要な権限

  • GetKey - KEY_INSPECT

OCI シークレット - 自動ローテーションが無効(優先度:高)

判定基準

Vaultシークレットに対して、自動ローテーションが有効になっているかを確認します。

説明

パスワード、APIキー、証明書などのシークレットは、定期的にローテーションする必要があります。自動ローテーションを導入することで、手動の手間をかけることなく、資格情報の漏洩リスクを低減できます。

推奨事項

すべてのVaultシークレットで自動ローテーションを有効にしてください。

必要な権限

  • GetSecret - SECRET_INSPECT

OCI シークレット - ローテーションの最大経過日数の超過(優先度:高)

判定基準

Vaultシークレットが、許容される最大有効期間(90日)以内にローテーションされているかを確認します。

説明

長期間変更されていないシークレットは、漏洩のリスクを高めます。シークレットの最大有効期間を強制することで、危険にさらされる期間を短縮できます。

推奨事項

許容される最大ローテーション期間を超過しているシークレットをローテーションしてください。

必要な権限

  • GetSecret - SECRET_INSPECT

OCI シークレット - ローテーションの失敗(優先度:高)

判定基準

Vaultシークレットのローテーション試行で、失敗したものがないかを確認します。

説明

ローテーションに失敗すると、シークレットに古い資格情報が残ったままになり、ローテーションのロジックが誤っている可能性があります。失敗したローテーションは原因を調査し、解決する必要があります。

推奨事項

失敗したすべてのシークレットローテーションの試行を調査し、解決してください。

必要な権限

  • GetSecret - SECRET_INSPECT

OCI シークレット - 未使用のシークレット(優先度:低)

判定基準

Vaultシークレットが、アプリケーションからアクティブに参照されているかを確認します。

説明

使用されていないシークレットの存在は、不要なシークレットの乱立を招き、アタックサーフェスを拡大させる原因になります。未使用のシークレットを削除することで、リスクを低減できます。

推奨事項

アクティブに使用されていないVaultシークレットを確認し、削除してください。

必要な権限

  • GetSecret - SECRET_INSPECT

ロードバランサ

OCI ロード・バランサ - アクセスロギングが無効(優先度:中)

判定基準

ロードバランサでアクセスロギングが有効になっているかを確認します。

説明

アクセスログは、ロードバランサによって処理されたすべてのリクエストを記録するため、セキュリティ調査やパフォーマンス分析のための監査証跡を提供します。

推奨事項

すべてのロードバランサでアクセスロギングを有効にしてください。

必要な権限

  • GetLoadBalancer - LOAD_BALANCER_INSPECT

OCI ロード・バランサ - エラーロギングが無効(優先度:中)

判定基準

ロードバランサでエラーロギングが有効になっているかを確認します。

説明

エラーログは、接続の失敗やバックエンドのヘルスチェック失敗をキャプチャします。これは、可用性の問題やセキュリティイベントを診断するために極めて重要です。

推奨事項

すべてのロードバランサでエラーロギングを有効にしてください。

必要な権限

  • GetLoadBalancer - LOAD_BALANCER_INSPECT

OCI ロード・バランサ - タグ設定のチェック(優先度:情報)

判定基準

ロードバランサに必要なタグが適用されているかを確認します。

説明

タグを設定することで、ロードバランサリソースのコスト割り当てやガバナンスが可能になります。

推奨事項

すべてのロードバランサにコスト追跡用およびガバナンス用のタグを適用してください。

必要な権限

  • GetLoadBalancer - LOAD_BALANCER_INSPECT

OCI ロード・バランサ - 削除保護が無効(優先度:高)

判定基準

ロードバランサで削除保護が有効になっているかを確認します。

説明

削除保護が有効になっていない場合、ロードバランサが誤って削除され、即座にサービス停止を引き起こす可能性があります。この保護機能は、意図しない削除を防止するためのセーフガードです。

推奨事項

すべての本番環境のロードバランサで削除保護を有効にしてください。

必要な権限

  • GetLoadBalancer - LOAD_BALANCER_INSPECT

OCI ロード・バランサ - バックエンドセットが空(優先度:高)

