📋 改訂履歴
| 2026年5月28日 | v1.0 | 初版公開。Oracle CSPU(月次クリティカルセキュリティパッチ更新)の開始・仕組み・スケジュール・対応チェックリストを掲載 |
📖 この記事でわかること:
「Oracleからまた難しそうなお知らせが来た…」と感じていませんか?2026年5月28日から始まった「CSPU(月次クリティカルセキュリティパッチ更新)」は、Oracle製品を使う担当者なら必ず押さえておくべき重要な変更です。専門用語を噛み砕きながら、何をいつまでに対応すればよいかを丁寧に解説します。
「Oracleからまた難しそうなお知らせが来た…」と感じていませんか?2026年5月28日から始まった「CSPU(月次クリティカルセキュリティパッチ更新)」は、Oracle製品を使う担当者なら必ず押さえておくべき重要な変更です。専門用語を噛み砕きながら、何をいつまでに対応すればよいかを丁寧に解説します。
⚠️ 本日(2026年5月28日)から運用開始!
Oracleの月次セキュリティパッチ(CSPU)は本日が第1回目のリリースです。オンプレミス(自社管理)環境の担当者は、今すぐパッチ適用計画の見直しが必要です。
Oracleの月次セキュリティパッチ(CSPU)は本日が第1回目のリリースです。オンプレミス(自社管理)環境の担当者は、今すぐパッチ適用計画の見直しが必要です。
企業の基幹システムやデータベースとして世界中で使われているOracle製品。そのOracleが2026年5月から、セキュリティパッチの提供方法を大きく変えました。これまでは「3か月に1回」だったパッチリリースの仕組みに、新しく「毎月」の緊急パッチが加わったのです。
「パッチって何?」「どうして急に月次になったの?」「自分の会社は何をすればいい?」——そんな疑問をお持ちの担当者の方に向けて、初めてでもわかるよう順番に解説していきますね。
💡 この記事で扱う主なトピック:
- 「パッチ」「セキュリティパッチ」とは何か(基本のキ)
- なぜOracleは月次パッチ(CSPU)を始めたのか
- 従来の四半期パッチ(CPU)との違いと使い分け
- 2026年の具体的な配信スケジュール
- クラウド・オンプレミス別の対応方法
- 担当者がすぐ使える月次運用チェックリスト
📌 この記事の内容
- 「パッチ」って何?(スマホのアップデートと同じです)
- なぜ今、月次パッチが必要になったのか
- CSPUとCPUの違い:月次と四半期の使い分け
- 2026年の配信スケジュール一覧
- クラウドとオンプレミスで何が違うの?
- 担当者がやるべきこと:月次運用チェックリスト
- まとめ
🔧「パッチ」って何?(スマホのアップデートと同じです)
💡 「パッチ」「セキュリティパッチ」をひとことで言うと?
スマートフォンを使っていると、「ソフトウェアのアップデートがあります」という通知が届くことがありますよね。あれと同じです。ソフトウェアには、作った後から発見される「穴(バグ・脆弱性)」があります。その穴を塞ぐための「修正プログラム」がパッチです。特にセキュリティ上の穴(不正アクセスや情報漏えいにつながる欠陥)を塞ぐものを「セキュリティパッチ」と呼びます。
パッチを当てないでいると、その穴を悪意のある攻撃者に狙われる可能性があります。スマートフォンのアップデートを放置すると乗っ取りリスクが上がるのと同じように、企業のシステムでもパッチ適用は非常に重要な作業です。
💡 「脆弱性(ぜいじゃくせい)」って何?
