該当する結果がありません

一致する検索結果がありませんでした。

お探しのものを見つけるために、以下の項目を試してみてください。

  • キーワード検索のスペルを確認してください。
  • 入力したキーワードの同義語を使用してください。たとえば、「ソフトウェア」の代わりに「アプリケーション」を試してみてください。
  • 下記に示すよく使用される検索語句のいずれかを試してみてください。
  • 新しい検索を開始してください。
急上昇中の質問

クリティカル・パッチ・アップデート・プログラム

オラクル製品のセキュリティ脆弱性の修正をバックポートする基本のメカニズムは、四半期に一度のクリティカル・パッチ・アップデート(CPU)プログラムです。クリティカル・パッチ・アップデートは1年前に告知された日にリリースされ、クリティカル・パッチ・アップデートとセキュリティ・アラートのページに掲載されます。パッチは重大なセキュリティ脆弱性に対処し、セキュリティ修正の前提条件となるコードの修正も含んでいます。

CPUを受け取る全製品のセキュリティ更新は、Oracle Supportを契約中のお客様向けにMy Oracle Supportで提供されます。オラクルのセキュリティ修正ポリシーの詳細は、次のリンクよりご覧ください。

セキュリティ・アラート・プログラム

セキュリティ・アラートは1つの脆弱性の修正または少数の脆弱性の修正に対するリリースのメカニズムです。セキュリティ・アラートは、セキュリティ修正の主要なリリース手段として2004年8月まで使用されていました。2005年1月にオラクルはクリティカル・パッチ・アップデートを用いて、固定されたスケジュールに沿った修正のリリースを開始しました。

オラクルは、特異または危険な脅威となる問題が発生した場合に、お客様にセキュリティ・アラートを発行する場合があります。この場合、お客様はMy Oracle Supportまたは Oracle Technology Network経由の電子メールでセキュリティ・アラートの通知を受けます。セキュリティ・アラートに含まれる修正は、次のクリティカル・パッチ・アップデートにも含まれます。

累積パッチと個別パッチ

オラクルは、クリティカル・パッチ・アップデートを可能な限り累積的に作成します。つまり、それぞれのクリティカル・パッチ・アップデートには、それ以前のクリティカル・パッチ・アップデートすべてのセキュリティ修正が含まれています。現実的には、累積的な修正の対象となる製品を単独で使用する場合、適用する必要があるのは、必要な修正がすべて含まれている最新のクリティカル・パッチ・アップデートのみです。

累積的な修正を受けないその他の製品の修正は、個別パッチとしてリリースされます。これらの製品では、適用すべきすべてのパッチを把握するため、それまでのクリティカル・パッチ・アップデートのアドバイザリを参照する必要があります。

セキュリティ修正の発表

オラクルのポリシーは、影響のある、かつサポート対象であるすべての製品バージョンとプラットフォームの組み合わせに対して修正が提供可能な場合にのみ、できうる限りのセキュリティ修正を発表することです。ただし、このポリシーには2つの例外が存在します。

1.リクエスト対応型プログラム:オラクルは、いくつかの製品バージョンとプラットフォームの組み合わせについて、これまでのお客様のダウンロード数が少ないパッチに関しては、パッチを機械的には作成していません。このようなパッチの作成には、お客様からのリクエストが必要となります。リクエスト対応型プログラムと、新しいCPUまたは今後のCPUのためにこのようなパッチをリクエストするプロセスについては、それぞれのクリティカル・パッチ・アップデートのリリースに付随しているパッチ提供可能ドキュメントに詳しく記載されています。

2.告知日から最大2週間まで、パッチの提供が若干遅れることがありますが、これは通常、パッチの作成やテスト期間中の技術的な問題によるものです。

ある特定の状況では、特定製品のバージョンとプラットフォームの組み合わせに対するクリティカル・パッチ・アップデートに、公開済と未公開の脆弱性の修正が含まれている場合がありますのでご注意ください。脆弱性の一部分(すべてではない)が修正された場合、または、対象となる製品のいくつか(すべてではない)のバージョンとプラットフォームの組合わせで修正が提供可能である場合、未公開の脆弱性の修正が、特定のクリティカル・パッチ・アップデートのパッチに含まれることがあります。

セキュリティ修正とパッチ・セット

セキュリティ修正は、パッチ・セット(または同等のもの)と新製品のリリースにも含まれます。オラクルのポリシーにより、クリティカル・パッチ・アップデートのすべてのセキュリティ修正をその後のパッチ・セットや製品リリースに含めます。リリースのタイミングによりこれが可能でない場合、オラクルは、新しくリリースされたパッチ・セットまたは製品リリースの上から適用できる、最新のクリティカル・パッチ・アップデートの修正を含むパッチを作成します。

セキュリティ脆弱性の修正順序

オラクルのすべてのお客様に最高のセキュリティ状況を提供するため、オラクルでは、お客様に及ぼす可能性があるリスクに基づき、重大なセキュリティ脆弱性から修正を行います。そのため、もっとも重大なリスクが潜む問題は最初に修正されます。セキュリティ脆弱性の修正は次の順序で作成されます。

  • もっとも重要なコード行を優先—製品の次のメジャー・リリースに向けて開発されているコード行のこと
  • サポート中の各バージョンで脆弱性のあるもの:
    • サポート中のそのバージョンに別のパッチ・セットが計画されている場合は、次のパッチ・セットの修正
    • クリティカル・パッチ・アップデートのパッチの作成

