オラクル、次回の「Critical Patch Update」より深刻度評価も公表へ

　Oracleでは、セキュリティ情報を発表する際にその深刻度も明らかにすることで、セキュリティ警告を顧客にとって分かりやすいものにしていこうと考えている。

　Oracleのセキュリティアラート担当シニアマネージャーDarius Wiles氏は米国時間10月10日夜、来週の「Critical Patch Update」より、脆弱性の深刻度評価を明らかにしていく意向であることを明らかにした。

　さらに同社は、インターネットを介して攻撃者に悪用される可能性のある不具合をセキュリティ情報で明示するとともに、製品カテゴリーごとにセキュリティ問題のサマリーも提示していくと、Wiles氏は語っている。

　「顧客はこれにより、修正しようとしている脆弱性が自分にもたらすリスクを詳細に把握できるようになる」とWiles氏は語っている。

　今回の変更により、Critical Patch Updateは顧客にとってわかりやすいものになるはずだ。同社はCritical Patch Updateを四半期ごとに実施している。これまでのCritical Patch Updateでは、顧客は最も深刻な脆弱性がどれなのかを即座に判断できず、パッチの優先順位を見極めることに多くの時間を割いていた。その一方で、MicrosoftをはじめとするOracleのライバル企業各社は、何年も前から深刻度評価を公表していた。

　Oracleはここ2年間、セキュリティに対する取り組みについてさまざまな批判にさらされてきた。今回の発表は、これまでの批判に応えて、積極的に情報を開示しようとする同社の意志の表れである。ほかにもOracleでは最高セキュリティ責任者（CSO）がブログを始めたり、メディアの前や主催イベントにおいて積極的にセキュリティの話題を取り上げるようになった。

　Oracleが発表する深刻度評価は同社独自のものではない。同社は初めて「Common Vulnerability Scoring System（CVSS）」を採用する大手ソフトウェアベンダーの1社になろうとしている。2005年に発表されたCVSSは、ソフトウェアの脆弱性を評価する際に、独自の尺度ではなく、統一されたアプローチが広く採用されるように作られた仕組み。

　Wiles氏は、「独自に手法を考えるのではなく、既に存在する方法を用いることにした。個々の脆弱性にはCVSSのスコアが付けられ、発表時には最も重要なものから順番に表示した一覧を提示する」と語っている。

　CVSSでは、Microsoftのセキュリティ情報でおなじみの「緊急」や「重要」といった既存の深刻度評価よりも詳しく脆弱性の危険度を知ることができる。この採点システムでは、脆弱性に対する基本的な評価のほかに、組織のITシステム環境に関する情報などを加味して、ユーザーがみずからの組織におけるリスクを算出できるようになっている。

　Oracleは10月にカリフォルニア州サンフランシスコで開催予定のOracle Open Worldカンファレンスにおいて、セキュリティについて詳しく説明し、ユーザーからのフィードバックを求める予定。また2007年にはOracleの最高経営責任者（CEO）Larry Ellison氏が、年次セキュリティカンファレンスのRSA Conferenceで講演する予定だ。