ソフトウェアやシステムの中にある「セキュリティ上の弱点・欠陥」のことです。家で例えるなら、鍵がかからない窓や、錠前の壊れたドアのようなもの。攻撃者はこの弱点を使って、システムに不正侵入したり、情報を盗んだりします。
🤖 なぜ今、月次パッチが必要になったのか
Oracleがこの変更を決断した理由は、ずばり「AIの普及によって、攻撃の速度が劇的に速くなったから」です。
AIが変えた「攻撃と防御のスピード」
近年、AIを使ってソフトウェアの弱点を自動で探し出し、攻撃コードを生成するツールが登場しています。これにより、新しい脆弱性が発見されてから実際に悪用されるまでの時間が、以前と比べて格段に短くなりました。
従来の「3か月に1回パッチを出す」スケジュールでは、発見された重大な脆弱性が最長3か月近く放置される可能性がありました。その間に攻撃者がその穴を突いてしまうリスクがあります。
従来の問題点
四半期(3か月)に1回のペースでは、重大な脆弱性が発見されてから修正が届くまで最大約90日間の空白期間が生じていた
CSPUで解決
月次パッチにより、重大な脆弱性への修正が最長でも約30日以内に届くようになる。攻撃の窓口を大幅に縮小
📌 Oracle自身もAIでセキュリティ対策を強化:
OracleはAnthropicやOpenAIなど最先端のAIモデルを活用して、自社製品の脆弱性検出・コード分析・セキュリティテストをAIで自動化しています。「攻撃者がAIを使うなら、防御側もAIで対抗する」という姿勢で臨んでいます。
OracleはAnthropicやOpenAIなど最先端のAIモデルを活用して、自社製品の脆弱性検出・コード分析・セキュリティテストをAIで自動化しています。「攻撃者がAIを使うなら、防御側もAIで対抗する」という姿勢で臨んでいます。
📊 CSPUとCPUの違い:月次と四半期の使い分け
「CSPU」と「CPU」——似た名前で紛らわしいですね。この2つの違いをしっかり整理しておきましょう。
💡「CPU」って、パソコンの頭脳(プロセッサ)とは別物?
そうなんです!Oracleの世界では「CPU」は「Critical Patch Update(四半期セキュリティパッチ)」の略で、パソコンの部品のCPU(Central Processing Unit)とは全く別物です。混乱しやすいので注意してくださいね。
| 比較項目 | CSPU(新・月次) | CPU(従来・四半期) |
|---|---|---|
| リリース頻度 | 毎月(年8回) | 3か月に1回(年4回:1・4・7・10月) |
| 対象 | 重大(Critical)な脆弱性のみ。的を絞った最小限の修正 | すべての修正を累積的にまとめた大きなパッケージ |
| パッチのサイズ | 小さく・適用しやすい | 大きく・適用に時間がかかる場合もある |
| 過去のCSPUを含む? | — | はい。それまでのCSPUが全て含まれる |
| 緊急性 | 高い(重大な脆弱性のみ対応) | 通常の運用更新として計画的に適用 |
| 廃止される? | — | 継続。CSPUと並行して運用される |
✅ わかりやすく例えると:
CPU(四半期パッチ)は「3か月分の手紙をまとめて送るレターパック」のようなもの。まとめてどさっと届きます。
CSPU(月次パッチ)は「火事が起きたらすぐ消防車を出す」緊急対応。重大な問題だけを素早く、小さなパッチで届けます。
2つは廃止・置き換えではなく、セットで使うものです。
CPU(四半期パッチ)は「3か月分の手紙をまとめて送るレターパック」のようなもの。まとめてどさっと届きます。
CSPU(月次パッチ)は「火事が起きたらすぐ消防車を出す」緊急対応。重大な問題だけを素早く、小さなパッチで届けます。
2つは廃止・置き換えではなく、セットで使うものです。
📅 2026年の配信スケジュール一覧
CSPUは「毎月第3火曜日」にリリースされます(ただし四半期CPUの月はCPUが優先、CSPUは発行されません)。カレンダーに登録しておきましょう。
📌 事前予告アナウンスに注目:
2026年6月以降、各CSPUリリースの前の木曜日に事前予告(Pre-release Announcement)が公開されます。担当者はこの予告を確認してから、翌週の対応計画を立てると余裕をもって準備できますよ。
2026年6月以降、各CSPUリリースの前の木曜日に事前予告(Pre-release Announcement)が公開されます。担当者はこの予告を確認してから、翌週の対応計画を立てると余裕をもって準備できますよ。
-
2026年5月28日(水)第1回・記念すべき初回CSPU初回リリース。通常の第3火曜日ではなく、特例として本日スタート
-
2026年6月16日(火)CSPU2回目のCSPU。前週木曜(6/11)に事前予告が公開される
-
2026年7月21日(火)CPU(四半期)7月は四半期CPUの月。CSPUはなく、累積パッチが提供される
-
2026年8月18日(火)CSPU8月のCSPU
-
2026年9月15日(火)CSPU9月のCSPU
-
2026年10月(予定)CPU(四半期)10月は四半期CPUの月
-
2026年11月17日(火)CSPU11月のCSPU
-
2026年12月(予定)CSPU12月のCSPU
💡 CSPUが出ない月はいつ?
