| エンタープライズ:ニュース | 2003/02/28 19:53:00 更新 |
基調講演:「企業のDNAにセキュリティを」とオラクルのデイビッドソンCSO
日本オラクルは2月28日、都内のホテルにて「Oracle Unbreakale Summit」を開催した。顧客に向けた約束“Unbreakable”において、セキュリティは重要な要素である。この課題に対し、オラクルはどのように取り組んでいるのか、同社最高セキュリティ責任者のマリー・アン・デイビッドソン氏が語った。
「なぜ業界は、セキュリティに関する問題を解決できていないのだろうか。結局は企業文化、つまりは企業のDNAに起因する。プロセスや人員も重要だが、それ以上に、企業のDNSの中にセキュリティを組み入れ、従業員各々がセキュリティに対する責任を持つようにしていく必要がある」
2月28日、「Unbreakable」をテーマとしたその名も「Oracle Unbreakale Summit」において、米オラクルのCSO(Chief Security Officer:最高セキュリティ責任者)マリー・アン・デイビッドソン氏はこのように語った。
「あらゆる企業が、“われわれの製品は安全です”という。しかし実際には……」とデイビッドソンCSO
この日行われた基調講演のテーマは、「Can't break it」(止まらない)と、「Can't break in」(侵入されない、安全である)の2本立て。デイビッドソン氏はこのうち後半の「Can't break in」担当だ。
同氏は、今や情報セキュリティが以前にも増して重要になっており、多くの人の関心事にもなっているにもかかわらず、問題が山積しているのが現状だと指摘。これを解決するには、企業のあらゆる部分――製品開発プロセスから社員の意識に至るまで――に、セキュリティ思考を組み込んでいかなければならないと述べた。
「セキュリティに完璧はありえない。しかしながら、より“Unbreakable”に近づけ、侵入されにくくすることならばできる」(デイビッドソン氏)。そのためにはリスク管理とプランニング、ソーシャルエンジニアリング対策も含めた社員に対する啓蒙活動などを通じ、社内横断的にセキュリティを考え、取り組んでいく必要があるという。
オラクル自身の取り組み
では、オラクル自身はどうなのか。
「主要な製品全てについて、安全な開発プロセスを適用するだけでなく、ツールなど、それ以外の部分についても安全なプロセスと環境の下で取り組んでいる。さらに、開発プロセスそのものの継続的な改善も行っている」とデイビッドソン氏は述べる。
例えば製品開発時には、新機能の追加によってセキュリティに悪影響が生じることのないよう連日チェックを行うほか、適宜セキュリティに特化したテストを実施しているとのこと。開発段階であらかじめ徹底的に脆弱性を洗い出し、それを修正しない限りは次のステップへは進まない仕組みを採っているということだ。これだと、出荷後にセキュリティホールが見つかり、それを修正するためにパッチを提供するというアプローチに比べ、コストはずっと安くなるという。しかも、一連のプロセスで得られたノウハウやベストプラクティスを、次なる改善に結びつけることができるというメリットもある。
こうした一連の取り組みを担保するのが、ISO 15408をはじめとする各種セキュリティ評価・認定基準だ。同社の主力製品、「Oracle9i Database Release 2」は、Common Criteria(ISO 15408)のEAL4認定を取得済み。第三者機関によるこうした評価が、製品のセキュリティ品質を保証するとデイビッドソン氏は述べる。
「“自社製品は安全です”と喧伝しない企業は存在しない。だが実際には、その製品は安全でないこともある」(デイビッドソン氏)。同氏は、製品そのものに加え開発プロセスまでを含んだ認定・評価制度の意義を強調し、その取得はソフトウェア製品にとっての最低条件だとした。
さらに同氏は、オラクルでは、事前のテストでも見つからなかった深刻な脆弱性に対するパッチの発行と通知、デフォルト状態でのセキュリティ設定強化などにも取り組んでいると述べている。
「常々、オラクル自身のDNAをどのように変え、セキュリティを根付かせていくかについて考えている」というデビットソン氏。同氏によれば、セキュリティは継続的な取り組みでもある。
「サンフランシスコのゴールデンゲートブリッジにはペンキ塗り専門のスタッフがおり、一方からもう片方まで、繰り返し繰り返しペンキを塗っている。セキュリティも同じこと。常に改善に改善を重ねていく必要がある」(同氏)。そして、こうした同社の取り組みが、顧客へのコミットメント、すなわち「Unbreakable」につながるとした。
だがまずそのためには、初めからセキュリティを考えに入れておかねばならない。「最初から組み入れていないのに、後から構築することはできない。開発の段階でセキュリティを組み込んでおく必要がある」(デイビッドソン氏)。
関連記事
「Unbreakableなエンタープライズは実現可能か」――オラクル担当者らがディスカッション「東京版」OracleWorld連続イベントレポート関連リンク
日本オラクル[高橋睦美,ITmedia]
