今すぐ準備: 可用性に応じた今後のOracle Databaseリリース更新の即時適用 (2026/07/14)
今すぐ準備: 可用性に応じた今後のOracle Databaseリリース更新の即時適用 (2026/07/14)
投稿者:Vipin Samar | Senior Vice President, Database Security
Oracleは、Oracle Database 19cおよびOracle AI Database 26aiを含む、サポート対象のOracle Databaseリリースを実行しているすべてのお客様に対し、2026年7月21日にリリースアップデートが利用可能になり次第、データベース環境全体にわたってテストおよび展開できるよう、今すぐ準備を進めることを強く推奨します。
AIはサイバーセキュリティの脅威の状況を変えつつある
最先端のAIモデルは、ソフトウェアの脆弱性を発見し悪用する際の障壁を劇的に低くしています。これらのモデルは、弱点の特定、ソフトウェアの変更点の分析、セキュリティパッチのリバースエンジニアリング、そして潜在的な攻撃経路の開発を、かつてないスピードと規模で実現するのに役立ちます。
AIモデルは、アプリケーションとデータスタック全体にわたる複数の脆弱性を組み合わせて複雑な攻撃を仕掛ける能力をますます高めており、個々の脆弱性が単独では重大な脅威とはみなされない場合でも、その攻撃は容易になっています。そのため、ネットワーク層やアプリケーション層のみでシステムを保護するだけではもはや不十分です。組織は、データベースとその中に含まれるデータを含め、テクノロジースタック全体を保護する必要があります。
オラクルは、Anthropic社とOpenAI社の最先端モデルを活用し、潜在的なセキュリティ脆弱性を事前に特定し、修正する取り組みを進めています。検証済みのセキュリティ問題については、確立されたソフトウェアアップデートプロセスを通じて修正プログラムを提供しています。
2026年4月のブログ記事「今すぐ行動を起こそう:AIを活用したサイバーセキュリティの脅威からOracle Databaseを守る」では、お客様に長期サポート版であるOracle Database 19cまたはOracle AI Database 26aiへの移行と、四半期ごとのリリースアップデートの適用を常に最新の状態に保つことを推奨しました。
この発表以降、Oracleは重大な脆弱性に対処する重要なセキュリティパッチアップデートを提供しました。現在、この拡張テストで特定された、より広範囲にわたる重大度の高いセキュリティ問題に対する修正を含む、四半期ごとのメジャーリリースアップデートのリリース準備を進めています。
必要な対応:近日リリース予定のアップデートを速やかにインストールしてください。
サポート対象のOracle Databaseリリースを実行しているすべてのお客様は、以下のものを含め、近日公開予定のリリースアップデート(RU)を適用する準備をしてください。
- Oracle Database 19c RU [ 19.32]
- Oracle AI Database 26ai RU [23.26.3]
- Oracle Grid Infrastructure、データベースクライアント、およびその他の該当コンポーネントに関する対応するアップデート
お客様は、2026年7月21日のリリース予定後、該当するすべてのデータベースに速やかにアップデートをインストールできるよう、今すぐ計画、テスト、および展開スケジュールの作成を開始してください。
近日公開予定のアップデートでは重要なセキュリティ修正が提供されますが、これらの保護機能は顧客がアップデートを展開した後にのみ有効になります。展開を遅らせると、システムが脆弱性にさらされる期間が長くなり、高度化するAIツールを使用する攻撃者によって発見・悪用される可能性があります。
リスクはインターネットに接続されたデータベースに限られません。攻撃者は、侵害されたアプリケーション、認証情報、ユーザー、エンドポイント、またはデータベースに接続されているその他のシステムを介してアクセスする可能性があります。したがって、組織は、本番環境、災害復旧環境、テスト環境、開発環境、およびサポートインフラストラクチャ環境など、該当するすべての環境においてアップデートを適用する必要があります。
