米Oracle、CSOのブログ投稿削除か――顧客による「リバースエンジニアリング」は、善意でも知的財産権侵害と主張する内容顧客の安全より知的財産の保護を優先?

2015年8月10日(米国時間)に、米Oracleのブログに同社のCSOが投稿した記事の内容が、Twitter上などで物議を醸している。

» 2015年08月12日 17時29分 公開
[@IT]

 2015年8月10日(米国時間)に、米Oracleが運営するブログコミュニティである「Oracle Blogs」に同社のCSO(セキュリティ最高責任者)であるMary Ann Davidson氏が投稿した記事の内容が、Twitter上などで物議を醸している。

 「No, You Really Can’t」と題された同記事はすでに削除されているが、その中にはOracleの顧客が同社製品の脆弱性を発見するために、自身で、あるいはコンサルタントの手を借りて「リバースエンジニアリング」を行う事例が増えていることに対し、「ライセンス条項に違反する」と指摘する内容が含まれていた。

 記事の中でDavidson氏は、「全てのリバースエンジニアリングを顧客自身が行っているわけではなく、中にはコンサルタントが他の製品をアピールするためにOracle製品のスキャン結果のリポートを提供している例もある」としながら、「顧客自身が行ったにせよ、コンサルタントが行ったにせよ、ライセンス条項に違反することに変わりはない」と述べ、脆弱性の報告の際には「スキャンツールなどのリポートを提出するのではなく、テストケースとともにサービスリクエストを上げてほしい」と訴えていた。

 また「製品のゼロデイ脆弱性を見つけようとする前に、重要なデータの暗号化や関連パッチの適用などの“通常の”セキュリティ対策を行うことで、多くの情報漏えいは防げる」とも述べ、「スキャンツールを走らせるよりも、保証についてベンダーに質問したり、『FIPS-140 (Federal Information Processing Standardization 140)』などの認証を受けているかを確認したりするなど、できることはたくさんある」と主張していた。

 記事後半の「FAQ風の説明」と題された部分では、「悪意ある人間がライセンス条項など気にせずにリバースエンジニアリングを行っているのに、どうして善意に基づく顧客の行動を制限するのか」という質問に対して、「ライセンス条項はOracleの知的財産を保護するために存在しており、例え善意に基づくものであっても、違反行為は容認できない」といった回答がなされていた。「脆弱性に対する懸賞金制度を実施してはどうか」という質問に対しては、「多くの企業が懸命に懸賞金制度を打ち出しているが、わたしたちはほとんどの脆弱性を自分たちで発見することができている」という回答が返されていた。

 同記事は公開後にTwitterなどで話題となったが、その後削除された。海外メディアの報道によれば、Oracle副社長のEdward Screven氏からメディア宛てに「この投稿の内容は、わたしたちの信念や、顧客との関係に反するものだ」との声明が送付されたという。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。