Oracle、Javaのセキュリティ強化策を説明 定例パッチは年4回に

[鈴木聖子，ITmedia]

　Javaの脆弱性を突く攻撃が相次いでいる実態を受け、米Oracleは5月30日、脆弱性の悪用阻止を目的に進めている一連のJavaセキュリティ強化策についてブログで紹介した。その一環としてまず、脆弱性を修正する定例アップデートの公開スケジュールを変更すると表明した。

　OracleはSun Microsystemsを買収して以来、Javaについては年に3回、データベースなどその他の製品については年4回、それぞれ別々のスケジュールで「クリティカルパッチアップデート」を公開してきた。しかし2013年10月以降は、Javaの定例アップデートも年に4回、ほかのOracle製品のアップデートと同時にリリースする。

　これとは別に、緊急に対策を要する場合は定例外のアップデートも公開する。

　また、Webブラウザで実行されるJavaの脆弱性が注目されたことに伴って、サーバ上のJavaについても不安が高まっていることを受け、ホームユーザー向けのクライアント／ブラウザ版Javaと、企業向けのサーバ版Javaを切り離す措置を強化する。

　その一環として、4月に公開した「Java 7 Update 21」では、新しいJavaディストリビューションの「サーバJRE」を導入。今後のバージョンではサーバ版に対する攻撃面を減らすため、サーバには不要な特定のライブラリを削除するなどの措置も検討するという。

　企業向けにはJavaの管理強化を目的として、近いうちに「Local Security Policy」機能を導入予定。システム管理者がJavaをインストールする過程でセキュリティポリシーを設定し、マルウェア感染などのリスクを低減できるようにする。

　Oracleはこうした一連の対策によって、「デスクトップ環境ではJavaの脆弱性が悪用される可能性が減って深刻度も軽減され、サーバ環境ではJava運用上の追加的なセキュリティ保護対策が提供される」と説明している。