Global Product Security

概要

オラクルの目標は、オラクルの製品およびそれらの製品を活用するシステムが可能な限り安全であることを確保することです。製品開発ライフサイクルのあらゆる段階を対象としたOracle Software Security Assuranceは、製品の設計・構築・テスト・保守のすべての工程にセキュリティを組み込むためのオラクルの手法です。

オラクルのチーフ・セキュリティ・オフィサーの指揮のもと、Global Product Securityはオラクル全体においてOracle Software Security Assuranceの標準適用を推進し、開発チームによる製品のセキュリティ向上を支援する中核的リソースとしての役割を担うとともに、専門的なセキュリティ機能の運用も行っています。

オラクルのセキュアな開発コミュニティ

オラクルのソフトウェア技術スタックは多岐にわたるため、各開発組織は自らが開発したコードの管理責任を持ち、その製品のセキュリティ設計に精通した専門スタッフを配置してセキュリティ対策にあたっています。

Global Product Securityは、オラクル社内におけるセキュリティ・コミュニティの発展を目的として、セキュリティ担当者の育成のための正式なプログラムを実施しており、開発全体でセキュリティ・コミュニティを支援する専任スタッフを配置しています。このドットライン体制により、各開発組織におけるセキュリティの専門知識が強化され、セキュリティ動向への迅速な対応が可能となっています。

セキュリティリード

セキュリティリードは、自らの事業部門内でOracle Software Security Assuranceの方針と実践を導入・推進する責任を担う人々です。

セキュリティ窓口（Security Points of Contact）

セキュリティ窓口（SPOC）は、セキュリティリードによって任命され、製品レベルでのOracle Software Security Assuranceの戦術的な実装を担当します。

セキュリティリードとバックアップリード：	150名以上
セキュリティ窓口	1,700名以上

Cryptography Review Board（CRB）

Cryptography Review Board（暗号レビュー委員会）は、オラクル製品およびサービスにおける暗号技術関連の技術標準を定義し、推進する役割を担っています。このグループは、政府および業界の要件に対応するための技術的判断を下し、社内標準を策定することを主な責務としています。コーポレートセキュリティと開発組織の代表者が集まり、既存の業界実践と脅威インテリジェンスの頻繁なレビューを通じて、オラクルのソフトウェア製品およびクラウドサービスにおける暗号化の活用と実装に関するベストプラクティスを定義します。CRBの主な責務には以下が含まれます。

• 暗号アルゴリズム、プロトコル、そのパラメータに関する標準の作成と維持
• 可読性および自動化に対応した形式での標準の提供
• オラクルが使用する承認済みの暗号プロバイダーおよび推奨・承認済みのキー管理ソリューションの定義
• 暗号技術の活用に関する実践的なガイダンスの提供
• ポスト量子暗号などの将来的な技術に関する研究およびプロトタイプの開発

詳細

• Oracle Global Information Security
• Oracle Global Physical Security
• Oracle Corporate Security Architecture
• ソフトウェア・セキュリティ保証の重要性
• セキュリティ脆弱性の修正に関する方針