判定基準

ロードバランサのバックエンドセットに、少なくとも1つの正常なバックエンドが存在するかを確認します。

説明

バックエンドセットが空の場合、ロードバランサはそのセットにルーティングされたすべてのトラフィックに対してエラーを返し、完全なサービス不可を招きます。

推奨事項

すべてのバックエンドセットに、登録済みかつ正常なバックエンドが少なくとも1つ存在することを確認してください。

必要な権限

  • GetLoadBalancer - LOAD_BALANCER_INSPECT

OCI ロード・バランサ - パブリックへの公開(優先度:高)

判定基準

ロードバランサが不必要にパブリックからアクセス可能な状態になっていないかを確認します。

説明

内部サービスを提供するロードバランサをインターネットに公開すべきではありません。不必要なパブリックへの公開は、アタックサーフェスを無駄に拡大させる原因になります。

推奨事項

インターネットトラフィックを処理することが明示的に要求されていない限り、ロードバランサはプライベートに設定してください。

必要な権限

  • GetLoadBalancer - LOAD_BALANCER_INSPECT

ネットワーク・ロード・バランサ

OCI NLB - パブリックへの公開(優先度:高)

判定基準

ネットワーク・ロード・バランサが不必要にパブリックからアクセス可能な状態になっていないかを確認します。

説明

内部サービスを提供するNLBをインターネットに公開すべきではありません。不必要なパブリックへの公開は、アタックサーフェスを無駄に拡大させる原因になります。NLBは、インターネット向けのワークロードを処理することが明示的に要求されている場合のみパブリックに設定すべきです。

推奨事項

インターネットに直面することが明示的に要求されていない限り、ネットワーク・ロード・バランサはプライベートに設定してください。

必要な権限

  • GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT

OCI NLB - ソースIP保持が無効(優先度:中)

判定基準

ネットワーク・ロード・バランサでソースIP保持が有効になっているかを確認します。

説明

ソースIPを保持することで、バックエンドサービスがオリジナルのクライアントIPアドレスを識別できるようになります。これは、セキュリティログの記録、レート制限、および地理ベースのアクセス制御において極めて重要です。

推奨事項

クライアントIPの可視性が必要なネットワーク・ロード・バランサでは、ソースIP保持を有効にしてください。

必要な権限

  • GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT

OCI NLB - タグ設定のチェック(優先度:情報)

判定基準

ネットワーク・ロード・バランサに必要なタグが適用されているかを確認します。

説明

タグを設定することで、ネットワーク・ロード・バランサリソースのコスト割り当てやガバナンスが可能になります。

推奨事項

すべてのネットワーク・ロード・バランサにコスト追跡用およびガバナンス用のタグを適用してください。

必要な権限

  • GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT

OCI NLB - 対称ハッシュが無効(優先度:中)

判定基準

ネットワーク・ロード・バランサで対称ハッシュが有効になっているかを確認します。

説明

対称ハッシュは、同一のフローに属するパケットが、双方向において常に同じバックエンドへ一貫してルーティングされることを保証します。これは、ステートフルなプロトコルを扱う上で極めて重要です。

推奨事項

ステートフルなネットワークプロトコルを処理するNLBでは、対称ハッシュを有効にしてください。

必要な権限

  • GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT

OCI NLB Backend Set - バックエンドが空または単一(優先度:中)

判定基準

NLBのバックエンドセットに、2つ以上の正常なバックエンドが存在するかを確認します。

説明

バックエンドが0個または1個しか設定されていないバックエンドセットには冗長性がありません。その単一のバックエンドに障害が発生すると、サービスの可用性が完全に失われます。

推奨事項

高可用性を確保するため、各NLBバックエンドセットに少なくとも2つのバックエンドを追加してください。

必要な権限

  • GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT

OCI NLB Backend Set - フェイルオープンが無効(優先度:中)

判定基準

NLBバックエンドセットでフェイルオープンが設定されているかを確認します。

説明

セット内のすべてのバックエンドが異常になった際、フェイルオープン機能はトラフィックをドロップするのではなく、すべてのバックエンドへ強制的にルーティングします。これにより、ヘルスチェックの失敗時でもサービスの継続性を維持できます。

推奨事項

厳格なヘルスチェックの強制よりも、サービスの継続性を優先するバックエンドセットでは、フェイルオープンを有効にしてください。

必要な権限

  • GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT

OCI NLB Backend Set - インスタントフェイルオーバーが無効(優先度:中)

