| エンタープライズ:ニュース | 2003/10/22 11:00:00 更新 |
「Unbreakable」から2年──セキュリティへの取り組みはOracleに何をもたらしたのか?
OracleWorld 2003 ParisでOracleのデビッドソンCSOが、セキュリティに対する同社の取り組みをアップデートした。「セキュリティに完璧はない」とするものの、「Unbreakable」の取り組みは同社を変え、顧客の信頼を獲得する効果をもたらしたと話す。
Oracleが「Unbreakable」という戦略を打ち出したとき、言うまでもなくセキュリティはそれを支える重要な柱だった。あれから2年、同社がISOなどの外部機関から受けたセキュリティ評価・認証数は17に達している。21日、仏パリで開催中の「OracleWorld 2003 Paris」でメリー・アン・デビッドソン氏が、Oracleのセキュリティへの取り組みをアップデートしてくれた。
Oracleがセキュリティを優先事項として敢えて顧客に打ち出したのは、2年前に「Unbreakable」という広告キャンペーンからだろう。「“Unbreakable”という言葉は、私のアイデアではなかった。“Unbreakable”をうたえば、(ハッカーの気をそそってしまい)breakのターゲットになってしまう」とデビッドソン氏は明かす。実際、彼女の心配は的中し、広告を打つ以前は1週間に発生するポートスキャン数は2000件程度だったのが、広告の翌週には3万件に達したという。
Unbreakableには、信頼性とセキュリティという2つの側面があった。セキュリティ面では、製品セキュリティの検証を強化すべく、データベースにおいて40あった外部独立検証機関を70まで増やしたという。そこまで徹底する理由は、顧客の信頼獲得には実践しかないと判断したからだ。
「どのベンダーだって、自社製品は“安全”という。顧客に示す唯一の方法は、他社(第3者)の評価しかない」と彼女。
同社のセキュリティ関連作業は英国にあるラボで行われており、セキュリティ国際標準のISO 15408など各種セキュリティ評価にパスして認定を受けた件数は17に達している。
このように、外部機関から評価・認証を受けることの最大のメリットは、出荷前に安全性が確保できることだけではない。このような取り組みはOracleに、開発プロセスの変化、企業文化の変化という副次的メリットももたらした。
デビッドソン氏は、評価する側は製品の安全性だけを見ているのではなく、どうやって製品を開発しているのかを見ていると説明する。そのため、Oracleの全開発プロセスにセキュリティへの働きかけが組み込まれた。Oracleでは現在、開発者一人ひとりがセキュリティに責任があると意識するようになったという。
「セキュリティは、担当者を何人雇えば解決するという問題ではない。企業文化にセキュリティへの意識を染み込ませること、これはセキュリティ分野最大の課題だ」(デビッドソン氏)
情報システムの重要性が今後ますます高まることを考慮すると、ワームやウイルスの発生やハッキングが日常茶飯事となりつつある現在のセキュリティでは不十分だ。同社が実践しているような意識レベルの取り組みは、業界全体の課題として捉えられるべきだろう。
同社は現在、出荷前にコンポーネントを担当した全スタッフを対象に、セキュリティに関するリリースクライテリア(基準)を設けており、対象スタッフは確認リストを下にチェック作業を行わなければならない。これは同社製品だけでなく、サポートツールも対象となる。
また、ISOなど独立機関によるセキュリティ評価を今後も積極的に取得していくという。現在も、Oracle Internet DirectoryやOracle Application Serverなどが評価プロセスにある。特に、Linuxは今後重要性が高くなることから、全製品に関して認定を受ける方針だ(ちなみに、他社の認定数は0か1だそうだ)。非正式なやり方だが、CHO(最高ハッキング責任者)を設け、脆弱性の発見にも並行して取り組んでいるという。
「セキュリティにおける欠陥がないように、できることはすべて行っている」というデビッドソン氏だが、それでも完璧ということはない。Oracleでは出荷後の対策として、顧客にプロアクティブにセキュリティの問題を知らせるセキュリティアラートを行っている。その際は、脆弱性をできるだけ客観的に評価し、深刻度を決定する。そしてパッチの発行となるが、ここでも品質を評価するためにパッチのショートテストを行って、パッチセットとして発行しているという。
デビッドソン氏は、「全顧客が同じレベルの通知を受け、同じレベルの保護を受けるべきだと信じている」とし、一部顧客に限定した情報の提供などを行わず、公正かつ真摯な姿勢を貫くと強調した。
「セキュリティにパーフェクトは有り得ない」と話すデビッドソン氏は、Unbreakableが完全とも主張しない。だが、この2年の取り組みについて、顧客の信頼が獲得できただけでなく、同社自身の自信につながったと評価する。
関連記事
中堅および小規模事業者がOracle 10gを導入するメリットは?「障害は独禁法調査機関の承認のみ」、PeopleSoft買収に自信を見せるOracleOracleWorld 2003 Paris開幕、「グリッド」が海を渡り欧州へグリッドの幕開け、Oracle 10gが国内デビューOracleWorld開幕、Oracle 10gが「グリッドの時代」を告げる「企業のDNAにセキュリティを」とオラクルのデイビッドソンCSOOracleWorld 2003 San Francisco ReportOracle vs. DB2――仁義なき戦い データベース編[末岡洋子,ITmedia]
