| エンタープライズ:インタビュー | 2003/02/28 21:11:00 更新 |
Interview:オラクルには確固たるセキュリティ文化がある
今週いっぱいをかけて展開された「東京版」Oracle Worldに合わせ、オラクル内外のセキュリティを統括するマリー・アン・デイビッドソン氏が来日した。実はオラクルのCSO職は、彼女自身の「責任を持ってセキュリティに当たる人間が必要だ」という提案を容れて設けられたものだという。
今年1月末、マイクロソフトのSQL Serverに存在した既知のセキュリティホールを狙った「Slammer」ワームが蔓延し、ネットワークに大きな影響を与えた。まだ記憶に新しいこの事件をきっかけに、重要な資産、すなわち「データ」の格納庫であるデータベースのセキュリティ品質についての関心も、にわかに高まってきたようだ。
実はオラクルでは、1年半に渡って展開している「Unbreakable」キャンペーンの一環として、セキュリティへの取り組みを推進してきた。同社は今、セキュリティ向上のためにどのような活動を行っているのか。そして「Unbreakable」なエンタープライズを実現するために必要なこととは何か。このたび初来日した米オラクルのCSO(最高セキュリティ責任者)、マリー・アン・デイビッドソン氏に聞いた。
実は「日本は初めて」というデイビッドソン氏
ZDNet そもそもCSOという地位に就いたきっかけは何ですか?
デイビットソン 私はオラクル初代のCSOに就任しましたが、実は前々から、経営陣に対し、こうした役割が必要だということを提案していました。製品の脆弱性をチェックするハッカーチームは以前から組織されていましたが、それにとどまらず、セキュリティポリシーに沿って、権限を持ってセキュリティを担う役割が必要だと考えていたからです。それが受け入れられ、結果として私にオファーが来たというわけです。
ZDNet セキュリティ全般に対する関心が一気に高まったきっかけは、昨年米国で発生した連続テロ事件ですが、それ以前よりセキュリティを意識してきたと?
デイビットソン そういうことになります。元々オラクルには創設当初から、情報・防衛関係のようにセキュリティに対する意識の高い顧客がありました。今では、数多くの企業から、セキュリティに関する質問を受けるようになっています。ビジネスが「e-ビジネス」になるにつれて、セキュリティがクリティカルな問題であることの認識が高まってきたからです。
オラクルのセキュリティにおけるアドバンテージとしては、セキュリティが企業文化になっていることが挙げられます。元はといえば、データを守ることから事業がスタートしたわけですから、われわれは常にセキュリティの必要性を意識してきました。こうした製品の性質、それに顧客の性質があったからこそ、オラクルには非常に確固たるセキュリティ文化があるのです。
最近ではマイクロソフトも、セキュリティに対する取り組みを強化しているようですが、彼らのルーツはクライアント向け製品にあります。クライアント製品の場合、当初は、情報を保護する必要はそれほど考えられなかったはずです。
ZDNet では、具体的な取り組みとしてはどんな事柄が挙げられるでしょう?
デイビッドソン これまでの10年あまりにわたって、正式なセキュリティ評価を実施してきました。まず、製品開発プロセスにおいては、すべての段階でセキュリティ評価を行っています。この過程での評価を重視しているのです。もし、開発中の製品にセキュリティ上の脆弱性が見つかれば、それを修正しない限りは先に進みません。こうした取り組みを数年間に渡って積み重ねてきた結果、確固たるセキュリティ文化が開発過程に組み込まれています。事実、オラクルの製品が第三者機関によって受けたセキュリティ認定の数は15に上っています。もう間もなく、さらに2つの認定が加わる予定です。マイクロソフトのSQL Serverの場合、受けた認定はわずか1つに過ぎず、それも過去の仕様に基づいたものです。
ZDNet そうした開発プロセスを経てもなお、セキュリティホールと無縁でいることはできません。今月半ばには、CERT/CCがOracleデータベースの複数の脆弱性を指摘しています。例えばSlammerの場合、既知のセキュリティホールであるにもかかわらず、パッチが適用されていなかったマシンが多数あったことから被害がいっそう広がりましたし、パッチそのものにも問題がありました。オラクルでは、製品リリース後に発見されたセキュリティホールについて、どういった体制をとっていますか?