四半期CPUが出る月(1月・4月・7月・10月)には、CSPUはリリースされません。その月の四半期CPUにそれまでのCSPUが全て含まれているので、累積的に適用すれば漏れはありません。
☁️ クラウドとオンプレミスで何が違うの?
同じOracle製品を使っていても、「どこで動かしているか」によって対応が大きく変わります。自分の会社がどちらに当てはまるか確認してみましょう。
💡「クラウド」「オンプレミス」の違いは?
クラウド:Oracleのデータセンター(インターネットの向こう)でシステムが動いている状態。Oracleが管理してくれる。オンプレミス:自社のサーバー機器を社内や自社のデータセンターに置き、自分たちで管理している状態。
| 環境の種類 | パッチ適用は誰がやる? | 担当者の対応 |
|---|---|---|
| ☁️ Oracleクラウド(OCI・SaaS・PaaS) Oracle Fusion Applicationsなど |
Oracleが自動適用 | 原則として作業不要。ただし適用後の動作確認(テスト)を自社で計画することは推奨される |
| 🏢 オンプレミス(自社サーバー) Oracle Database、EBSなど |
自社で計画・適用が必要 | Oracleがパッチを提供するが、適用計画・テスト・本番適用はすべて担当者の責任で行う |
| 🖥️ OCI上の自社管理VM Oracle Cloud Infrastructure上で自社で管理 |
自社で計画・適用が必要 | インフラはOCIだが、OSやDBの管理は自社のため、オンプレミスと同様の対応が必要 |
| 🤖 Oracle Autonomous Database | Oracleが自動適用 | パッチ管理は完全自動化。担当者の手間が最小限 |
✅ Oracleクラウド(SaaS)ご利用の方へ:
Oracle Fusion Applicationsなどのクラウドサービスをご利用の場合、CSPUはOracleが自動で適用します。ただし、更新後に自社のカスタマイズ(独自のレポートや連携設定)が正常に動いているかの確認は、担当者側で計画しておくことが安心です。疑問がある場合はOracle Cloud Customer Connectのコミュニティや、サポートSRを通じて確認しましょう。
Oracle Fusion Applicationsなどのクラウドサービスをご利用の場合、CSPUはOracleが自動で適用します。ただし、更新後に自社のカスタマイズ(独自のレポートや連携設定)が正常に動いているかの確認は、担当者側で計画しておくことが安心です。疑問がある場合はOracle Cloud Customer Connectのコミュニティや、サポートSRを通じて確認しましょう。
✅ 担当者がやるべきこと:月次運用チェックリスト
「結局、何をすればいいの?」というのが一番の関心事ですよね。環境別に具体的な対応ステップを整理しました。
【全員共通】まず確認すること
-
自社のOracle製品がどの環境で動いているか確認する
クラウド(Oracle管理)なのか、オンプレミス・自社管理なのかを把握する。不明な場合は社内のIT部門・ベンダーに確認しましょう -
Oracle公式のセキュリティアラートページをブックマークする
oracle.com/security-alerts/ で常に最新情報を確認できます。月次CSPUのリリース日には必ずチェックする習慣をつけましょう -
社内の承認フロー・作業手順を見直す
