オラクルが表明した「クラウド」のデザインゴールとハードウエアの関係：Oracle OpenWorld 2015（2/4 ページ）

「Oracle OpenWorld 2015」は「クラウド」を軸に、そこで必要になるインフラをオラクルがどう提供していくのかが明確に見えたイベントでした。詳細をリポートします。

[＠IT]

クラウド時代に重要性を増すセキュリティ

　まず、セキュリティについては、いくつもの脅威があるのはご存じのことでしょう。ソフトウエアの脆弱（ぜいじゃく）性を悪用して、メモリに不正アクセスするHeartbleedやVENOMは大きな被害をもたらしました。あるいは、データを閲覧する権限のある人間が犯行に及ぶケースもあります。

　読者の皆さんはオラクルの最初の顧客がCIA（米国中央情報局）、次がNSA（米国国家安全保障局）であったことをご存じでしょうか。米国の中でも最も高いセキュリティ対策が求められる組織の要件に応える製品を提供してきたというわけです。今回の基調講演でも、ラリー・エリソンは「オラクルは世界屈指のセキュリティ企業でもある」と語っています。

　この言葉を裏付けるものとして、例えば、Oracle Databaseに以前から備わっている高度なセキュリティ機能として、「透過的な暗号化」に加え、「Database Vault」「Audit Vault」などの高度な監査機能が挙げられます。もちろん、これらはオラクルのクラウドサービスでも利用できます。

　一般に、クラウドサービス上の暗号化で用いられる公開鍵暗号で交換される鍵は、多く場合、プロバイダー側が管理します。その上でプロバイダーが管理体制の安全性を持って、セキュリティを担保するのです。しかし、この場合、管理者が悪用するリスクを回避できません。オラクルが提供するクラウドサービスでは「Oracle Key Vault」と呼ばれる機能を使って、自信で鍵を管理できるようになっています。「世界屈指のセキュリティ企業」らしい実装です。

サイバー攻撃に確実に対処するときに必要なものを実装する

　Heartbleedのようなプログラムの脆弱性を悪用する攻撃が再び発生したときには、いち早くセキュリティパッチを適用するなどの対策が最大の防衛方法になります。しかし、OSカーネルに近いところで実装されているSSLのようなライブラリへのパッチ適用は、システムの再起動を伴うことから容易には実施できません。この問題を解決するのが、今回のOOWで発表された「Oracle Linux」で提供される新機能「Ksplice For Userspace」です。この機能を用いることで、パッチを適用するときにサーバーの再起動は不要になります。

　ただし、これらの対策をしてもOS以外のソフトウエアで発生する脆弱性への対処は、まだ不十分です。あらゆるソフトウエアに最新のパッチを当て続けるしか方法がありませんが「システムを停止できないし、適用前にテストしなければならない」といった問題が立ちはだかります。

　また、データを盗み取られても内容を理解できないように暗号化することも有効です。暗号化の対象は、データの入出力を行う端末から、ネットワークを流れる通信、アプリケーションサーバーやデータベースサーバーのメモリ、記録しておくストレージに至るまでの全てです。しかし、暗号化の処理はCPUに高い負担が掛かるなどの理由から、多くの場合、完全な暗号化までは施せていないのが現実でしょう。