Oracleの四半期パッチはどのくらい重要かパッチを怠った代償は?

セキュリティ企業の調査では、Oracleの四半期パッチを導入したことがない管理者が多数を占めた。Oracleパッチをすべて拒否するという姿勢は正しいのか?

2008年09月09日 07時30分 公開
[Michael Cobb,TechTarget]

 セキュリティ企業のSentrigoは、2007年に開かれたOracleユーザーグループ会議でデータを収集し、データベース管理者、コンサルタント、開発者305人を対象に調査を実施した。その結果、Oracleのクリティカルパッチアップデート(CPU)をインストールしたことがないという回答者が3分の2に上った。OracleはCPUについて、「有効なサポート契約を結んだ顧客にOracle製品のセキュリティフィックスを届ける第一義的手段」と説明し、四半期に一度アップデートをリリースしている。

 回答者からはOracleパッチの重要性に疑問を投げ掛ける声も出た。例えばSearchOracle.comブログではある読者が、Oracleデータベース管理者はパッチ適用で時間を浪費すべきではないとして、その理由をつづっている。以下に一部を引用する。

 「われわれのOracle技術はすべて、外の世界からアクセスすることは不可能だ。つまりこれらのパッチを適用するのは、カーラジオが不正侵入された場合に備えて局の設定を防御するようなものだ。加えて、CPUパッチによってインストール済みのバグフィックスが壊され、再度のマージパッチが必要になるのではないかと不安だ」

 セキュリティ上の観点から見ると、この調査結果は一見、憂慮すべきものに思える。セキュリティ専門家は口癖のように「最新パッチを確実にインストールするように」と唱えているのだから。組織のネットワークがしっかり守られていて外部からの不正アクセスを防いでいる限り、自社のデータベースは安全だと考える人たちがいるのは明らかだ。しかし、この理屈は正しいのだろうか。

パッチを適用しない場合

ITmedia マーケティング新着記事

news101.jpg

郵送業務を電子化する理由 3位「テレワークへの対応」、2位「業務の迅速化・省力化」で1位は?――リンクス調査
キャンペーンのお知らせや新商品の紹介のダイレクトメールなど、個人宛てに送付する郵便...

news172.png

WACULが「AIアナリストSEO」を大幅刷新 コンテンツ作成×外部対策×内部対策×CVR改善をワンストップで支援
月額30万円でAI技術を活用したコンテンツ制作、約4万サイトの支援データ、熟練コンサルタ...

news150.jpg

SFAツール「Kairos3 Sales」にモバイルアプリ版 訪問営業の生産性向上へ
モバイルアプリ上で、リアルタイムで営業活動の確認・記録が可能になる。