ミッションのゴールは私が職を失うこと--米OracleのCSOが来日

日川佳三(編集部) 2005年04月18日 22時12分

  • このエントリーをはてなブックマークに追加

 米OracleのCSO(最高セキュリティ責任者)であるマリー・アン・デイビッドソン(Mary Ann Davidson)氏が来日、4月18日にZDNet Japanに対して米Oracleのセキュリティへの取り組みを語った。同氏は、ベータベース管理システムを中核とする米Oracle製品の品質向上を主なミッションとする。

--米Oracleはソフトベンダーだが、セキュリティ上問題のない製品を出荷するよう、CSOとして取り組んでいると思う。具体的にどのような取り組みをしているのか。

米OracleのCSOを務めるマリー・アン・デイビッドソン(Mary Ann Davidson)氏

 データベース管理システムやアプリケーション・サーバなど米Oracle製品の脆弱性を減らすプロジェクトに取り組んでいる。製品開発プロセスは継続的に改善しており、製品の設計行程からテスト行程まで一貫して脆弱性がないかどうかを調べる体制を採っている。開発者向けに脆弱性のないプログラム開発のためのトレーニングを用意しており、開発プロジェクトに関わる技術者は、このトレーニングを受ける義務がある。

 セキュリティ・ホールに対する破壊試験も出荷前に実施している。これによって、出荷後に社外のリサーチャーによって問題が新たに発見される数は、従来の約4分の1に減った。破壊試験では、例えばシステムの許容量を超えるデータを送りつけてデータを実行させるバッファ・オーバーフローや、任意のコマンドを実行してデータベースからデータを抽出するSQLインジェクションなどを起こす。

 こうした製品の品質向上への取り組みは顧客のためだ。製品出荷後に当てるパッチの数を減らして顧客の運用管理負荷を減らすため、こうした取り組みをしている。

--業務システム開発と運用の現場では、安定して動いているシステムに手を入れる文化がない。セキュリティ・パッチの提供スケジュールはどうなっているのか。実際に顧客はパッチを適用するものなのか。

 セキュリティに関するパッチは四半期に1度、顧客に提供している。あまりにも頻繁にパッチをリリースするとパッチを当てる余裕がないため、このタイミングにした。通常のバグフィックスのパッチとは独立したスケジュールだ。1月、4月、7月、10月というように、顧客企業の会計年度に合わせ、決算期にパッチを当てる必要のないスケジュールを組んでいる。

 パッチを実際に適用するかどうかは、個々の企業のポリシー次第だ。年に1回だけと決めている顧客もいれば、パッチを即時採用するポリシーを持つ企業もいる。米Oracleにできることは、情報を提供することだ。該当するパッチを当てないことの危険度の高さやパッチを当てることによるビジネス上のインパクトを顧客が判断しやすいよう、リスク・マトリックスを提供している。これはビジネス上の意思決定を助けるものであり、おおむね好評だ。

 パッチの構成は、最新のパッチが前回以前のパッチを含むようにしている。毎回パッチを当てられない顧客も、その時点で最新のパッチだけを当てればそれでよいわけだ。さらに、パッチを適用する際のコストを減らすため、ある程度自動的にパッチを当てられるように工夫している。1月に出したパッチにはマニュアルで操作する部分が残っていたが、この4月に出した最新のパッチではボタン1つでパッチを自動的に当てられるようになっている。

 パッチが当たっているかどうかを調べるツールも提供済みだ。このツールはまた、パッチの適用状況だけでなく、製品をセキュリティ上、正しい設定で使っているかどうかまで調べて報告するものだ。

--脆弱性の排除というミッションのゴールは何か。

 私はCSOだ。私のチームは、Oracle社内の技術者の書くコードから脆弱性がなくなるようサポートするミッションを持っている。ミッションのゴールは、私のチームがなくても技術者が完璧なコードを書くようになることだ。私が職を失えば成功と言えるだろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
開発

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算