OCI Cloud Guard

解決する課題

バケットが公開、セキュリティリストが全開放、MFA未設定 → こうした設定ミスを人手で探すのは限界で、見落としが事故になる
不審なAPI呼び出しや異常なアクティビティ → 脅威の兆候をテナンシ横断で常時監視したい
問題を見つけても対応が属人化・後手になる → 検知から修復までをルール化して自動化したい
マルチコンパートメント・マルチリージョンの構成を一画面で俯瞰し、セキュリティ姿勢を継続的に評価したい

主要概念と用語

ターゲット（Target）: Cloud Guard が監視する範囲。コンパートメントを指定し、配下のリソースとアクティビティを評価対象にする
検出器（Detector / ディテクタ）: 問題を見つけるルールの集合。Configuration Detector（構成ミス）、Activity Detector（不審なアクティビティ）、Threat Detector（脅威・振る舞い分析）の種類がある
検出器レシピ（Detector Recipe）: 検出ルールをまとめたテンプレート。Oracle 管理のものをクローンして自社用にカスタマイズできる
対応器 / 対応器レシピ（Responder Recipe）: 検出に対して実行するアクション（バケットの公開解除、ユーザー無効化など）を定義。自動実行と手動承認を選べる
問題（Problem）: 検出器がルール違反を見つけたときに生成される検知結果。重大度（Critical / High / Medium / Low / Minor）が付く
Security Zone: 監視より一歩踏み込み、ポリシー違反となる操作を**そもそも拒否（予防）**するコンパートメント。「公開バケットを作らせない」などを強制する
Security Score / Risk Score: テナンシ全体のセキュリティ姿勢を数値化した指標
マネージドリスト（Managed List）: 許可IP・OCID などを束ねた条件リスト。検出ルールの例外や対象指定に使う

仕様・制限・クォータ

リージョン単位で有効化し、テナンシ横断で監視できる。集約・可視化を行うレポーティングリージョンを1つ選ぶ
サービス自体は追加料金なし（後述）。監視対象リソースの分だけ問題が生成される
Oracle 管理の検出器レシピ／対応器レシピは読み取り専用で、変更したい場合はクローンしてカスタマイズする
Cloud Guard が動作するには IAM ポリシーが必要。サービスへの権限委譲にはサービス連携の動的グループ的な仕組み（Cloud Guard 自身を主体とするポリシー文）を用いる
対応器の自動アクションは、対象リソースに対するCloud Guard の権限が必要。権限がなければ手動対応にとどまる
検出ルールは**条件（リスク閾値・除外リスト）**でチューニングでき、ノイズを抑えられる
数値的なクォータ（ターゲット数・問題保持期間など）はテナンシ既定があり、詳細は変動しうるため公式ドキュメントで確認する

内部の仕組み

Cloud Guard は 検出器（Detector）→ 問題（Problem）→ 対応器（Responder） という流れで動きます。

ターゲットに指定したコンパートメント配下を、検出器レシピのルールで継続的に評価する
ルールに違反する構成やアクティビティが見つかると、重大度付きの**問題（Problem）**として記録される
問題に対し、対応器レシピで定義したアクションを自動または手動承認で実行する
結果はダッシュボードに集約され、Security Score として姿勢が可視化される

構成評価は OCI の各サービスの設定をスキャンして行い、アクティビティ／脅威の検出は OCI Audit のログなどを解析して不審な振る舞いを見つけます。検出と対応はイベント駆動で連動するため、「公開されたバケットを検知したら自動で非公開に戻す」といったクローズドループを構成できます。

検知（Cloud Guard）と予防（Security Zone）の違い

**Cloud Guard は基本「検知して直す」（事後）**のサービスです。これに対し **Security Zone は「危険な操作を最初から拒否する」（事前）**仕組みで、Security Zone を適用したコンパートメントでは公開バケット作成などの違反操作そのものがブロックされます。両者は補完関係で、重要な本番コンパートメントには両方を組み合わせるのが定石です。

設計パターン / ベストプラクティス

ルートコンパートメントをターゲットにして、テナンシ全体を一度に監視対象にする（配下に継承される）
レシピはクローンしてカスタマイズする。Oracle 管理のままでなく、自社の重大度基準・除外リストを反映する
対応器は段階導入：まず手動承認で挙動を確認し、誤検知が落ち着いた高信頼ルールから自動修復へ昇格する
重要コンパートメントは Security Zone と併用し、検知だけでなく予防で違反操作を未然に防ぐ
マネージドリストで例外を一元管理し、正規の公開リソースや許可IPを登録してノイズを下げる
Events / Notifications と連携し、Critical な問題を即時に担当者へ通知する

運用・監視

ダッシュボードと Security Score でテナンシ全体の姿勢を定点観測し、スコアの悪化を追う
問題（Problem）の一覧を重大度でフィルタし、Critical / High から優先的に対処する
OCI Events に Cloud Guard の問題検知をフックし、Notifications / Functions で通知・自動連携する
自動対応が動かない場合は、Cloud Guard に委譲した IAM ポリシーと対象リソースへの権限を確認する
誤検知が多いルールは無効化ではなく条件・除外リストで調整し、検知漏れを避けつつノイズを減らす
問題を解決したらクローズ／解決済みにマークし、再発時に再検知させて運用ループを回す

