Oracle Software Security Assurance

ソフトウェア・セキュリティ保証の重要性
コンピューティング環境とデータを保護するために、世界中の組織がソフトウェア制御への依存度を高めている中、「ソフトウェア・セキュリティ保証」の話題も重要性を増しています。セキュリティ・インシデントに関連して発生する恐れのある莫大なコスト、さらに複雑化する新たな規制の存在、セキュリティ・パッチを最新の状態に維持することで絶えず発生する運用コストを思えば、組織はソフトウェア・セキュリティへの対処方法を慎重に考える必要があります。

ソフトウェア・セキュリティ保証について詳しくは、Wikipediaの「Software Security Assurance」を参照してください。

Oracle Software Security Assurance
製品開発ライフ・サイクルのあらゆるフェーズをカバーするOracle Software Security Assurance(OSSA)は、製品の設計、構築、テスト、保守にセキュリティを組み込むオラクルの手法です。オラクルの目標は、オラクルの製品、およびオラクルの製品を利用するお客様のシステムを可能な限りセキュアな状態に維持することです。

Oracle Software Security Assuranceは、以下を実現する業界最高の標準、テクノロジー、およびプラクティスのセットです。

  • セキュリティ革新の促進:オラクルには、セキュリティ技術革新の長い伝統があります。現在、この伝統は、市場をリードするオラクルのデータベース・セキュリティおよびOracle Identity Managementに継承されています。
  • オラクル製品におけるセキュリティ脆弱性の発生率の軽減:Oracle Software Security Assuranceのおもなプログラムには、オラクルのセキュア・コーディング基準、開発向けセキュリティ必修トレーニング、開発グループ内のセキュリティ・リーダー養成、および自動化された分析ツールとテスト・ツールの利用が含まれます。
  • リリース製品のセキュリティ脆弱性がお客様に及ぼす影響の軽減:オラクルは、透過的なセキュリティ脆弱性の開示ポリシーと修正ポリシーを採用しています。オラクルは、すべてのお客様に平等に対処し、Critical Patch UpdateプログラムとSecurity Alertプログラムによって可能な限り最善のセキュリティ・パッチ適用を実現しています。

 

利点

  • 継ぎ足しではない、あらかじめ組み込まれたセキュリティ — Oracle Software Security Assuranceのプラクティス(“継続的保証”)は、初期設計フェーズや仕様フェーズから、開発フェーズ、プレリリース・フェース、リリース後のフェーズに至るまで、Oracleソフトウェアのライフ・サイクルの隅々まで行き届いています。
  • すべてのお客様への平等な対処 — Oracle Software Security Assuranceのおもなプログラムには、オラクルのセキュア・コーディング基準、開発向けセキュリティ必修トレーニング、開発グループ内のセキュリティ・リーダー養成、および自動化された分析ツールとテスト・ツールの利用が含まれます。
  • 透過的なセキュリティ・ポリシー — オラクルは、透過的なセキュリティ脆弱性の開示ポリシーと修正ポリシーを採用しています。
  • 予測可能なセキュリティ・パッチ適用スケジュールCritical Patch Updateスケジュールを1年前からお知らせすることで、組織が反復可能なセキュリティ・パッチ適用手順を実装して、セキュリティ管理コストを低減できるようにします。
  • 頼れるセキュリティ — オラクルは、自社製品がセキュリティ制御を効果的に実行していることを確認するために、Overview of External Security Evaluations(FIPS、コモン・クライテリアなど)と非公式なセキュリティ評価(侵入テスト、別名'倫理的ハッキング'など)用に製品を提供しています。

参考情報