Software Security Assurance

Oracle Software
Security Assurance

セキュア・コンフィギュレーション・イニシアチブ

オラクル社の製品の安全性への取り組みの最大の目的は、導入されたオラクル製品のインスタンスが安全であるという事を保証する事です。オラクル製品のオープン・アーキテクチュアはオラクル製品がどのように導入され、使われるかについて大きな柔軟性をお客様に提供します。Oracle Software Security Assuranceでは、オラクル製品の初期の導入の際に行われた技術的選択に関わらず、オラクル製品を安全に使用する事をできる限り容易にする事も保証します。オラクル社は製品の中に強力で、堅牢な安全性のメカニズムを開発する事に多大な努力をしています。そして、お客様がこれらのセキュリティ機能を十分活用されている事を確実にしたいと考えています。2つの関係するプログラムはその目的に焦点をあてています。

  • セキュア・コンフィギュレーション・プログラムは、オラクル製品が、すぐに使えて、安全な状態でインストールする事を保証します。
  • セキュリティ・ガイド・プログラムは、すべてのオラクル製品は安全に製品を構成し、使用する上での包括的なドキュメントを所有する事を保証します。

セキュア・コンフィギュレーション

お客様がソフトウェアシステムを開発・テスト環境から、本番環境への移行をする際、一般的に「ハードニング」と呼ばれるプロセスを行います。ハードニングの目的は攻撃に対して本番システムの脆弱性を減らすことにあります。これは通常、基本となるネットワークやプラットフォームを安全にし、ユーザー権限を制限し、不必要な機能を削除し、そして使用されていないデフォルト・ユーザーのアカウントあるいはネットワーク・ポートのようなシステムのアクセスに必須ではない状態を遮断する事が必要となります。

オラクルのセキュア・コンフィキュレーション・プログラムでは、これらの製品をさらに強固にするためのお客様に求められる労力はほとんどあるいは全く無く、買ってすぐに製品が最適な安全状態を提供する事の保証に重点的に取り組んでいます。このプログラムの一部として、オラクルでは、安全な製品構成のためのガイドラインを作成しており、また、製品の新バージョンにこれらの強化策を実装するために、製品開発チームと協業しています。これらのガイドラインの一部は、サードパーティの組織、特にオラクルが活動的に参加している、Center for Internet Security (CIS)によって開発された標準のセキュリティ・ベンチマークに基づいています。安全性を改善したデフォルトの構成は、より以前のデフォルトを基にアプリケーションを構築したり、安全性のポリシーやプラクティスを制定したお客様またはパートナー様への影響を少なくするために、時間をかけて段階的に行う必要があります。

セキュリティ・ガイド

オラクルは、オラクル製品を安全にインストールし使用する方法を説明するために多くのセキュリティ・ガイドを発行しています。これらのガイドは、トランスポート・レイヤ・セキュリティなどのようなセキュリティ機能を有効にする方法についての特定情報を含んでおり、同様に構成選択でのセキュリティ関連事項について、さらに拡張可能なガイドラインも含みます。セキュリティ・ガイドは完全に製品固有のものですが、製品を使用するための安全な環境をどのように構成すれば良いかの推奨を提供しています。

以下のトピックは、一般的にセキュリティ・ガイドで議論される分野の一例です。

  • プリ・インストレーション・セキュリティ は基本となるプラットフォームを安全にするためにとられる対策を範囲とします。
  • インストレーション・セキュリティ はインストール中に行われる種々の安全性の選択に関する事項を記述しています。
  • ポスト・インストレーション・セキュリティ は製品のセキュリティ機能を構成する事に焦点を当てています。

セキュリティ・ガイドは一般的にオラクルの標準のドキュメント・セットとして提供され、あるいは、Oracle Technology Network の Security Technology Center ページ上で公開されています。

セキュア・コンフィギュレーション・ユーティリティ

オラクルはお客様を支援するため、製品の実装がベスト・プラクティスの推奨に準拠していない特定の領域を識別するツールをいくつも開発してきました。(例えば、デフォルトのアカウントでデフォルトのパスワードの継続使用など) このようなツールは適切な時期に、Critical Patch Update(CPU)のリリースと共に提供されます。 さらに、プレミア・サポートのお客様は、オラクルが推奨する構成のガイドラインとお客様のシステムの基準のズレを確認するためにMy Oracle Supportポータル上で提供されている様々なヘルス・チェックがご利用いただけます。


さらに詳しく