米OracleのCSO(最高セキュリティ責任者)であるマリー・アン・デイビッドソン(Mary Ann Davidson)氏が来日、4月18日にZDNet Japanに対して米Oracleのセキュリティへの取り組みを語った。同氏は、ベータベース管理システムを中核とする米Oracle製品の品質向上を主なミッションとする。
--米Oracleはソフトベンダーだが、セキュリティ上問題のない製品を出荷するよう、CSOとして取り組んでいると思う。具体的にどのような取り組みをしているのか。
- 米OracleのCSOを務めるマリー・アン・デイビッドソン(Mary Ann Davidson)氏
データベース管理システムやアプリケーション・サーバなど米Oracle製品の脆弱性を減らすプロジェクトに取り組んでいる。製品開発プロセスは継続的に改善しており、製品の設計行程からテスト行程まで一貫して脆弱性がないかどうかを調べる体制を採っている。開発者向けに脆弱性のないプログラム開発のためのトレーニングを用意しており、開発プロジェクトに関わる技術者は、このトレーニングを受ける義務がある。
セキュリティ・ホールに対する破壊試験も出荷前に実施している。これによって、出荷後に社外のリサーチャーによって問題が新たに発見される数は、従来の約4分の1に減った。破壊試験では、例えばシステムの許容量を超えるデータを送りつけてデータを実行させるバッファ・オーバーフローや、任意のコマンドを実行してデータベースからデータを抽出するSQLインジェクションなどを起こす。
こうした製品の品質向上への取り組みは顧客のためだ。製品出荷後に当てるパッチの数を減らして顧客の運用管理負荷を減らすため、こうした取り組みをしている。
--業務システム開発と運用の現場では、安定して動いているシステムに手を入れる文化がない。セキュリティ・パッチの提供スケジュールはどうなっているのか。実際に顧客はパッチを適用するものなのか。
セキュリティに関するパッチは四半期に1度、顧客に提供している。あまりにも頻繁にパッチをリリースするとパッチを当てる余裕がないため、このタイミングにした。通常のバグフィックスのパッチとは独立したスケジュールだ。1月、4月、7月、10月というように、顧客企業の会計年度に合わせ、決算期にパッチを当てる必要のないスケジュールを組んでいる。
パッチを実際に適用するかどうかは、個々の企業のポリシー次第だ。年に1回だけと決めている顧客もいれば、パッチを即時採用するポリシーを持つ企業もいる。米Oracleにできることは、情報を提供することだ。該当するパッチを当てないことの危険度の高さやパッチを当てることによるビジネス上のインパクトを顧客が判断しやすいよう、リスク・マトリックスを提供している。これはビジネス上の意思決定を助けるものであり、おおむね好評だ。
パッチの構成は、最新のパッチが前回以前のパッチを含むようにしている。毎回パッチを当てられない顧客も、その時点で最新のパッチだけを当てればそれでよいわけだ。さらに、パッチを適用する際のコストを減らすため、ある程度自動的にパッチを当てられるように工夫している。1月に出したパッチにはマニュアルで操作する部分が残っていたが、この4月に出した最新のパッチではボタン1つでパッチを自動的に当てられるようになっている。
パッチが当たっているかどうかを調べるツールも提供済みだ。このツールはまた、パッチの適用状況だけでなく、製品をセキュリティ上、正しい設定で使っているかどうかまで調べて報告するものだ。
--脆弱性の排除というミッションのゴールは何か。
私はCSOだ。私のチームは、Oracle社内の技術者の書くコードから脆弱性がなくなるようサポートするミッションを持っている。ミッションのゴールは、私のチームがなくても技術者が完璧なコードを書くようになることだ。私が職を失えば成功と言えるだろう。