オラクル、セキュリティ修正プログラムに関する事前通知を開始へ

　企業向けソフトウェア大手のOracleが、Microsoftに倣い、システム管理者向けに、次にリリースされるセキュリティパッチに関する事前通知を開始する。

　Oracleが米国時間1月11日に同社のウェブサイト上に掲載した情報によると、Oracleは16日、同社の複数の製品に内在する52件のセキュリティ脆弱性に対する修正プログラムをリリース予定だという。それらのバグの中には深刻なものも含まれており、システム上で脆弱性のあるOracle製ソフトウェアを使用していると、匿名の攻撃者によって遠隔地からデータを盗まれたり、改ざんされる恐れがあるという。

　Oracleがこのような事前通知を行うのは今回が初めてだ。Microsoftは2004年末から、顧客に対し同様の早期警告を行ってきた。両社はこれまで、顧客がパッチのリリース時期を予測できるように、パッチを定期的に発表してきた。事前通知は、顧客がパッチのリリースに向けた準備を行えるようにすることを目的としている。

　Oracleのセキュリティアラート担当シニアマネージャーのDarius Wiles氏は11日に行われたインタビューの中で、「以前から顧客からの要望が寄せられていた」とし、さらに「彼らが事前通知を望む理由は、次回のパッチの内容が事前に分かれば、そのパッチを適用するためのスタッフを揃えられるからだ」と語った。

　Oracleの事前通知はMicrosoftのそれよりも一歩踏み込んだ内容となっている。Microsoftの事前通知には、次回のパッチが適用される製品シリーズの名称とバグの深刻さに関する大まかな表示しか書かれていない。それに対しOracleは、パッチを適用予定の脆弱性を全てリストアップし、さらに修正が必要な製品やコンポーネントの詳細情報を提供する。

　「（事前通知に）コンポーネントを含めた理由は、脆弱性の種類によっては、特定のコンポーネントをインストールしていなければ影響がないものもあるためだ」（Wiles氏）

　調査会社GartnerのアナリストJohn Pescatore氏は、Oracleは完全にMicrosoftを倣ったわけだが、同社は最良の慣行を模倣することになる、と語る。Pescatore氏は、「事前通知は大変良い考えだ」とした上で、「Microsoftには、パッチのリリースや、企業がパッチを適用する際の苦難を軽減しようとする際に必要なものへの対処に関して豊富な経験がある」と付け加えた。

　セキュリティアップデートの定期リリースについても、Microsoftが2003年に初めて実施し、OracleもMicrosoftに倣い、2005年から開始した。「異なるベンダーのセキュリティパッチのリリース方法が一致しているとしても、さほど大きな驚きはない」（Wiles氏）