ミッションのゴールは私が職を失うこと--米OracleのCSOが来日

日川佳三(編集部) 2005年04月18日 22時12分

  • このエントリーをはてなブックマークに追加

 米OracleのCSO(最高セキュリティ責任者)であるマリー・アン・デイビッドソン(Mary Ann Davidson)氏が来日、4月18日にZDNet Japanに対して米Oracleのセキュリティへの取り組みを語った。同氏は、ベータベース管理システムを中核とする米Oracle製品の品質向上を主なミッションとする。

--米Oracleはソフトベンダーだが、セキュリティ上問題のない製品を出荷するよう、CSOとして取り組んでいると思う。具体的にどのような取り組みをしているのか。

米OracleのCSOを務めるマリー・アン・デイビッドソン(Mary Ann Davidson)氏

 データベース管理システムやアプリケーション・サーバなど米Oracle製品の脆弱性を減らすプロジェクトに取り組んでいる。製品開発プロセスは継続的に改善しており、製品の設計行程からテスト行程まで一貫して脆弱性がないかどうかを調べる体制を採っている。開発者向けに脆弱性のないプログラム開発のためのトレーニングを用意しており、開発プロジェクトに関わる技術者は、このトレーニングを受ける義務がある。

 セキュリティ・ホールに対する破壊試験も出荷前に実施している。これによって、出荷後に社外のリサーチャーによって問題が新たに発見される数は、従来の約4分の1に減った。破壊試験では、例えばシステムの許容量を超えるデータを送りつけてデータを実行させるバッファ・オーバーフローや、任意のコマンドを実行してデータベースからデータを抽出するSQLインジェクションなどを起こす。

 こうした製品の品質向上への取り組みは顧客のためだ。製品出荷後に当てるパッチの数を減らして顧客の運用管理負荷を減らすため、こうした取り組みをしている。

--業務システム開発と運用の現場では、安定して動いているシステムに手を入れる文化がない。セキュリティ・パッチの提供スケジュールはどうなっているのか。実際に顧客はパッチを適用するものなのか。

 セキュリティに関するパッチは四半期に1度、顧客に提供している。あまりにも頻繁にパッチをリリースするとパッチを当てる余裕がないため、このタイミングにした。通常のバグフィックスのパッチとは独立したスケジュールだ。1月、4月、7月、10月というように、顧客企業の会計年度に合わせ、決算期にパッチを当てる必要のないスケジュールを組んでいる。

 パッチを実際に適用するかどうかは、個々の企業のポリシー次第だ。年に1回だけと決めている顧客もいれば、パッチを即時採用するポリシーを持つ企業もいる。米Oracleにできることは、情報を提供することだ。該当するパッチを当てないことの危険度の高さやパッチを当てることによるビジネス上のインパクトを顧客が判断しやすいよう、リスク・マトリックスを提供している。これはビジネス上の意思決定を助けるものであり、おおむね好評だ。

 パッチの構成は、最新のパッチが前回以前のパッチを含むようにしている。毎回パッチを当てられない顧客も、その時点で最新のパッチだけを当てればそれでよいわけだ。さらに、パッチを適用する際のコストを減らすため、ある程度自動的にパッチを当てられるように工夫している。1月に出したパッチにはマニュアルで操作する部分が残っていたが、この4月に出した最新のパッチではボタン1つでパッチを自動的に当てられるようになっている。

 パッチが当たっているかどうかを調べるツールも提供済みだ。このツールはまた、パッチの適用状況だけでなく、製品をセキュリティ上、正しい設定で使っているかどうかまで調べて報告するものだ。

--脆弱性の排除というミッションのゴールは何か。

 私はCSOだ。私のチームは、Oracle社内の技術者の書くコードから脆弱性がなくなるようサポートするミッションを持っている。ミッションのゴールは、私のチームがなくても技術者が完璧なコードを書くようになることだ。私が職を失えば成功と言えるだろう。

  • このエントリーをはてなブックマークに追加
関連キーワード
開発

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化