OCI の Cloud Guard と Security Zones の違いは?
両者はどちらも OCI のセキュリティ姿勢(Security Posture)を守るためのサービスですが、 役割が 「検知(Detective)」と「予防(Preventive)」 で明確に分かれます。 Cloud Guard はテナンシ全体を継続的に監視し、設定ミスや不審なアクティビティを 検知して通知・自動修正する仕組みです。 一方 Security Zones は指定した Compartment に対して「やってはいけない構成」を ポリシーで定義し、違反する操作を 作成・変更の時点でブロックします。 Security Zones の違反検知は内部的に Cloud Guard を利用するため、 Cloud Guard を先に有効化した上で両者を併用するのが Oracle 推奨の構成です。
Cloud Guard:検知して通知・是正する「監視カメラ」
Cloud Guard は OCI のリソース設定やオペレーター・ユーザーのアクティビティを継続的に調べ、 セキュリティ上の弱点やリスクのある操作を 検知(detect) するクラウドネイティブサービスです。 検知後は設定に応じて、推奨アクションの提示・支援・自動的な是正(corrective action)を行います。
Cloud Guard は次の要素で構成されます。
- Target(ターゲット):監視対象とする Compartment。配下を再帰的にスキャンします。
- Detector Recipe(ディテクター・レシピ):何を「問題」とみなすかのルール集。 設定ミスを見る Configuration Detector、不審な操作を見る Activity Detector、脅威を見る Threat Detector などがあります。
- Problem(プロブレム):Detector が検出したリスクそのもの。コンソールで一覧・管理します。
- Responder Recipe(レスポンダー・レシピ):Problem に対する応答。通知(Event/Notifications 連携)や、 リソースの自動修正アクションを実行します。
ポイントは、Cloud Guard は あくまで事後検知ベースであり、危険な操作そのものをリアルタイムに止めるわけではない点です。 「公開されてしまったバケット」を見つけて知らせ、場合によっては自動で非公開に戻す——これが Cloud Guard の役割です。 監視範囲はリージョンを横断してテナンシ全体に及びます。
Security Zones:違反操作を拒否する「ガードレール」
Security Zone は 1 つ以上の Compartment と Security Zone Recipe を関連付けたものです。 その Compartment 内でリソースを作成・更新しようとすると、OCI はその操作を Recipe 内の Security Zone Policy に照らして検証し、ポリシーに 1 つでも違反すれば操作を拒否(deny) します。
ポリシーは Oracle が用意する Maximum Security Recipe を基本とし、例えば次のような「やってはいけないこと」を強制します。
- パブリックサブネットやインターネットに公開された Object Storage バケットの作成を禁止する
- 暗号化されていない Block Volume / Boot Volume の作成を禁止する
- 顧客管理キー(customer-managed key)以外での暗号化を禁止する
- Security Zone 外の Compartment へリソースを移動することを禁止する
つまり Security Zones は 操作の時点で物理的にブロックする予防的ガードレールであり、 対象は指定した Compartment 配下に限定されます。本番環境など「絶対に設定ミスを許したくない」範囲に適用するのが典型的な使い方です。
両者の関係:Cloud Guard が Security Zones を下支えする
Security Zones は 既存リソースのポリシー違反検知に Cloud Guard を利用します。 Security Zone は「新規作成・変更」をブロックしますが、Zone を設定する 前から存在していたリソースは 既にそこにあるため、作成時ブロックの対象になりません。その既存リソースの違反を見つけるのが Cloud Guard です。 そのため Oracle のドキュメントでは Security Zone を作成する前に Cloud Guard を有効化しておくことが前提とされています。
ひとことで整理すると次のようになります。
Cloud Guard : 問題を「見つけて知らせる / 直す」(検知 = Detective)
Security Zones : 問題を「そもそも起こさせない」 (予防 = Preventive)比較表
| 観点 | Cloud Guard | Security Zones |
|---|---|---|
| アプローチ | 検知(Detective) | 予防(Preventive) |
| 作用するタイミング | 操作後にスキャンで検出 | 操作時に検証してブロック |
| 違反した操作の扱い | 許可される(Problem として検出) | 拒否される(deny) |
| 対象範囲 | テナンシ全体(リージョン横断) | 指定した Compartment 配下 |
| 主な構成要素 | Target / Detector / Problem / Responder | Security Zone / Recipe / Policy |
| 既存リソースへの効果 | スキャンして検出できる | 作成時ブロックのため対象外(検知は Cloud Guard に依存) |
どう使い分けるか
両者は競合するものではなく 補完関係にあります。 テナンシ全体には Cloud Guard を有効化して継続的な可視性とアラートを確保し、 本番環境など特にミスを許さない Compartment には Security Zones を被せて 危険な構成変更を未然に防ぐ——という二段構えが基本方針です。 「広く監視する Cloud Guard」と「狭く厳しく守る Security Zones」と覚えると整理しやすくなります。