データベースソフトウェアのRU(リリースアップデート)を適用しても、セキュリティ関連の構成、ID、アプリケーション、ネットワークのリスクがすべて自動的に修正されるわけではありません。お客様は、データベース環境全体のセキュリティ体制を継続的に評価し、強化していく必要があります。
リリースからデプロイまでの時間を短縮する
従来のパッチ適用プログラムは、多くの場合、長期間のテストサイクルと限られたメンテナンス期間に依存している。しかし、AIによってソフトウェアの分析、脆弱性の特定、潜在的なエクスプロイトの開発に必要な時間が短縮されるにつれ、このアプローチはますますリスクが高くなっている。
組織は、以下のことを可能にする再現可能なプロセスを確立すべきである。
- 更新が必要なすべてのデータベース、グリッドインフラストラクチャのインストール、クライアント、および関連コンポーネントを特定します。
- 露出度とビジネス上の重要度に基づいてシステムの優先順位を付ける
- 代表的な本番環境ワークロードを使用して、アップデートを迅速にテストします。
- サポートされている場合は、ローリングパッチとダウンタイムの少ないパッチを適用してください。
- 推奨される更新レベルに遅れているデータベースを継続的に監視する
これにより、顧客は既存のパッチ適用計画を変更する必要が生じる可能性があります。目標は、頻度の低い事後対応型のメンテナンスから、継続的かつ規律あるライフサイクル管理へと移行することです。
オラクルは、迅速なパッチ適用を阻む障壁を取り除くのに貢献している。
お客様がパッチ適用を迅速に進められるよう、Oracleはデータベースのパッチ適用、テスト、ライフサイクル管理、およびセキュリティに関するいくつかの機能を、期間限定で無償、または90%割引で提供しています(適用条件が適用されます)。
これらのサービスには、顧客が環境のインベントリを作成し、パッチ展開を自動化し、アプリケーションへの影響をテストし、ダウンタイムを削減し、クラウド、マルチクラウド、ハイブリッド、オンプレミスのデータベース環境全体でセキュリティ状況を監視するのに役立つ機能が含まれています。
お客様は、今後のリリースアップデートが利用可能になる前に、これらのツールを入手し、使い方を習得し、業務プロセスに統合しておく必要があります。
提供可能なサービスは以下のとおりです。
- Oracle Database Lifecycle Management Packは、データベースとGrid Infrastructureを一元的に管理およびパッチ適用します。
- Oracle Exadata Management Packは、Exadataインフラストラクチャを管理およびパッチ適用するためのツールです。
- Oracle Real Application Testingは、実際の運用ワークロードを代表的に評価し、アップデートの影響を評価するためのツールです。
- Oracle GoldenGateとOracle GoldenGate Veridataは、ダウンタイムを最小限に抑える、あるいはダウンタイムをなくす移行、パッチ適用、検証、および切り替え戦略をサポートします。
- Oracle Data SafeとOracle Database Security Centralは、クラウドデータベースとオンプレミスデータベースの両方におけるデータベースセキュリティリスクを評価および監視します。
追加のサポートが必要なお客様は、以前のブログ記事「Oracle Customer Success Services AIによるデータベースおよびアプリケーションのパッチ適用とアップグレードセンター」をご参照ください。お客様の環境に応じたサポートについてご相談いただくには、Oracleテクニカルアカウントマネージャー、Oracleサポート担当者、またはOracleアカウントチームまでお問い合わせください。
アップデートを適用しながら可用性を維持する
セキュリティと可用性は、相反する目標として捉えるべきではありません。オラクルは、お客様が重要なビジネスサービスへの影響を最小限に抑えながらアップデートを適用できるよう支援するテクノロジーとベストプラクティスを提供しています。
顧客は、以下のような該当する機能を利用する必要があります。
- Oracle Real Application Clusters
- Oracle Active Data Guard
- Oracle GoldenGate
- Oracle Update Advisor
- Fleet Patching and Provisioning