オラクルは、サポート中の製品バージョンのみを使用し、使用しているリリースに、遅滞なくクリティカル・パッチ・アップデートを適用することを強くお薦めします。これは、オラクルが、サポート対象外の製品バージョンには修正を提供していないためです。しかしながら、サポート対象外の製品バージョンは、CPUパッチで修正された脆弱性に対して脆弱である可能性が高く、悪意のある者がCPUの修正をリバース・エンジニアリングして武器化し、各CPUのリリース発行後すぐにそれらの問題を悪意を持って利用することが多々あります。

重要な注意事項:クリティカル・パッチ・アップデートはパッチ・セットや新製品のリリースより高い頻度でリリースされるため、クリティカル・パッチ・アップデートを、影響があるすべての製品のセキュリティ修正に遅れないための第一の手段とされることをお薦めします。

クリティカル・パッチ・アップデートのドキュメント

各クリティカル・パッチ・アップデートには、最重要ドキュメントとしてアドバイザリがあります。このアドバイザリには影響を受ける製品がリストされ、各製品スイートのリスク・マトリクスが記載されています。

リスク・マトリクス

リスク・マトリクスは、お客様固有の環境でセキュリティ脆弱性により引き起こされるリスクの確認に役立つ情報を提供します。これにより、もっともリスクの高いシステムを識別できるため、そのシステムに最初にパッチを適用できます。クリティカル・パッチ・アップデートで修正された新しいセキュリティ脆弱性は、影響のある製品のリスク・マトリクス中の列にリストされます。

共通脆弱性評価システム(CVSS)

オラクルは、共通脆弱性評価システム(CVSS)を使用して、セキュリティ脆弱性の相対的な重大度を報告します。CVSS情報は、クリティカル・パッチ・アップデートやセキュリティ・アラートのアドバイザリで公開されているリスク・マトリクスのうち、脆弱性の技術的な側面、たとえば不当な利用の成功に必要な前提条件などを網羅した個別のメトリックとして提供されています。CVSSは、このメトリックを0.0から10.0までのベース・スコアに変換する計算式を使用しており、10.0がもっとも重大であることを表しています。オラクルはこのベース・スコアを使用してリスク・マトリクスを順序付けており、各リスク・マトリクスの先頭がもっとも重大な脆弱性となります。オラクルは各脆弱性に関する詳細な情報を提供することで、お客様はパッチ適用に関してより適切な情報に基づいた意思決定を下すことができます。

オラクルは2006年にCVSSを採用し、リリースされるたびに新しいバージョンの基準を採用してきました。2020年7月には、現在のアドバイザリおよびアラートで使用されているCVSSバージョン3.1が採用されました。「オラクルでの共通脆弱性評価システム(CVSS)の使用」に、オラクルのリスク・アドバイザリでCVSS評価がどのように適用されるかについての詳細な説明を記載しています。

共通脆弱性識別子(CVE)

オラクルは、クリティカル・パッチ・アップデートとセキュリティ・アラートのアドバイザリでリスク・マトリクスにリストする脆弱性を識別するために、共通脆弱性識別(CVE)番号を使用しています。CVE番号は、セキュリティ脆弱性について公的に知られている情報の一意で共通の識別子です。CVEプログラムは、アメリカ合衆国国土安全保障省のサイバーセキュリティ通信室が共同スポンサーで、MITRE corporationにより運営されています。オラクルはCVE採番機関(CNA)です。採番機関の企業は、自社製品の脆弱性にCVE番号を発行することができます。オラクルのセキュリティ・アドバイザリに記載されているCVE番号の順序は、その番号が参照する脆弱性が発見された日と必ずしも一致しないことに注意してください。つまり、CVE番号は、ディストリビューションで修正が提供される脆弱性が発見された日の順序で割り当てられるわけではありません。これは、脆弱性が発見されるたびに新しいCVEを求めて個別にリクエストする必要がないよう、オラクルのようなCVE採番機関(CNA)がMITREから定期的に一連のCVE番号を入手しているためです。CVE番号は、クリティカル・パッチ・アップデート・プログラムによる修正の配布予定より約3から4週間前に、CVE機関より割り当てられたCVE番号のプールから、オラクルが順番に脆弱性に割り当てます。

エグゼクティブ・サマリー

クリティカル・パッチ・アップデートで修正された潜在的なセキュリティの問題の重大性を、組織が素早く評価できるよう、オラクルは、クリティカル・パッチ・アップデートで対処した各製品のセキュリティの問題について、概要が記載されたエグゼクティブ・サマリーを提供しています。このエグゼクティブ・サマリーには、クリティカル・パッチ・アップデートで対処した脆弱性の説明がわかりやすい文章で記載されています。

クリティカル・パッチ・アップデートのリリース前告知

オラクルは、各クリティカル・パッチ・アップデートのリリース日前の木曜日に、クリティカル・パッチ・アップデートのドキュメントの概要を発行しています。この概要は、クリティカル・パッチ・アップデートのリリース前告知と呼ばれ、近日中に公開されるクリティカル・パッチ・アップデートについて、次に示すような先行情報を記載しています。

  • クリティカル・パッチ・アップデートで修正される新しい脆弱性の影響を受けるオラクル製品の名称とバージョン番号
  • 各製品スイートのセキュリティ修正の数
  • 各製品スイートの一番高いCVSSベース・スコア
  • 場合によっては、組織の環境へのクリティカル・パッチ・アップデート適用を計画する際に役立つ可能性があるその他の関連情報

オラクルは、リリース前告知はその発行時において可能なかぎり正確であるよう努めますが、各クリティカル・パッチ・アップデートの実際の内容は、リリース前告知の発行後に変更される可能性があります。そのため、クリティカル・パッチ・アップデートの実際の内容が正確に記載されているのは、クリティカル・パッチ・アップデートのアドバイザリのみであるとご理解ください。