Software Security Assurance

Oracle Software
Security Assurance

セキュリティ修正ポリシー

Oracle製品のセキュリティ脆弱性の修正のバックポートの主なメカニズムは、四半期のクリティカル・パッチ・アップデート(CPU)プログラムです。Critical Patch Updatesは1年前に告知された日にリリースされ、Critical Patch Updates と Security Alerts で公開されます。そのパッチは重大なセキュリティ脆弱性に対処し、また、セキュリティ修正のための前提条件となるコードの修正も含みます。

CPUを採用するすべての製品に対するセキュリティ・アップデートは、オラクルのサポートを契約中のお客様向けにMy Oracle Support ウェブ・サイトにて提供されます。オラクルのセキュリティ修正ポリシーについての詳細は、下記のリンクよりご覧ください。


セキュリティ・アラート

セキュリティ・アラートは1つの脆弱性の修正または少数の脆弱性の修正に対するリリースのメカニズムです。セキュリティ・アラートは、セキュリティ修正の主要なリリースの手段として2004年8月まで使用されていました。2005年1月にオラクルはCritical Patch Updateを用いて、固定されたスケジュールに沿った修正のリリースを開始しました。

オラクルは、特異または危険な脅威となる問題が発生した際、セキュリティ・アラートをお客様向けに発行する場合があります。この場合、お客様はMy Oracle SupportまたはOracle Technology Network経由の電子メールでセキュリティ・アラートの通知 を受けます。セキュリティ・アラートに含まれる修正は、次のCritical Patch Updateにも含まれます。

累積パッチと個別パッチ

オラクルは可能な限りCritical Patch Updateを累積的に作成します。すなわち、それぞれのCritical Patch Updateは、以前のCritical Patch Updateのすべてのセキュリティ修正を含んでいます。現実的には、累積的な修正の対象となるような製品を単独で使用する場合、最新のCritical Patch Updateには、すべての必要な修正が含まれているので、適用すべき唯一のパッチといえます。

累積的な修正を採用していないその他の製品の修正は、個別パッチとしてリリースされます。これらの製品では、適用しておくべき全てのパッチを入手するために、それまでのCritical Patch Updateアドバイザリを参照する必要があります。

セキュリティ修正のアナウンス

オラクルのポリシーは、影響のある、かつサポート対象である全ての製品バージョンとプラットフォームの組み合わせに対して修正が提供可能な場合にのみ、できうる限りのセキュリティ修正をお知らせする事です。 ですが、このポリシーには2つの例外が存在します。

1. ‘On-Request’のプログラム:オラクルは、歴史的にお客様のダウンロード数が低いパッチのいくつかの製品バージョンとプラットフォームの組み合わせに対して、機械的にはパッチを作成しません。このようなパッチの作成には、お客様からのリクエストが必要となります。‘on-request’のプログラムと、最近のまたは今後のCPUのためにこのようなパッチをリクエストする為のプロセスについては、それぞれのCritical Patch Updateのリリースに付随のパッチ提供可能ドキュメント(Patch Availability Document)に詳細があります。

2. パッチの作成やテスト期間中の技術的な問題による、告知日から最大2週間までのパッチ提供の若干の遅れ。

次のようなある状況では注意が必要です。特定の製品のバージョンとプラットフォームの組み合わせに対するCritical Patch Updatesは公開済みと非公開の脆弱性の修正で構成されます。非公開の脆弱性の修正を、脆弱性の一部分(全てではない)が修正された場合、または、対象となる製品のいくつか(全てではない)のバージョンとプラットフォームの組合わせで修正が提供可能であるとの理由で、対象となるCritical Patch Updateパッチに含める場合があります。

セキュリティ修正とパッチ・セット

セキュリティ修正は、パッチ・セット(または同等のもの)と新製品のリリースにも含まれます。オラクルのポリシーでは、Critical Patch Updateのすべてのセキュリティ修正をその後のパッチ・セットや製品リリースに含めます。リリースのタイミングによりこれが可能でない場合、オラクルは、その新しくリリースされたパッチ・セットまたは製品リリースに適用できるよう、最新のCritical Patch Updateの修正を含むパッチを作成します。

セキュリティ脆弱性を修正する順序

オラクルのお客様すべてに最高の安全な状態を提供するため、オラクルでは重要度に合わせて影響の大きいセキュリティ脆弱性から修正を行います。結果として、最も重篤な問題は常に最初に修正されます。セキュリティ脆弱性の修正は下記の順序で作成されます。

  • メイン・コード・ライン-すなわち製品の次のメジャー・リリースに向けて開発されているコード
  • 脆弱性のあるサポート中の各バージョン: 
    • 全ての非ターミナル・リリースに対する次のパッチ・セット(例:Database Server 11gR2、ターミナルの10gR1 バージョン10.1.0.5ではありません)
    • 以前に適切な修正が行われていない、すべてのサポート対象のパッチ・セットに対するCritical Patch Update

オラクルはお客様がサポートされた製品をご使用され、リリースから遅れることなくCritical Patch Updateを適用されることを強くおすすめしています。これは、これは、オラクル社ではサポート外製品の修正版を提供していないため、CPUパッチで修正された脆弱性に対して脆弱である可能性が高く、悪意ある者がCPU修正をリバースエンジニアリングして武器化することが多く、CPUのリリース発行後すぐにこれらの問題を企てようとするからです。