- ローリングパッチングおよび切り替え手順
- Transparent Application Continuity
- Oracle Maximum Availability Architectureベストプラクティス
適切なアプローチは、各システムのアーキテクチャと適用するアップデートの内容によって異なります。お客様は、展開前にパッチ適用および復旧手順を検証し、テスト済みのバックアップシステムとスタンバイシステムを維持する必要があります。
クラウドデータベースのパッチ適用
Oracle Autonomous Databaseのお客様は、既にOracleが管理する自律型パッチ適用機能の恩恵を受けています。Exadata Database ServiceやBase Database Serviceなどの共同管理型データベースサービスは、包括的なパッチ適用自動化機能を提供し、お客様が保有するデータベース全体に最新のアップデートを適用できるよう支援します。
Oracle Data Safeは、対象となるOracle Databaseクラウドサービスに無料で付属しており、サービス固有の利用規約が適用されます。すべてのクラウドのお客様に、セキュリティ体制を強化するためにOracle Data Safeを活用することをお勧めします。
パッチ適用は不可欠だが、それだけでは十分ではない
データベースバイナリの更新は、顧客が実行できる最も重要な対策の1つですが、データベースのリスクは、構成の選択、過剰な権限、侵害された認証情報、保護されていない機密データ、アプリケーションの動作、予期しないアクセス経路などからも発生します。
組織は継続的に以下の点を評価する必要がある。
- セキュリティ構成と不足している制御
- 特権ユーザーおよび高リスクユーザー
- 未使用または過剰な権限
- 休眠アカウントおよび脆弱なパスワードのアカウント
- 機密データの漏洩
- 不審なデータベース活動とSQLインジェクションのリスク
- 監査方針の適用範囲と遵守状況
- バックアップの完全性と復旧準備
Oracle Data Safe、Oracle Database Security Central(一般提供開始予定)、およびOracle Database Security Assessment Toolは、お客様がさまざまな導入モデルや運用要件におけるこれらのリスクを特定し、対処するのに役立ちます。
顧客は、SQLファイアウォール、Oracle Database Vault、透過的データ暗号化、監査、きめ細かな認可など、データベースによるセキュリティ制御も検討すべきです。これにより、アプリケーション、ユーザー、管理者、AIエージェントなど、承認されたアクセス経路全体でデータ保護を強化できます。データベースによる制御は、一般的にアプリケーションによる制御よりも効果が高く、オーバーヘッドが少なく、回避が困難です。
厳格なネットワーク分割とアクセス制限は、多層防御アーキテクチャの重要な要素であり続ける。データベースは公共インターネットに直接公開すべきではなく、アクセスは承認されたアプリケーション、管理者、およびサービスに限定されるべきである。
セキュリティアップデートの継続的なサイクルに備えてください。
次回のリリースアップデートは重要な節目ではありますが、一度きりの出来事と考えるべきではありません。
AIは、脆弱性の発見速度と悪用速度の両方を向上させています。最先端のAIモデルは今後も進化を続け、モデルを活用する私たちのスキルも向上していくでしょう。オラクルは、これらの技術によって、企業が依存するテクノロジースタック全体にわたる潜在的な脆弱性がさらに特定されると予想しています。攻撃者も同様の機能を利用して、脆弱性の発見と悪用を加速させるでしょう。
オラクルは、これらの技術革新を積極的に活用し、セキュリティ上の問題を可能な限り迅速に特定、検証、修復することに役立てています。
顧客は、重要なセキュリティ修正プログラムがこれまでよりも頻繁に、かつ予告期間が短く評価および展開される可能性がある環境に備えておく必要があります。
顧客が今すぐすべきこと
次期リリースアップデート(RU)が利用可能になる前に:
- すべてのデータベースサーバー、グリッドインフラストラクチャのインストール、クライアント、ドライバー、管理ツール、および関連コンポーネントを一覧化します。
