オラクルのハードウェア・セキュリティと保証
概要
多くのハードウェアシステムでは、ファームウェアなどの組み込み型または構成可能なソフトウェアコードが使用されており、従来のハードウェアとソフトウェアの境界はあいまいになりつつあります。オラクルでは、こうした状況を踏まえ、セキュリティポリシーおよび手順をハードウェアシステムにも適用し、このようなシステムの調達、エンジニアリング、開発、メンテナンスを管理しています。これらのポリシーは、オラクルが自社で設計・製造するハードウェアはもちろんのこと、企業用途、Oracle Cloud用途、または他のオラクル製品に組み込まれる目的で購入されたサードパーティ製ハードウェアにも適用されます。
Oracle Cloudおよび社内アプリケーション向けの非オラクル製ハードウェアの調達
Oracle Cloud および社内システムを支えるハードウェアの購入は、オラクルの標準的なハードウェア・サプライチェーン・プロセスを通じて実施されます。これらのプロセスは、オラクルのサプライヤーを適切に審査し、偽造品の調達を防止し、信頼できるベンダーからのみ調達することを目的としています。候補となるサプライヤーは、財務健全性、誠実性、セキュリティの実践などの評価を受けます。
オラクルは、自社の倫理的ハッキングチームを保有しており、購入検討中の非オラクル製ハードウェアに対してセキュリティ評価を実施しています。これらのセキュリティ評価では、ハードウェアやファームウェアの脆弱性の有無を確認し、サプライヤーが主張するセキュリティ機能の有効性を検証します。オラクルは、サプライヤーと協力しながら、指摘されたギャップの解消に取り組んでいます。
Oracle Cloudや社内IT組織で使用される予定のハードウェアは、同様のプロセスに従います。さらに、こうしたハードウェア製品については、拡張性などの適合性評価だけでなく、ハードウェアおよびソフトウェアのセキュリティ特性についても、オラクルのスタッフによる正式な評価が行われます。加えて、サプライヤー側のセキュリティ保証体制についても正式に審査され、ベンダーが適切なセキュリティ是正ポリシーを有していることが確認されます。
オラクルのハードウェアシステムにおけるセキュリティ保証
多くのハードウェア製品には、ファームウェアなどのソフトウェアコンポーネントが組み込まれています。オラクルのソフトウェアセキュリティ保証に関するポリシーおよび実践は、オラクルのハードウェアシステム上で使用されるオラクル製コードの開発にも適用されます。これらのポリシーと実践の主な目的は、システムに設計されたセキュリティ制御を弱体化させるようなセキュリティ上の欠陥を事前に防ぐことです。
Oracle Cloudで使用されるハードウェアシステムの保守
Oracle Cloudで使用されるオラクル製およびサードパーティ製ハードウェアに対してソフトウェアアップデートが提供された場合、クラウド運用チームは、本番環境とは分離されつつも極めて類似したテスト環境において、そのアップデートを評価します。テストを通過したアップデートは、管理されたプライベートネットワークを通じて、本番環境に展開されます。
ハードウェアの出荷に関する取り組み
オラクルおよびその物流業者は、出荷元での引き取りから該当するインコターム(国際貿易取引条件)の履行に至るまで、ハードウェアの管理および保全を行います。多くの場合、オラクルは「納品モデル」を採用しており、これは顧客による署名完了(DDP)または指定空港への納品完了(DAP)までオラクルが管理責任を負うことを意味します。配送プロセスの各段階は物流業者のシステムに記録されており、輸送中の各拠点で貨物に損傷や改ざんがないか確認されます。
何らかの例外が発生した場合は、配送書類または物流業者のシステム上に記録されます。DDPでの納品には、ハードウェアのテープやバンドが外されていないかなど、損傷や改ざんの有無を顧客が確認したうえで、必ず署名を受け取ることが求められます。DAPの注文については、航空機が目的地に到着し、オラクルが航空会社から「搭載確認通知(COB)」を受領した時点で、納品完了とみなされます。