この記事はIntegrated Cyber Center (ICC)によるAccelerating Vulnerability Detection and Response at Oracleを日本語に翻訳したものです。
2026年4月30日
最新世代のAIは、ソフトウェア脆弱性の特定と修正のあり方を変革しており、発見と修復のスピードおよび規模を拡大させています。
Oracleでは、クラウドおよびソフトウェア環境全体にわたり、セキュリティ・テスト、脆弱性検出、コード分析を支援するために、AIを長年活用してきました。この活動はOracle Cloud Infrastructure(OCI)上で、OCI AIサービス、インフラストラクチャ、開発プラットフォームを活用して、大規模かつ継続的に実施されています。
Oracleは、AnthropicのClaude Mythos PreviewやOpenAIのTrusted Access for Cyberを通じた最も高性能なモデルを含む、先進的なAIモデルを利用しています。これらのモデルを活用して活動を広げ、脆弱性の特定をより迅速かつ効果的に行えるように取り組んでいます。AIを活用したセキュリティ運用と組み合わせることで、この活動は、Oracleが開発するソフトウェアおよびサービス、Oracle Health、ならびにOracleが製品内で構築・利用しているオープンソース・コンポーネント全体に適用されています。
その結果、コードの堅牢性が向上し、リスクの早期発見と対策が可能となり、Oracleおよびお客様をより確実に保護します。
クラウド環境とオンプレミス環境の両方にわたるセキュリティ
強固なセキュリティ体制を維持するには、優れた検知および対応能力、適切に管理されたアクセス制御、ネットワーク保護、そしてAIを活用した早期の問題特定と対応が不可欠です。ワークロードをクラウドへ移行することでこのモデルを簡素化し、Oracleが管理するサービスをお使いいただくことで、保護機能とアップデートを継続的に適用することが可能になります。
ただし、これらの対策によって、ソフトウェア自体の脆弱性に対処する必要性がなくなるわけではありません。サポート対象バージョンを使用し、セキュリティ・アップデートを適用することが、引き続き基本となります。サポート対象リリース上のシステムには修正が継続的に提供されますが、古いバージョンにはそれがなく、既知の問題がそのまま未対応となりかねません。
セキュリティ上の責任範囲は、お客様がOracle管理のクラウド・サービスを利用しているか、またはお客様自身で管理する環境(オンプレミスまたはOCI上のいずれであっても)で実行しているかによって異なります。
Oracle管理のクラウド・サービスでは、脆弱性は継続的に特定され、対処されます。Oracleは、自社のインフラストラクチャ、プラットフォーム・サービス、SaaSアプリケーションを監視し、修正プログラムが利用可能になり次第適用することで、運用上の負担が軽減され、システムを常に最新の状態に保ちます。
お客様管理の環境では、Oracleは脆弱性を特定し、サポート対象製品のパッチを提供しますが、オンプレミスで実行されるかOCIで実行されるかにかかわらず、それらのアップデートの計画、テスト、適用については、引き続きお客様が責任を負います。
たとえば、クラウド上でOracle Fusion Applicationsを実行しているお客様は、サービスの一部としてOracleが適用するセキュリティ・アップデート・プログラムのメリットを享受できます。アップデートは継続的に統合・提供されるため、お客様はそのプロセスを自ら管理することなく、最新の状態を維持することができます。
データベース環境において、この違いはさらに顕著になります。お客様管理の環境では、Oracle Databaseのセキュリティを確保するために、オペレーティング・システム、データベース、および関連コンポーネント全体にわたってアップデートの調整が必要となります。一方、Oracle Autonomous Databaseでは、パッチ適用はサービスの一部として自動化されており、パッチ適用サイクルの管理や依存関係の調整が不要になり、システムを最新の状態に保つために必要な作業が大幅に削減されます。
パッチを適用してシステムを最新の状態に保つことは、リスクを低減する最も直接的な方法の1つです。アップデートをタイムリーに適用することで、脆弱性を抑え、長期的にセキュリティを維持することができます。
大規模で高度に統合された環境では、アップグレードと継続的なパッチ適用が複雑になる場合があります。Oracleは、My Oracle Support、Technical Account Management、Customer Successチームなどのリソースを提供し、お客様がアップグレードの計画、テスト、実行を行い、常に最新の状態を維持できるよう支援します。
お客様管理環境向けの重要な修正プログラムの提供を迅速化
Oracleは、2026年5月より、お客様へのセキュリティ修正の提供方法を拡げ、月次のCritical Security Patch Update(CSPU)を提供いたします。CSPUは重大なセキュリティ問題に対する対象を絞った修正プログラムを提供するもので、お客様は次回の四半期リリースを待つことなく、優先度の高い脆弱性に対処できるようになります。各CSPUはより小規模で対象範囲が絞られているため、重要な修正プログラムを迅速に適用しやすくなります。四半期ごとのCritical Patch Updateには、引き続き、それ以前のCSPUでリリースされたすべての修正が含まれます。
このアプローチにより、お客様はオンプレミス環境で重要な修正をより迅速に適用できるようになります。それと同時に、累積アップデートを通じて、従来の四半期ごとのパッチ適用サイクルも引き続きサポートされます。Oracle管理のクラウド環境では、すべてのパッチが自動的に適用されます。
お客様にとって何を意味するのか
セキュリティは、脆弱性を迅速に特定し、迅速に修正を適用することにかかっています。Oracleは、最先端のAIモデルを活用し、問題の発見方法を改善し、月次CSPUの導入を含め、修正プログラムの提供を加速しています。お客様にとって、セキュリティを維持するには、常にサポート対象ソフトウェアをお使いいただき、システムをパッチで最新の状態に保つことが重要です。Oracle Cloudへ移行することで、パッチ適用と運用上の負担の多くをOracleに委ねることができるため、このプロセスを大幅に簡素化できます。その結果、より少ない労力で、システムを安全かつ最新の状態に保つことが可能になります。