- すべてのデータベースが、サポートされている長期サポートリリース(具体的にはOracle Database 19cまたはOracle AI Database 26ai)を実行していることを確認してください。そうでない場合は、システムを最新のリリースアップデートに更新し、7月に予定されているアップデートに備えてください。
- Oracleが提供するパッチ適用、テスト、ライフサイクル管理、およびセキュリティツールを入手して導入する。
- 迅速なテストおよびデプロイプロセスを確立する。
- パッチ適用中の可用性を維持するためのOracle Real Application Clusters (Oracle RAC)、Oracle Active Data Guard、Oracle GoldenGate、Transparent Application Continuity、およびOracle Maximum Availability Architecture (Oracle MAA) のオプションを確認してください。
- バックアップ、スタンバイデータベース、復旧手順、ロールバック計画がテスト済みであることを確認してください。
- データベース構成、ユーザー、権限、機密データ、アクティビティ、およびネットワークの脆弱性を評価し、強化する。
- RUのリリース後すぐにテストと展開を開始できるよう、リソースとメンテナンス活動のスケジュールを立ててください。
- サポートが必要な場合は、今すぐOracleサポートまたはOracleカスタマーサクセスサービスにお問い合わせください。
アップデートが利用可能になったら速やかに対応してください
AIの進歩により、脆弱性の発見速度と悪用速度の両方が加速しています。オラクルは、こうした技術革新を積極的に活用し、脆弱性の特定、修正プログラムの提供、そして顧客がアップデートを容易に展開できるツールやサービスの提供を支援しています。
お客様は、今後のリリースアップデートまでの期間を利用して準備を進めてください。アップデートが利用可能になったら、Oracleは組織に対し、該当するすべてのシステムで速やかにテストと適用を行うことを強く推奨します。また、オペレーティングシステム、Java、Exadata、Oracle Enterprise Manager、Oracle GoldenGate、Oracle REST Data Services (ORDS)、Oracle Key Vault、Oracle Audit Vault、Database Firewall、Oracle Connection Manager (CMAN)など、データベース関連の各種ツールやテクノロジーにもパッチを適用してください。
サポートされている長期サポート版を使い続けること、最新の更新アップデートを適用すること、データベースのセキュリティ状況を継続的に監視すること、そして回復力のあるアーキテクチャを維持することは、安全なエンタープライズデータベース環境を運用する上で不可欠な要素となっています。
AIはすべてを変える
このブログではソフトウェアのアップデートに焦点を当てましたが、組織が知っておくべき、検討すべきことは他にもたくさんあります。サイバー攻撃は、AIがデータの世界にもたらしている大きな変化の一側面に過ぎません。同様に難しいのは、AIエージェント、MCPサーバー、vibeコードアプリケーション、AI管理と自動化、自然言語からSQLへの変換、AIを活用したレポート作成、その他の新興技術を導入する際に、それらのセキュリティ、誤動作、データ整合性のリスクを最小限に抑えることです。
これらのリスクに対処するには、アプリケーション、ワークフロー、およびAI対応システムの開発と展開に使用される戦略、ツール、およびアーキテクチャの変更が必要となります。例えば、 Oracleは最近、vibeコードで記述されたアプリケーションやAIエージェントによって生じるセキュリティリスクに対処するために、Deep Data Securityをリリースしました。
お客様には、運用、セキュリティ、アプリケーション開発チームのリーダーの方々を、2026年10月25日~28日にラスベガスで開催されるOracle AI World Conferenceにご派遣いただくことを強くお勧めします。このカンファレンスでは、AI時代において企業が成功し生き残るために今すぐ導入すべき新しいアプローチ、ツール、アーキテクチャに関する包括的な説明、トレーニング、実践的な体験を提供します。このイベントはすぐに満席になることが予想されますので、お早めにお申し込みください。
コメント
コメントを投稿