デイビッドソン 何らかの問題が認識されれば即座に、それがどういった影響を及ぼすのかを評価し、リスクがどのくらいあるかを確認するようにしています。その結果リスクが一定レベル以上であると判断され、パッチ以外に対策がないと分かれば、顧客を保護するために、公式にサポートしているあらゆるリリースに対してパッチを発行します。その際に復帰テストを行うのはもちろんです。また、セキュリティ問題だけでなく、その他の多くの問題を解決するパッチセットを提供することもあります。この場合はいっそう安定して動作します。
パッチのリリースと並行して、問題を認識してもらうために電子メールで顧客にアラートを送付しています。オラクル・サポート・サービスを通じても告知を行っており、顧客が問題を認知し、システムを保護できるよう支援しています。問題を隠すつもりはありません。
ZDNet 例えば「Windows Update」のように、パッチの適用を自動化する仕組みを提供する計画はないのですか?
デイビッドソン クライアントとサーバは違うものです。サーバに対するパッチの自動的な適用は、顧客からは避けられる傾向にあります。自動化には、設定変更や管理の面で難しい部分があるからです。ただ、パッチ適用作業と運用については、いっそう改善したいと考えています。例えば、現在のバージョンは何で、どういったパッチが適用されているかを把握したり、強制的にパッチを適用するのではなく、顧客が選択したうえで適用するような仕組みです。
ZDNet データベースを攻撃から守ることも重要ですが、万一破られたときのことも考慮に入れ、その際に速やかな回復や検証を可能にする機能も必要だと思いますが。
デイビッドソン コア製品では既に、そのための機能を実装しています。具体的にはアクセス制限や、アクセス権限の悪用を防ぐための監査機能です。アクセス権限は行レベルで設定でき、しかも重要度を関連付け、どのようにアクセスされるべきかを定義することができます。監査機能もきめ細かいものになっており、そのうえあとから、そのレコードがいったいどのようにアクセスされ、何が起きたのかをキャプチャし、リプレイすることも可能です。
ZDNet データベース分野とセキュリティ分野の両方に精通した人材はまだ多くありません。人材育成を目的としたオラクルの活動にはどんなものがありますか? 「Oracle Master Security」などの認定制度はどうでしょう?
デイビッドソン 面白いアイデアですね。ただオラクルでは既に、製品が備えているセキュリティ機能についてのトレーニングクラスを設けています。同時に、いろいろとややこしい設定をする代わりに、デフォルトでセキュリティ機能、例えば行レベルのアクセス制御などを利用できるよう、自動化を進めていきたいと考えています。現在は、社内の開発者向けにセキュリティトレーニングを行っているのですが、顧客に向けても、そこで得られたプログラミング上のプラクティスを生かしたトレーニングクラスを展開できればいいですね。
ZDNet では最後に、「Unbreakable」なエンタープライズ環境を作るには、一体何が必要でしょうか?
デイビッドソン あらゆる製品において、第三者機関による評価・認定を適用していくことでしょう。米国政府の調達基準がその例で、日本でも徐々に始まっています。こうした取り組みによって、「Unbreakable Everywhere」とまでは行かないにしても、製品を作る側にセキュリティ意識が生まれると思います。いろいろな製品が存在しますが、すべての製品が安全でなければ、「Unbreakable Enterprise」とはいえないのではないでしょうか。
関連記事
Keynote:「企業のDNAにセキュリティを」とオラクルのデイビッドソンCSO「Unbreakableなエンタープライズは実現可能か」――オラクル担当者らがディスカッション「東京版」OracleWorld連続イベントレポート関連リンク
日本オラクル[聞き手:高橋睦美,ITmedia]
