オラクル、自社製品のソースコード分析にフォーティファイの技術を利用へ

Joris Evers(CNET News.com)

2005-12-21 13:01

 かねてより、製品の安全性に関してセキュリティ研究者から批判を受けていたOracleが、バグ確認プロセスの自動化をさらに押し進めようとしている。

 Oracleは米国時間20日、同社製品のソースコードを分析し、潜在的なセキュリティ脆弱性を発見するために、Fortify Softwareの技術を利用し始めたことを明らかにした。

 OracleのチーフセキュリティオフィサーMary Ann Davidsonはインタビューの中で、Fortifyの技術の利用は、「Oracle製品の安全性を確立する目的で進めている、さまざまな取り組みの1つだ。こうした技術を採用することで、取り組みを大きく前進させることができる」と述べた。

 最近までOracleは、自社で開発したツールを用いて製品のコードを分析し、SQLインジェクションやバッファオーバーフローなどを引き起こす一般的な脆弱性の発見に努めてきた。Davidsonは、OracleではFortifyの「Source Code Analysis」製品のような包括的なツールは使用していなかったと話す。「(同ツールを利用することで)問題を発見するまでの所要時間が大幅に短縮されるだろう」(Davidson)

 Davidsonはまた、Oracleはコーディング標準の安全化を図るとともに、セキュリティおよび製品のセキュリティ監査に関するトレーニングを社員に提供していると語った。

 FortifyのSource Code Analysisは、ソースコードを精査し、脆弱性が存在しているかどうかを調べる製品だ。同ソフトウェアでは、65種類以上の脆弱性をチェックすることが可能だという。通常は、開発者が記述したコードを登録しておくサーバや、開発者のデスクトップで利用されている。

 FortifyのCEOであるJohn Jackは同製品について「Oracleのような企業が開発過程でエラーを発見/修正するのに役立つ」と述べている。

 長らく自社製品の安全性を誇ってきたOracleだが、このところ、セキュリティに対する姿勢をめぐって多くの批判を浴びるようになった。セキュリティ研究者は、同社が脆弱性に対応するのがあまりに遅く、不具合のあるセキュリティアップデートをリリースしたり、セキュリティホールを放置したりしていることも問題だと非難している。

 セキュリティ研究者で、イギリスのNext Generation Security Softwareの共同設立者でもあるDavid Litchfieldは、Oracleを声高に批判する専門家の1人だ。同氏は、OracleがFortifyの技術を採用したことを「正しい方向に向かう大きな一歩」と評価している。ただし、コードチェッカーは万能薬ではないとも、Litchfieldは述べている。

 「最良の対策は、何よりもまず安全なコードを記述することだ。ソースコードのスキャンツールは最後の手段とするべきで、いい加減で安全性の低いプログラミングを補うものにはならない」(Litchfield)

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]