ミッションのゴールは私が職を失うこと--米OracleのCSOが来日

日川佳三(編集部) 2005年04月18日 22時12分

  • このエントリーをはてなブックマークに追加

 米OracleのCSO(最高セキュリティ責任者)であるマリー・アン・デイビッドソン(Mary Ann Davidson)氏が来日、4月18日にZDNet Japanに対して米Oracleのセキュリティへの取り組みを語った。同氏は、ベータベース管理システムを中核とする米Oracle製品の品質向上を主なミッションとする。

--米Oracleはソフトベンダーだが、セキュリティ上問題のない製品を出荷するよう、CSOとして取り組んでいると思う。具体的にどのような取り組みをしているのか。

米OracleのCSOを務めるマリー・アン・デイビッドソン(Mary Ann Davidson)氏

 データベース管理システムやアプリケーション・サーバなど米Oracle製品の脆弱性を減らすプロジェクトに取り組んでいる。製品開発プロセスは継続的に改善しており、製品の設計行程からテスト行程まで一貫して脆弱性がないかどうかを調べる体制を採っている。開発者向けに脆弱性のないプログラム開発のためのトレーニングを用意しており、開発プロジェクトに関わる技術者は、このトレーニングを受ける義務がある。

 セキュリティ・ホールに対する破壊試験も出荷前に実施している。これによって、出荷後に社外のリサーチャーによって問題が新たに発見される数は、従来の約4分の1に減った。破壊試験では、例えばシステムの許容量を超えるデータを送りつけてデータを実行させるバッファ・オーバーフローや、任意のコマンドを実行してデータベースからデータを抽出するSQLインジェクションなどを起こす。

 こうした製品の品質向上への取り組みは顧客のためだ。製品出荷後に当てるパッチの数を減らして顧客の運用管理負荷を減らすため、こうした取り組みをしている。

--業務システム開発と運用の現場では、安定して動いているシステムに手を入れる文化がない。セキュリティ・パッチの提供スケジュールはどうなっているのか。実際に顧客はパッチを適用するものなのか。

 セキュリティに関するパッチは四半期に1度、顧客に提供している。あまりにも頻繁にパッチをリリースするとパッチを当てる余裕がないため、このタイミングにした。通常のバグフィックスのパッチとは独立したスケジュールだ。1月、4月、7月、10月というように、顧客企業の会計年度に合わせ、決算期にパッチを当てる必要のないスケジュールを組んでいる。

 パッチを実際に適用するかどうかは、個々の企業のポリシー次第だ。年に1回だけと決めている顧客もいれば、パッチを即時採用するポリシーを持つ企業もいる。米Oracleにできることは、情報を提供することだ。該当するパッチを当てないことの危険度の高さやパッチを当てることによるビジネス上のインパクトを顧客が判断しやすいよう、リスク・マトリックスを提供している。これはビジネス上の意思決定を助けるものであり、おおむね好評だ。

 パッチの構成は、最新のパッチが前回以前のパッチを含むようにしている。毎回パッチを当てられない顧客も、その時点で最新のパッチだけを当てればそれでよいわけだ。さらに、パッチを適用する際のコストを減らすため、ある程度自動的にパッチを当てられるように工夫している。1月に出したパッチにはマニュアルで操作する部分が残っていたが、この4月に出した最新のパッチではボタン1つでパッチを自動的に当てられるようになっている。

 パッチが当たっているかどうかを調べるツールも提供済みだ。このツールはまた、パッチの適用状況だけでなく、製品をセキュリティ上、正しい設定で使っているかどうかまで調べて報告するものだ。

--脆弱性の排除というミッションのゴールは何か。

 私はCSOだ。私のチームは、Oracle社内の技術者の書くコードから脆弱性がなくなるようサポートするミッションを持っている。ミッションのゴールは、私のチームがなくても技術者が完璧なコードを書くようになることだ。私が職を失えば成功と言えるだろう。

  • このエントリーをはてなブックマークに追加
関連キーワード
開発

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化