重要:Critical Patch Updateはパッチ・セットや新製品のリリースより高い頻度でリリースされるため、影響がある全ての製品のセキュリティ修正に対応し続けるために、Critical Patch Updateをお客様の基本手段として推奨しています。

Critical Patch Updateドキュメント

各Critical Patch Updateにはトップレベルの情報としてアドバイザリがあります。このアドバイザリでは影響を受ける製品が表記され、各製品群のリスク・マトリクスが記載されています。

リスク・マトリクス

リスク・マトリクスは、お客様の特定環境でセキュリティ脆弱性により引き起こされるリスクの確認を手助けする情報を提供します。それらにより最もリスクの高いシステムを認識し、どのシステムに最初にパッチを適用するかを判断することが可能です。Critical Patch Updateで修正された新規のセキュリティ脆弱性は、影響のある製品のリスク・マトリクス中の列に表記されます。

共通脆弱性評価システム (CVSS)

2006年10月、オラクルは、リスク・マトリクス中のセキュリティ脆弱性の相対的な深刻度を示す独自の手法から、共通脆弱性評価システム(CVSS : Common Vulnerability Scoring System)に変更しました。FIRSTのウェブサイトはCVSSを「ソフトウェア脆弱性の、オープンで普遍的な標準的深刻度評価値を提供するために設計されている」評価値システムとして記述しています。CVSSはセキュリティ脆弱性の深刻度を評価するための標準化された手法です。Critical Patch Updateにて新たに修正されたそれぞれの脆弱性のために、オラクルは、脆弱性を不当に利用するために必要となる前提条件を示すCVSSメトリックス、脆弱性を突くための容易さ、目的のシステムに対してConfidentiality(機密性)、Integrity(完全性)、Availability(可用性)=「CIA」の観点から攻撃の成功による影響の値を提供します。

CVSSは、10.0を最も深刻な脆弱性として表記する、0.0から10.0までのベース・スコアにこの情報を変換する計算式を使用しています。リスク・マトリクスでは、先頭に最も深刻な脆弱性がくる様に、CVSSのベース・スコアを使用して順序付けられています。2016年4月、CVSSスタンダードのバージョン3.0がオラクルで採用され、現在も使用されています。

Use of Common Vulnerability Scoring System (CVSS) by Oracleに、Oracleリスク・アドバイザリでCVSS評価がどのように適用されるかについての詳細な説明を掲載しています。

共通脆弱性識別子 (CVE)

共通脆弱性識別(CVE : Common Vulnerabilities and Exposures)番号は、Critical Patch Updateとセキュリティ・アラートのアドバイザリ中のリスク・マトリクスに表記される脆弱性を識別するためにオラクルで使用されています。CVE番号はセキュリティ脆弱性についての公的に知られている情報のためのユニークで共通な識別番号です。CVEプログラムは、アメリカ合衆国国土安全保障省のoffice of Cybersecurity and Communicationsにより協賛されており、MITRE corporationにより運営されています。オラクルはCVE採番機関(CNA : CVE Numbering Authority)であり、そしてその企業は自社製品の脆弱性に対しCVE番号を発行することができます。オラクルのセキュリティ・アドバイザリー中のCVE番号の順序付けは、照会番号とする脆弱性の発見日と必ずしも一致しない事に留意してください。つまりCVE番号は、修正が提供される脆弱性の発見日の順に割り当てられるわけではありません。 これがオラクルのようなCVE採番機関(CNA)が定期的にMITREから一連のCVE番号を入手しており、脆弱性が発見されるたびに新しいCVEのための個別要求をする必要がない理由です。CVE番号は、Critical Patch Updateプログラムを通じた修正の予定配布より約3-4週間前に、CVE機関より割り当てられたCVE番号の集まりから、オラクルにより連続して脆弱性に割り当てられます。

エグゼクティブ・サマリー

Critical Patch Updateで修正された潜在的なセキュリティ問題の重大性を、組織が素早く評価することを手助けするために、オラクルでは、Critical Patch Updateで対処された各製品に存在するセキュリティの不具合についてのハイレベルの概要を含むエグゼクティブ・サマリーを提供しています。このエグゼクティブ・サマリーはCritical Patch Updateで対処された脆弱性の説明を「平易な文章」で提供しています。

Critical Patch Updateの事前告知

オラクルでは各Critical Patch Updateのリリース日の前の木曜日にCritical Patch Updateの文書の概要を発行しています。この概要はCritical Patch Update Pre-Release Announcement(Critical Patch Updateリリース前アナウンス)と呼ばれており、その後に出てくるCritical Patch Updateについての先行情報で、次の内容を含みます。

  • そのCritical Patch Updateで修正される新規の脆弱性により、影響を受けるオラクル製品の名称とバージョン番号
  • 各製品群のセキュリティ修正の数
  • 各製品群の一番高いCVSSベース・スコア
  • そして、場合によっては、組織にとってCritical Patch Update適用計画の補助となるその他の情報

オラクルは、リリース前アナウンスはその発行時において可能な限り正確であるよう努めますが、各Critical Patch Updateの実際のコンテンツはリリース前アナウンスの発行後に変更される可能性があります。そのため、Critical Patch UpdateアドバイザリーはCritical Patch Updateの実際の内容の唯一の正確な記述であることに注意してください。


さらに詳しく