コスト

Cloud Guard の標準機能（構成・アクティビティの検出、対応器、Security Zone、ダッシュボード）は追加料金なしで利用できます。AWS の Security Hub や GuardDuty が監視量に応じた従量課金であるのと異なり、まず有効化のハードルが低いのが特徴です。ただし高度な脅威検知などの拡張機能や、検出・対応の結果として連携する他サービス（Functions、Logging など）の利用には、それぞれの課金が発生します。

項目	課金	コストの考え方
Cloud Guard 標準機能	無料	構成・アクティビティ検出、対応器、ダッシュボード
Security Zone	無料	違反操作の予防的ブロック。標準で利用可能
高度な脅威検知	拡張機能として有料の場合あり	振る舞い分析など上位機能は別途確認が必要
連携先サービス	各サービスの料金	通知の Notifications、自動処理の Functions など

セキュリティ

テナンシ全体の可視化で、コンパートメントをまたいだ公開リソース・過剰権限・MFA未設定などを一元検出する
最小権限で委譲：Cloud Guard に与える権限は監視と必要な対応に絞り、対応器が不要に強い権限を持たないようにする
IAM と組み合わせる：検出は IAM の過剰権限や公開ポリシーも対象になり、IAM 設計の弱点をあぶり出す
OCI Audit と相互補完：Audit が「誰が何をしたか」の記録、Cloud Guard が「その状態が安全か・脅威か」の評価を担う
Security Zone で予防：規制対象や本番の機密データを置くコンパートメントは、検知だけでなく違反操作のブロックで守る

アンチパターン

Cloud Guard を有効化しただけで問題を放置するのは NG。検知は出ても対応器を設定せず手動対応も滞ると、可視化されているのに直らない状態になります。重大度の高いルールから対応器（自動または承認付き）を必ず紐付け、Events 連携で通知まで仕組み化してください。また特定リージョンだけ有効化してテナンシ全体を見落とすのも典型的な漏れです。

Well-Architected の観点

セキュリティ（Security）: 設定ミス・過剰権限・公開リソースを継続検出し、検知から修復までを自動化することで、テナンシ全体のセキュリティ姿勢を継続的に維持する中核サービス
IAM（アクセス制御）、Vault（暗号鍵管理）、Audit（操作記録）と役割が重ならず補完関係にあり、これらを横断的に評価して弱点を可視化する位置づけ

試験で問われるポイント

頻出

Cloud Guard は検出器（Detector）と対応器（Responder）のレシピで動き、構成ミスと脅威を検知して自動修復まで結び付けるサービスである
Oracle 管理レシピは読み取り専用で、変更するにはクローンしてカスタマイズする点
Cloud Guard ＝検知して直す（事後）、**Security Zone ＝危険な操作を拒否する（事前）**という役割の違いを区別する
監視範囲はコンパートメント（ターゲット）単位で指定し、ルートを指定すればテナンシ全体に及ぶこと
サービス自体は無料で、対応する AWS は **Security Hub（構成・統合）＋ GuardDuty（脅威検知）**に相当すること
対応器の自動修復には対象リソースへの権限が必要で、権限不足だと手動対応にとどまる点

観点	OCI Cloud Guard	AWS の対応
位置づけ	構成ミスと脅威の検知＋自動修復	Security Hub（構成・集約）＋ GuardDuty（脅威）
検知の核	検出器レシピ（構成・アクティビティ・脅威）	セキュリティ標準のチェック＋脅威インテリジェンス
自動対応	対応器レシピ（自動／手動承認）	EventBridge ＋ Lambda 等で個別構成
予防（拒否）	Security Zone で違反操作をブロック	SCP や Config ルールなどで別途構成
監視単位	コンパートメント（ターゲット）	アカウント／リージョン
データ源	各サービス構成＋ OCI Audit ログ	各サービス＋ CloudTrail/VPC Flow Logs 等
課金	標準機能は無料	監視量・イベント量に応じた従量課金

ハンズオン / CLI例

# 1. Oracle 管理の検出器レシピをクローンして自社用に作成
oci cloud-guard detector-recipe create \
  --compartment-id <compartment-ocid> \
  --display-name custom-config-detector \
  --source-detector-recipe-id <oracle-managed-recipe-ocid>

# 2. 対応器レシピをクローン（自動修復アクションのテンプレート）
oci cloud-guard responder-recipe create \
  --compartment-id <compartment-ocid> \
  --display-name custom-responder \
  --source-responder-recipe-id <oracle-managed-responder-ocid>

# 3. ターゲットを作成：監視対象コンパートメントに
#    クローンした検出器・対応器レシピを紐付ける
oci cloud-guard target create \
  --compartment-id <compartment-ocid> \
  --display-name prod-target \
  --target-resource-type COMPARTMENT \
  --target-resource-id <monitored-compartment-ocid> \
  --target-detector-recipes '[{"detectorRecipeId":"<cloned-detector-ocid>"}]' \
  --target-responder-recipes '[{"responderRecipeId":"<cloned-responder-ocid>"}]'

# 4. 検知された問題（Problem）を重大度で絞って一覧
oci cloud-guard problem list \
  --compartment-id <compartment-ocid> \
  --risk-level-query-param CRITICAL

解決する課題

主要概念と用語

仕様・制限・クォータ

内部の仕組み

設計パターン / ベストプラクティス

運用・監視

コスト

セキュリティ

Well-Architected の観点

試験で問われるポイント

関連サービス・比較

ハンズオン / CLI例

OCI Cloud Guardを実務で読む

解決すること

比較で見る軸

導入後に効く点

先に潰すリスク

判断チェックリスト

次に確認する観点