「仕事がなくなれば私の仕事は成功だ」――Oracle CSO

米OracleのCSO、マリー・アン・デイビッドソン氏が来日。四半期ごとの定期パッチリリースをはじめとするセキュリティ向上のための取り組みについて語った。

» 2005年04月19日 12時34分 公開
[高橋睦美,ITmedia]

 「われわれの仕事は、コードの品質を上げ、開発プロセスをより安全なものにするよう手助けしていくこと。反語的に言えば、われわれの仕事がなくなったときにこそ、この仕事が成功したといえるだろう」――米OracleでCSOを務めるマリー・アン・デイビッドソン氏が来日し、同社製品のセキュリティ向上における取り組みについて語った。

 Oracleは2004年11月にパッチ提供ポリシーを見直し、四半期ごとに1回パッチを提供する方針を明らかにした。並行して、Oracle DBをはじめとする同社製品の脆弱性そのものを減少させる取り組みを進めている。

 「機能設計とテスト、両方のプロセスにセキュリティを取り込んだほか、安全なコーディングに関する講義を設けて、開発者および管理職全員に必須のトレーニングとした。さらに、品質管理プロセスの中にセキュリティ試験を組み入れ、バッファオーバーフローやSQLインジェクションといった脆弱性が存在しないかどうかテストを行っているほか、内製ツールを用いてコードをスキャンし、脆弱性検査を実施している」(デイビッドソン氏)。この結果、「脆弱性の数は明らかに減少した」と同氏。

 もっとも、ソフトウェアである限り脆弱性の数をゼロにすることはほぼ不可能であり、パッチは付いて回るものだ。ただ「パッチの適用はわれわれにとっても顧客にとってもコストのかかるもの」(デイビッドソン氏)のも事実。そこで四半期ごとに定期的にパッチをリリースし、適用に要する手間やコストの削減を図っているという。

 「四半期ごとのパッチリリースは、予測可能なスケジュールで、品質の高いパッチを提供してほしいという顧客からの要望に応えたもの。複数のパッチを一度に適用できるため手間が減るし、複数のパッチにまたがってテストが行われているため信頼性も高い」(デイビッドソン氏)。

デイビッドソン氏 四半期ごとの定期パッチリリースは、企業の決算期を避けたタイミングにしているとも述べたデイビッドソン氏

 四半期に一度というペースが妥当なものかについてはいろいろな意見があるが、デイビッドソン氏によると、「間が開きすぎると脆弱性を放置することになるし、あまりに頻繁にパッチをリリースすると作業の負荷が大きくなる。この2つのバランスを取った結果だ」という。過去にリリースされたパッチをすべて含んだ「累積パッチ」として提供していること、適用の「ワンボタン」化による自動化を図っていることも、取り組みの一環だ。

 もう1つ特徴的なのは、「リスクマトリックス」(一種のリスク早見表)を提供し、どのパッチがどのくらい深刻で、影響範囲がどのくらいかを示すようにしたことだ。これにより「パッチを当てるコストと当てない場合のコストを比較し、ビジネス上の意思決定を下せるよう支援している。つまり、パッチ適用に関して、よりコスト効率のよい決定を下せるようになった」(同氏)という。

 「ある顧客では全てのシステムにパッチを適用するとなると1000万ドルから3000万ドルものコストがかかるが、このように適切な情報が提供されれば、どこにどの順番でパッチを適用すべきかを判断でき、コスト削減につながる、と述べていた」という。

 デイビッドソン氏はさらに、「一連の取り組みにより、短期的に見れば脆弱性の数はたくさんあるように見えるかもしれない。しかし適切なコーディング手法を理解することにより、長期的に見れば脆弱性は減少カーブを描くだろう」と述べている。

Peoplesoftのベストプラクティスも活用

 パッケージ製品とは異なり、Oracle製品の場合は顧客ごとに独自の開発が加えられるが、そのプロセスで脆弱性が生じてしまうケースも考えられる。「安全なコーディングに関するクラスを設置したとき、顧客からも同じニーズがあるだろうと考えたが、まずは社内のデベロッパー向けに提供し、その次に顧客に提供していきたい」という。

 また、同社が買収したPeoplesoftでも脆弱性検査ツールを開発していたが、「これをOracleの製品にも汎用的に使えるようにしていきたい」という。「OracleとPeoplesoftのベストプラクティスを組み合わせ、よりよいものを作り上げていきたい」(デイビッドソン氏)。

 こうして得られたノウハウを業界横断的な動きにつなげていく考えもある。米国土安全保障省では、安全な開発に関するナレッジ作成という取り組みを進めており、Oracleも他のベンダーとともにこの動きに参画しているという。「ハッカーのコミュニティよりもベンダー同士のほうがよりよくコラボレーションできていると思う」(同氏)。

 最後にデイビッドソン氏は、CSOが今後取り組むべき課題はいろいろあるが、中でも、法規制へのコンプライアンス(準拠)が挙げられるだろうとも述べた。「セキュリティやプライバシーに関するルールやフレームワークは国ごとに異なる。組織全体として、各国の異なるフレームワークにいかに準拠していくかが課題になるだろう」(同氏)。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