オラクル製品ユーザーはセキュリティ対策に「より積極的に」：ガートナーが警告

　市場調査会社Gartnerが企業のシステム管理者に対し、Oracleアプリケーションのセキュリティ対策に「より積極的に取り組むよう」警鐘を鳴らした。Oracleのサポート体制が不十分だというのがその理由である。

　Oracleは米国時間17日に、四半期ごとの定例パッチをリリースしたばかりである。リリースされたフィックスは、データベース製品の脆弱性37件に対処したものも含め、合計103件だった。これらの脆弱性には、同社の危険度評価で最高レベルとされるものも含まれていた。最高レベルの危険度評価をもつ脆弱性を悪用するのは容易で、甚大な被害がもたらされる可能性がある。

　GartnerのアナリストRich Mogullが23日に発表した警告によると「今回の定例パッチで修正された脆弱性の範囲とその深刻さをみると、大きな懸念を感じる・・・Oracleの製品はまだ大規模なセキュリティ攻撃の標的となったことはないが、それは今後決して攻撃されないことを意味するものではない」と言う。

　Mogullの発言の背景には、Oracle製品のセキュリティは非常に高いと長年思われてきたことと、Oracleの製品は「企業システム内の奥底」に配置されることから、システム管理者がアプリケーションの修正作業を怠りがちであるという実態がある。

　「さらに、パッチ適用が不可能な場合さえある。Oracleがサポートを打ち切った古いプログラムと修正対象となったプログラムが連携している場合が、そうだ。しかしこのようやり方はもはや許されない」とMogullは言い、システム管理者に自社が使用中のOracleアプリケーションの保護にもっと注意を払うよう警告した。

　Mogullはシステム管理者に次に挙げる事柄を実行するよう求めている。

• ファイアウォール、侵入防止システムなどの技術を使用して、システムを早急に保護すること。
• パッチファイルを入手し、システムに迅速に適用すること。
• 異常な動作を検知するために、監視システムなどのセキュリティツールを導入すること。
• Oracleにセキュリティ対策の方法を改めるよう圧力をかけること。

　本件に関し、Oracleからは即時のコメントを得ることはできなかった。