オラクルCSOに聞く、パッチの四半期提供を始めた理由は?

2005/4/19

 企業情報システムにおけるセキュリティ保護の重要性が増している。セキュリティの脅威は、単にシステムの被害だけでなく、情報漏えいによる企業イメージの低下などビジネス・リスクとなっている。国内では4月に「個人情報保護法」が施行され、その流れは加速している。セキュリティを重要視する顧客企業に対して、ソフトウェアを開発するベンダはどう答えるのか。米オラクルの最高セキュリティ責任者(CSO)で、オラクル製品のセキュリティ対策を統括するマリー・アン・デイビッドソン(Mary Ann DAVIDSON)氏に聞いた。


――データベース製品、アプリケーションサーバ製品などの開発プロセスでセキュリティをどう向上させているのか。

デイビッドソン氏 開発プロセスは常に改善している。機能設計とテストのスペックの両方に、セキュリティの確認を設けて、確実にチェックしている。また、「セキュア・コーディング・プラクティス」と呼ぶクラスをつくり、開発者がセキュアな開発をできるようトレーニングを実施している。オラクルの開発者は必ずこのトレーニングを受けなければならない。上級の管理職も対象となる。

米オラクルの最高セキュリティ責任者(CSO) マリー・アン・デイビッドソン氏

 重要視しているのはテストだ。開発プロセスでは、セキュリティに対する“破壊試験”を追加した。バッファオーバーフローやSQLインジェクションアタックなどを事前に製品に実施して、テストしている。この取り組みによって、製品出荷後に発見される脆弱性は以前の4分の1になり、外部による脆弱性の発見は減っている。セキュリティ向上のためのツールも開発している。開発中のコードを毎晩、自動でスキャンして(セキュリティ上の問題となる)バッドコードがないかどうかを調べる。

――これらの取り組みでパッチの提供数は減っているのか。

デイビッドソン氏 私たちが意図しているのはまさしくパッチを減らすことだ。リリース後にパッチを適用するのはベンダにとっても、顧客にとってもコストがかかる。パッチを必ず適用しないといけないような状況はできるだけなくして、最初から堅牢な製品を作るのが理想だ。

――四半期ごとのパッチのリリースを始めた理由は?

デイビッドソン氏 四半期ごとのパッチのリリースは、リリースのスケジュールを知りたい、高品質なパッチを適用したいという顧客のニーズがあったからだ。四半期に一度であれば、いくつものパッチをバンドルして適用でき、顧客の作業が一度で済む。また、テストを複数のパッチに渡って行っているので、信頼性が高い。

 四半期に一度と決めたのは、ある程度の頻度でパッチをリリースしないと脆弱性ができてしまう、またあまりにリリースが多いと作業負荷が多くなる、この2つのバランスを取ったからだ。パッチを当てるかどうかは、顧客のビジネス上の決定。パッチを当てることのコストと、当てないことによるリスクのバランスを考える必要がある。

 オラクルは、四半期リリースにしてから「リスク・マトリックス」を提供している。これは、脆弱性の性質、悪用された場合の危険、範囲などビジネス上の意思決定のための情報を掲載している。パッチ適用に関する顧客の決定を支援し、コスト削減につなげられる。

 ある顧客はすべてのサーバにパッチを当てると1000万〜3000万ドルがかかるといっていた。しかし、適切な情報がオラクルからもらえれば、30分で、どのサーバに、どの順序で当てるのかを判断でき、コストを下げることができるといっていた。リスク・マトリックスはこのような効果を期待している。

――顧客のシステムをセキュアにするための支援は考えているか。

デイビッドソン氏 コード・プラクティスを作ったときに、顧客にもニーズがあると思った。ただ、まずはオラクルの開発者に提供し、それが落ち着いたら顧客に提供したいと考えている。というのは、オラクル特有の内容があるからだ。また、ピープルソフトは特定のクラスの脆弱性を見つけるツールを開発している。このツールは顧客の環境でも利用可能だ。オラクル製品として、もっと汎用的に使えないかと検討している。

(@IT 垣内郁栄)

[関連リンク]
日本オラクル

[関連記事]
オラクルにとってアプリケーションサーバとは何か (@ITNews)
ミドルウェア統合にSOA、「Oracle 10g R2」の狙いを読み解く (@ITNews)
アプリケーションサーバからみるオラクルの戦略 (@ITNews)
「Oracle 10g Release 2」が登場、注目はSOA対応 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)