European Union Restricted Access（EURA）とSaaSセキュリティ

EU内のデータセンター

Oracle EURAは、該当するOracle Fusionのカスタマー・サービスの環境が、ドイツのフランクフルトにあるプライマリのデータセンターでホストされることを保証するものです。

EUデータ・アクセス

オラクルは、サービス管理を目的にクラウド・サービスとカスタマー・データへのアクセス権限をEU内の社員のみに付与できるように、制御しています。このようなアクセス制御は、社員がEUで雇用されていることを確認するために、設計されています。また、オラクル以外の拠点からリモートでログインする場合は、インターネット・プロトコル・ベースのジオフェンシングを適用し、担当者が物理的にEU圏内にいることを検証します。

Oracle EURAは、EU内のデータセンターへのデータ・ストレージを制限し、データ・アクセス制御を適用するため、お客様はEUのデータ・レジデンシーのニーズに対応できます。

EUのデータ・レジデンシー

アップグレード版のアーキテクチャは、2023年に提供される予定です。このアーキテクチャと、欧州連合用のオラクルのソブリン・クラウド・リージョンとなる新しい厳格なガバナンス・モデルは、ソブリン・クラウドのエンティティが独立して運営され、カスタマー・データをEU外に転送されないように設計されています。Oracle EURAでホストされているユーザーは、追加のダウンタイムの発生なく、無償でソブリン・クラウドに移行されます。

EURAでは、オラクル・ソリューションで提供されているオラクルのコーポレートおよびサービス固有のコントロールだけでなく、追加のセキュリティ機能も提供されています。

Oracle Break Glass for Fusion

お客様は、Break Glass for Fusionによって、Oracle Fusion Cloud Serviceデータベースに保存されたカスタマー・データへのオラクルのアクセスを制限および制御できます。お客様は、Oracle Break Glass for Fusion Cloud Serviceによって、Oracle Fusion Cloud Service データベースへのデータレベルのアクセスに必要なパスワードへのアクセスを制御できます。Break Glassでは、オラクルの担当者はお客様からの承認がないかぎり、お客様のクラウド環境にアクセスして、問題をトラブルシューティングすることはできません。

さらに、Oracle Transparent Data Encryption (TDE) Security Cloud ServiceとOracle Database Vaultを使用することで、格納データのセキュリティを担保します。オラクルは、Oracle Fusion Cloud Serviceを使用してデータベースを操作するために、お客様のTDEマスターキーを必要としますが、お客様から提供された最新のキーのコピーのみを保持します。

• データベース内のカスタマー・データはTDEで保存時に暗号化され、アクセスは、Database Vaultでログに記録され、監査されます。
• Break Glassによるアクセスには、時間制限があります。オラクルの担当者が環境にアクセスするには、お客様の承認が必要であるため、カスタマー・データを保護できます。
• Break Glassには、一時的にしかアクセスできません。アクセス認証情報は、デフォルトの期間（通常、72時間）が経過すると、プログラムでリセットされます。
• Break Glassでは、アクセスが、監査され、ログに記録され、レポートを使用できます。

お客様はApplications ConsoleからTDEマスター暗号化鍵をアップロード、削除、またはリストアできます。

Oracle Data Masking Cloud Service

企業は、新しいアプリケーションを開発し、テストを実行し、データ分析を行うために、本番データを非本番環境にコピーする場合、機密データを漏洩するリスクがあります。しかし、実際のテストを行うためには、非本番環境のユーザーが代表的なデータセットにアクセスする必要があります。

Oracle Data Maskingは、データを非本番環境のユーザーと安全に共有できるように、元の機密データを架空のデータに置き換えて、このリスクを軽減します。

お客様はData Maskingで次のことを行うことができます。

• 機密データの急増を制限: セキュリティ脅威が増加したため、企業が機密情報の漏洩を制限する必要性は高まっています。同時に、テストや開発などの本番環境でない用途で本番データをコピーすることは、機密データの拡散、セキュリティとコンプライアンスの範囲の拡大、データ侵害の可能性を高めることにつながります。
• 必要なものを共有する: 多くの場合、企業は、さまざまな理由で本番環境のデータセットを社内外の関係者と共有する必要があります。場合によっては、本番環境のデータセット全体を共有するのではなく、情報の一部またはサブセットを抽出および共有することが効率的なこともあります。
• データ最小化の実施: GDPRなどのデータ・プライバシー規制では、データ最小化の原則を公布しています。非本番環境では、通常の本番環境のシステムより多くの権限を持つ多くのユーザーがアクセスする場合が多いです。そのため、機密情報を制限すると、このような原則に対応できます。

データベースへのアクセス制限とBYOK（Bring Your Own Key）機能によるEnterprise Performance Managementの実現

Bring your own key機能は、データベースのアクセス・キーの暗号化に使用される独自のキーをお客様に持参していただくことで、Oracle Fusion Cloud EPMのセキュリティを強化するものです。この機能は、Oracle EURA環境にプロビジョニングされたお客様だけでなく、すべてのOracle Fusion Cloud EPMのお客様が利用可能です。リレーショナル・データベース内の全データは格納時に暗号化され、お客様が提供するキーはデータベースのアクセス認証の暗号化に使用されます。このキーの管理は、お客様によって行われます。この機能は、データベースのアクセス制限機能（お客様のDBAとオラクルの開発社員によってカスタマー・データへのアクセスを制限するもの）とともに使用することができます。制限付きのデータベースのアクセス機能を有効にすると、アクセスはお客様によって制御および承認されます。お客様のデータベースへのすべてのアクセスは監査され、お客様側で確認することができます。

オラクルでは、EPMのお客様がEPMクラウド・サービスのリレーショナル・データベースに格納されているカスタマー・データに対する、オラクルによるアクセスの制限および制御できるようにしています。アクティベートされると、オラクルの担当者はお客様からの承認がないかぎり、いかなる問題もお客様のクラウド環境にアクセスしてトラブルシューティングすることはできません。

• さらに、Oracle Transparent Data Encryptionを使用して、格納データを保護します。
• リレーショナル・データベースのアクセスには、時間制限があります。オラクルの担当者が環境にアクセスするには、お客様の承認が必要であるため、カスタマー・データを保護できます。
• お客様によって承認されると、リレーショナル・データベースへのアクセスは監査およびログに記録され、アクセス・レポートがお客様のサービス管理者に提供されます。

詳細については、オラクルの営業担当者に連絡し、Oracle EURA for Oracle Fusion Applicationsについてお問い合わせください。