判定基準

NLBバックエンドセットでインスタントフェイルオーバーが有効になっているかを確認します。

説明

インスタントフェイルオーバーは、バックエンドが異常な状態になった際、通常のヘルスチェック間隔の経過を待つことなく、ただちにトラフィックを別のバックエンドへ再ルーティングします。これにより、バックエンド障害による影響時間を短縮できます。

推奨事項

バックエンド障害がエンドユーザーに与える影響を最小限に抑えるため、インスタントフェイルオーバーを有効にしてください。

必要な権限

  • GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT

インターネット・ゲートウェイ

OCI インターネット・ゲートウェイ - ルート表(ルート・テーブル)の欠落(優先度:中)

判定基準

インターネット・ゲートウェイが、関連付けられたルート表を持っているかを確認します。

説明

ルート表のエントリが存在しないインターネット・ゲートウェイは機能しておらず、ネットワークの設定誤りを示しています。適切なルーティングが設定されていない場合、インターネットとの間のトラフィックは双方向ともに流れません。

推奨事項

適切なルート規則を設定したルート表をインターネット・ゲートウェイに関連付けてください。

必要な権限

  • GetInternetGateway - INTERNET_GATEWAY_INSPECT

OCI インターネット・ゲートウェイ - 未使用(優先度:情報)

判定基準

インターネット・ゲートウェイが、ルート表によってアクティブに使用されているかを確認します。

説明

未使用のインターネット・ゲートウェイは不要なネットワークリソースであり、ネットワークトポロジをシンプルに保つために削除すべきです。

推奨事項

VCN(仮想クラウド・ネットワーク)から未使用のインターネット・ゲートウェイを削除してください。

必要な権限

  • GetInternetGateway - INTERNET_GATEWAY_INSPECT

OCI インターネット・ゲートウェイ - タグ設定のチェック(優先度:情報)

判定基準

インターネット・ゲートウェイに必要なタグが適用されているかを確認します。

説明

タグを設定することで、ネットワークリソースのガバナンスやコストの割り当てが可能になります。

推奨事項

すべてのインターネット・ゲートウェイにガバナンス用のタグを適用してください。

必要な権限

  • GetInternetGateway - INTERNET_GATEWAY_INSPECT

NATゲートウェイ

OCI NATゲートウェイ - ブロック状態のチェック(優先度:中)

判定基準

NATゲートウェイでトラフィックのブロックが有効になっているかを確認します。

説明

NATゲートウェイでブロックを有効にすると、そのゲートウェイを経由するすべての送信インターネットトラフィックが停止します。ブロック設定が意図的なものであるか、あるいは誤ってワークロードを中断させていないかを確認してください。

推奨事項

NATゲートウェイのブロックステータスを確認し、それが意図したネットワークポリシーを反映していることを保証してください。

必要な権限

  • GetNatGateway - NAT_GATEWAY_INSPECT

OCI NATゲートウェイ - ルート表(ルート・テーブル)の欠落(優先度:中)

判定基準

NATゲートウェイがルート表で参照されているかを確認します。

説明

どのルート表からも参照されていないNATゲートウェイは未使用であり、機能していません。この状態では、プライベート・インスタンスがインターネットにアクセスできなくなります。

推奨事項

NATゲートウェイを参照するルート規則を追加するか、不要な場合はNATゲートウェイを削除してください。

必要な権限

  • GetNatGateway - NAT_GATEWAY_INSPECT

OCI NATゲートウェイ - タグ設定のチェック(優先度:情報)

判定基準

NATゲートウェイに必要なタグが適用されているかを確認します。

説明

タグを設定することで、NATゲートウェイリソースのガバナンスやコストの割り当てが可能になります。

推奨事項

すべてのNATゲートウェイにガバナンス用のタグを適用してください。

必要な権限

  • GetNatGateway - NAT_GATEWAY_INSPECT

サービス・ゲートウェイ

OCI サービス・ゲートウェイ - ルート表(ルート・テーブル)の欠落(優先度:中)

判定基準

サービス・ゲートウェイがルート表で参照されているかを確認します。

説明

ルート表から参照されていないサービス・ゲートウェイは、プライベート・サブネットからOCIサービスへアクセスするために使用できません。この場合、トラフィックはインターネット経由の経路にフォールバックするか、あるいは通信自体が失敗します。

