 |
「今年から、セキュリティに関する修正プログラムの配布を四半期ごとの定期リリースにしたことは、顧客に好評だ」。米オラクルで最高セキュリティ責任者(CSO)を務めるマリーアン・デイビッドソン氏(写真)はこう主張する。
修正プログラムを定期的にリリースすることによる、顧客のメリットについて、デイビッドソンCSOは「計画的に修正プログラムを適用することができるようになる」と述べる。「四半期ごとのリリースは決算期などを避けているため、修正プログラムを適用しやすくなった。さらに、複数の問題修正が1回で済むため、適用コストを削減できる」という。
発見したセキュリティ・ホールに対して、できるだけ早く修正プログラムを適用したいと考えている顧客もいるのではないか、そうした顧客に対してはどう説明するのか、という記者の質問に対して、デイビッドソンCSOは「二つの理由から説明したい」と答えた。
一つ目は、セキュリティ・ホールは顧客よりもオラクルが先に発見する場合のほうが多いこと。「我々は発見したセキュリティ・ホールに対して、優先順位の高いものから修正プログラムを提供していく。そのため、もし顧客がセキュリティ・ホールを見つけたとしても、当社が提供する修正プログラムを先に適用したほうがよい」と語った。
二つ目は、個別に対応していても提供スピードは四半期ごとのリリースとそれほど変わらないこと。「一つの修正プログラムをすべてのバージョンで検証するためには、開発からテストを含めて少なくとも6週間はかかる。それならば、四半期ごとに定期的に提供するメリットのほうが大きい」(デイビッドソンCSO)。
米オラクルは今年から、修正プログラムの提供を年4回に固定した。今年は1月18日、4月12日、7月12日、10月18日(いずれも米国時間)の予定だ。対象となる製品は、アプリケーション・サーバー製品「Oracle Application Server」、データベース製品「Oracle Database」、ERPパッケージ(統合業務パッケージ)「Oracle E-Business Suite」、コラボレーション・ツール「Oracle Collaboration Suite」。
