Oracle 製品におけるセキュリティ脆弱性の修正スキームについて
*以下は、サポート契約締結中のお客さまに2019年2月に配信したサポートレターより一部抜粋して掲載しています。
セキュリティ脆弱性と対策
IT システムの設計において、セキュリティの担保は重要なテーマの一つです。この問題は業界の黎明期から不断に取り組まれているものですが、近年のネットワーク化の進展で、セキュリティ事故の頻度と規模は増大傾向にあり、より重要視されるようになっています。
2017 年 5 月には改正個人情報保護法が施行され、機密性の高い個人情報の利用場面が今後増加すると見込まれています。このようなデータの利活用は新たな価値を生み出す一方、情報を管理する事業者には厳しい目が向けられており、万一情報の流出などを招いた場合には社会的信用の失墜や深刻な顧客離れなどを招きかねません。
しかしながら、何らかの形で外部と機密性のあるデータのやり取りを行うという IT システムの基本的な性質上、完全なセキュリティの確保は不可能であり、講じうる対策としては発見された新たな攻撃手段に対する個別の防御策を講じる、というものにならざるをえないのが実情です。
とはいえ、セキュリティの向上のためには既知のリスクを突いた攻撃に対する予防策の実施を行うことが極めて重要です。ソフトウェア製品の場合、これには頻繁なアップデートが必要となりますので、場当たり的な対処では運用には大きな負担となってしまう恐れがあり、設計段階で実施オペレーションを定式化しておくことが推奨されます。
次項以降では Oracle 製品のセキュリティ対策について紹介させて頂きます。お客様環境でのセキュリティ向上や運用負荷軽減の一助となれば幸いです。
Oracle 製品とセキュリティ脆弱性
Oracle 製品は、他社製品と同様にセキュアであるよう十分なテストを行ったうえで出荷されていますが、それでも(多い場合は)3 ヶ月に数件程度の頻度で脆弱性が発見されることがあります。
Oracle 製品では原則として 3 ヶ月に一度の頻度で Security Alert 情報を公開し、直近の四半期で Oracle 社が修正手段を確立している脆弱性を Critical Patch Update (CPU) として網羅的にアナウンスしています。逆に、Oracle 社による公式の修正手段が確立されていない脆弱性に関しては、このような脆弱性を公開することによるセキュリティリスクの増大を防ぐため、Security Alert 情報には含まないスタンスを取っており、秘匿されています。
-
『Critical Patch UpdatesとSecurity Alerts』
https://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html
未公開の脆弱性は Oracle 社内でもきわめて厳重に扱われており、どのようなものが存在するかについては、弊社を含めて一切情報を入手することができません。
なお、Oracle 製品にて発見された脆弱性は、識別のため脆弱性データベース CVE の番号が使用され、公開されています。CVE 番号は Critical Patch Update による修正の予定配布より約 3-4 週間前に Oracle 社によって割り当てられることが通例となっています。
セキュリティ脆弱性情報の調べかた
個別のセキュリティ脆弱性は、前述の Security Alert 情報の上方に記載されている、過去の Critical Patch Update 一覧から確認することができます。たとえば、最新である2019/01/15 月版の Critical Patch Update 情報は、一覧表の最初の行にある "Critical Patch Update - January 2019" の欄に各種リンクが張られています。
それぞれのリンクから辿れる情報は以下の通りです。
- 説明 :
- CPU に関する説明および、該当四半期に公開された脆弱性情報により影響を受ける製品・バージョンの一覧を記載しています。
お客様がお使いの製品が一覧に含まれていない場合には記載の脆弱性の影響を受けませんが、製品のコンポーネントとして別製品が使用されている場合もございますので、この点ご注意ください。また、お使いのバージョンが該当しない場合にも、後述の留意点があります。 - Risk Matrix :
- CVE 番号をベースとした脆弱性の一覧および、リスクのスコア、影響を受ける(現在サポートされている)製品バージョンが記載されています。各脆弱性に関する最も詳細な情報がこちらになります。
実体としては US OTN 情報の Risk Matrix の章へのリンクとなっています。 - 対応策 :
- パッチの入手方法についての記載があります。
- HTML(US OTN 情報):
- 英語表記となりますが、CPU の説明および Risk Matrix の両方が記載されています。
たとえば、2019/01/15 版の CPU における Oracle Database の脆弱性は以下の 3 つとなります。
CVE-2019-2444, CVE-2019-2406, CVE-2019-2547
脆弱性情報をご使用頂くにあたっての注意点
Oracle 製品の脆弱性情報は前述の箇所からご確認頂けますが、ご利用にあたってはいくつかの注意点があります。
第一に、"Supported Versions Affected" に記載されているバージョン「だけ」が各脆弱性の影響を受けるわけではありません。脆弱性のチェックが行われ、CPU での修正パッチが発行されるのは、一部特例を除いて以下の条件に該当する製品バージョンのみに限られており、それ以前にリリースされた製品にも(確認はされていませんが)同様の脆弱性を持っている可能性があります。
CPU による修正パッチが発行される条件(以下のいずれか 1 つ)
- 当該リリースバージョンがリリースされてから 2 年以内であること。
- 当該メジャーバージョン内最終リリースバージョンであり、Premier Support または Extended Support 期間中であること。ただし、Extended Support 期間中の修正パッチ入手には Extended Support 契約が必要。
- 当該メジャーバージョンが LTS (Long Term Support) 対象であるとアナウンスされている製品であること。
お客様がお使いの製品バージョンが上記条件を満たさず、かつ脆弱性が存在している場合、Oracle 社が公式に認める対処が存在しないことになってしまいますので、セキュリティ保持の観点からも製品の定期的なアップデートをご検討ください。
主要な Oracle 製品の不具合修正に関するポリシーについては、以下のドキュメントにてOracle 社の見解が示されております。
- Database、FMW、Enterprise Manager、TimesTen In-Memory Database および OCS に関する不具合修正のポリシー(KROWN:54775)
(ドキュメントID 1719011.1) - KROWN#54775に関する製品ごとの補則および追加説明(KROWN:127321)
(ドキュメントID 1741630.1)
第二に、Oracle 製品の脆弱性については JYNDB など他の脆弱性データベースでも情報が公開されており、対処としてパッチ適用以外の手段が記載されている場合があります。
脆弱性のあるプロトコルを使用しないことは、理論的には対処手段の一つになりえますが、Oracle 社は自社で公開している以外のそのような対処手段について、一切の保証を行っておりません。サポートからは Oracle 社が保証している対処手段のみをご案内しておりますので、この点ご承知ください。
第三に、過去に公開されているセキュリティ脆弱性は、以降に公開された製品バージョンでは初期から対策された状態となっております。このため、過去に遡って脆弱性の情報を調べる場合、脆弱性が公開された時点でリリースされていなかったバージョンについては、対処済みであるものと見なすことができます。
まとめ
セキュリティ脆弱性への対策は、お客様のシステム運用にあたり必須の課題です。
Oracle 製品についても定期的な対処が必要となりますので、常に最新の情報をご確認頂き、セキュリティリスクの予防にお役立てください。
※本記事は 2019 年 1 月 31 日時点での情報となります。ご紹介した内容について、今後変更される可能性がございます。予めご了承ください。
(オラクル事業部 サポート・サービス担当 平林)