推奨事項

OCIサービスへのプライベートアクセスを有効にするために、サービス・ゲートウェイを参照するルート規則を追加してください。

必要な権限

  • GetServiceGateway - SERVICE_GATEWAY_INSPECT

OCI サービス・ゲートウェイ - ブロック状態のチェック(優先度:中)

判定基準

サービス・ゲートウェイでトラフィックのブロック(トラフィック・ブロック)が有効になっているかを確認します。

説明

サービス・ゲートウェイがブロックされていると、そのゲートウェイを経由するOCIサービスへのすべてのトラフィックが遮断されます。この設定が意図的なものであるか、またOCIサービスへの接続に依存しているワークロードに影響を与えていないかを確認してください。

推奨事項

サービス・ゲートウェイのブロックステータスを確認し、ネットワークポリシーと整合していることを保証してください。

必要な権限

  • GetServiceGateway - SERVICE_GATEWAY_INSPECT

OCI サービス・ゲートウェイ - タグ設定のチェック(優先度:低)

判定基準

サービス・ゲートウェイに必要なタグが適用されているかを確認します。

説明

タグを設定することで、サービス・ゲートウェイリソースのガバナンスやコストの割り当てが可能になります。

推奨事項

すべてのサービス・ゲートウェイにガバナンス用のタグを適用してください。

必要な権限

  • GetServiceGateway - SERVICE_GATEWAY_INSPECT

動的ルーティング・ゲートウェイ

OCI DRG - 未使用(優先度:情報)

判定基準

動的ルーティング・ゲートウェイ(DRG)が、VCN(仮想クラウド・ネットワーク)やFastConnect回線にアクティブにアタッチされているかを確認します。

説明

未使用のDRGは不要なリソースです。今後使用する予定がない場合は、管理のオーバーヘッドを軽減するために削除すべきです。

推奨事項

どのVCNや回線にもアタッチされていないDRGを削除してください。

必要な権限

  • GetDrg - DRG_INSPECT

OCI DRG - アタッチメントの停止(失効状態)(優先度:中)

判定基準

DRGアタッチメントが、劣化または停止状態になっていないかを確認します。

説明

アタッチメントの停止は、DRGと、それにアタッチされているVCNまたは回線との間に接続性の問題があることを示しています。これにより、オンプレミス環境との接続においてルーティングの失敗が発生する可能性があります。

推奨事項

停止状態のDRGアタッチメントを調査・解決し、完全な接続性を復旧させてください。

必要な権限

  • GetDrgAttachment - DRG_ATTACHMENT_INSPECT

サイト間VPN

OCI VPN - 単一トンネル(優先度:高)

判定基準

VPN接続において、少なくとも2つのトンネルが構成されているかを確認します。

説明

単一のトンネルしか構成されていないVPNは、オンプレミス環境との接続における単一障害点(SPOF)となります。デュアル(2つ)のトンネルを構成することで、トンネル障害が発生した際にも冗長性とシームレスなフェイルオーバーが提供されます。

推奨事項

高可用性を確保するため、各VPN接続に対して少なくとも2つのVPNトンネルを構成してください。

必要な権限

  • GetIPSecConnection - IPSEC_CONNECTION_INSPECT

OCI VPN - 暗号化なし(弱い暗号化設定)(優先度:中)

判定基準

VPNトンネルに強力な暗号化が構成されているかを確認します。

説明

適切な暗号化が施されていないVPNトンネルは、ネットワークトラフィックが傍受されるリスクにさらされます。すべてのVPN接続において、強力な暗号化アルゴリズムを強制する必要があります。

推奨事項

すべてのVPNトンネルプロファイルで、強力な暗号化(AES-256)を構成してください。

必要な権限

  • GetIPSecConnection - IPSEC_CONNECTION_INSPECT

OCI VPN - タグ設定のチェック(優先度:情報)

判定基準

VPN接続に必要なタグが適用されているかを確認します。

説明

タグを設定することで、VPN接続リソースのコスト割り当てやガバナンスが可能になります。

推奨事項

すべてのVPN接続にコスト追跡用およびガバナンス用のタグを適用してください。

必要な権限

  • GetIPSecConnection - IPSEC_CONNECTION_INSPECT

関連ガイド