ミッションのゴールは私が職を失うこと--米OracleのCSOが来日

日川佳三(編集部)

2005-04-18 22:12

 米OracleのCSO(最高セキュリティ責任者)であるマリー・アン・デイビッドソン(Mary Ann Davidson)氏が来日、4月18日にZDNet Japanに対して米Oracleのセキュリティへの取り組みを語った。同氏は、ベータベース管理システムを中核とする米Oracle製品の品質向上を主なミッションとする。

--米Oracleはソフトベンダーだが、セキュリティ上問題のない製品を出荷するよう、CSOとして取り組んでいると思う。具体的にどのような取り組みをしているのか。

米OracleのCSOを務めるマリー・アン・デイビッドソン(Mary Ann Davidson)氏

 データベース管理システムやアプリケーション・サーバなど米Oracle製品の脆弱性を減らすプロジェクトに取り組んでいる。製品開発プロセスは継続的に改善しており、製品の設計行程からテスト行程まで一貫して脆弱性がないかどうかを調べる体制を採っている。開発者向けに脆弱性のないプログラム開発のためのトレーニングを用意しており、開発プロジェクトに関わる技術者は、このトレーニングを受ける義務がある。

 セキュリティ・ホールに対する破壊試験も出荷前に実施している。これによって、出荷後に社外のリサーチャーによって問題が新たに発見される数は、従来の約4分の1に減った。破壊試験では、例えばシステムの許容量を超えるデータを送りつけてデータを実行させるバッファ・オーバーフローや、任意のコマンドを実行してデータベースからデータを抽出するSQLインジェクションなどを起こす。

 こうした製品の品質向上への取り組みは顧客のためだ。製品出荷後に当てるパッチの数を減らして顧客の運用管理負荷を減らすため、こうした取り組みをしている。

--業務システム開発と運用の現場では、安定して動いているシステムに手を入れる文化がない。セキュリティ・パッチの提供スケジュールはどうなっているのか。実際に顧客はパッチを適用するものなのか。

 セキュリティに関するパッチは四半期に1度、顧客に提供している。あまりにも頻繁にパッチをリリースするとパッチを当てる余裕がないため、このタイミングにした。通常のバグフィックスのパッチとは独立したスケジュールだ。1月、4月、7月、10月というように、顧客企業の会計年度に合わせ、決算期にパッチを当てる必要のないスケジュールを組んでいる。

 パッチを実際に適用するかどうかは、個々の企業のポリシー次第だ。年に1回だけと決めている顧客もいれば、パッチを即時採用するポリシーを持つ企業もいる。米Oracleにできることは、情報を提供することだ。該当するパッチを当てないことの危険度の高さやパッチを当てることによるビジネス上のインパクトを顧客が判断しやすいよう、リスク・マトリックスを提供している。これはビジネス上の意思決定を助けるものであり、おおむね好評だ。

 パッチの構成は、最新のパッチが前回以前のパッチを含むようにしている。毎回パッチを当てられない顧客も、その時点で最新のパッチだけを当てればそれでよいわけだ。さらに、パッチを適用する際のコストを減らすため、ある程度自動的にパッチを当てられるように工夫している。1月に出したパッチにはマニュアルで操作する部分が残っていたが、この4月に出した最新のパッチではボタン1つでパッチを自動的に当てられるようになっている。

 パッチが当たっているかどうかを調べるツールも提供済みだ。このツールはまた、パッチの適用状況だけでなく、製品をセキュリティ上、正しい設定で使っているかどうかまで調べて報告するものだ。

--脆弱性の排除というミッションのゴールは何か。

 私はCSOだ。私のチームは、Oracle社内の技術者の書くコードから脆弱性がなくなるようサポートするミッションを持っている。ミッションのゴールは、私のチームがなくても技術者が完璧なコードを書くようになることだ。私が職を失えば成功と言えるだろう。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]