これまで四半期ごとだったパッチ作業が月次になります。「パッチ適用の承認を誰が出すか」「作業者は誰か」「テスト環境での確認時間はどれくらい必要か」を事前に決めておきましょう
【オンプレミス担当者向け】毎月の作業フロー
- CSPU前の木曜日:Oracle公式の事前予告(Pre-release Announcement)を確認し、自社製品への影響範囲を把握する
- CSPU当日(第3火曜日):My Oracle Support(MOS)でパッチの詳細情報・ReadMeを確認する
- 当日〜翌週:開発・テスト環境(DEV/TEST)にパッチを適用し、動作確認・回帰テストを実施する
- テスト完了後:上長・関係部署の承認を得て、本番環境への適用計画を立てる
- 本番適用:メンテナンスウィンドウ(作業時間帯)内で本番環境にパッチを適用する
- 適用後:主要な業務機能の動作確認・ログのエラーチェックを行う
- 四半期CPU月:CSPUの代わりに四半期CPUを適用する(上記フローと同様)
⚠️ 有効なサポート契約が必要です:
CSPUのパッチは、Oracle有効サポート契約(My Oracle Support)をお持ちのお客様のみが適用できます。サポート契約が切れている場合はパッチの受け取りができません。まずサポート契約の有効期限を確認してください。
CSPUのパッチは、Oracle有効サポート契約(My Oracle Support)をお持ちのお客様のみが適用できます。サポート契約が切れている場合はパッチの受け取りができません。まずサポート契約の有効期限を確認してください。
月次対応カレンダーの例(参考)
| タイミング | やること | 担当 |
|---|---|---|
| CSPUの前週木曜日 | Oracle公式の事前予告を確認・影響有無を把握 | セキュリティ担当 |
| CSPU当日 (第3火曜日) |
パッチ内容・CVE番号・深刻度を確認 | セキュリティ担当・DBA |
| 当日〜3日後 | テスト環境への適用・動作確認 | DBA・アプリ担当 |
| テスト完了後 | 承認申請・本番適用スケジュールの確定 | 情報システム責任者 |
| メンテナンス日 | 本番環境への適用・事後確認 | DBA・運用チーム |
✅ パッチ適用が難しいと感じたら:
Oracle製品のパッチ適用は、慣れていないと複雑に感じることがあります。OracleはMy Oracle Support(MOS)・テクニカルアカウントマネジメント(TAM)・カスタマーサクセスチームを通じたサポートを提供しています。困ったときは一人で抱え込まず、これらのリソースを積極的に活用しましょう。
Oracle製品のパッチ適用は、慣れていないと複雑に感じることがあります。OracleはMy Oracle Support(MOS)・テクニカルアカウントマネジメント(TAM)・カスタマーサクセスチームを通じたサポートを提供しています。困ったときは一人で抱え込まず、これらのリソースを積極的に活用しましょう。
📝 まとめ:「月次」対応が新しい当たり前になりました
Oracleの月次セキュリティパッチ(CSPU)の開始は、「3か月に1回確認すればよかったセキュリティパッチ運用」を「毎月確認する」運用へと変える重要な変更です。
- 📅 2026年5月28日からCSPU(月次パッチ)がスタート——毎月第3火曜日が確認日。前の木曜日に事前予告あり
- 🛡️ CSPUは「重大な脆弱性のみ」を素早く・小さく修正——四半期CPUを待たずに重大リスクを最短で解消できる
- 📦 四半期CPU(年4回)は継続——CSPUとCPUは廃止・置き換えではなく、両方を組み合わせて使う
- ☁️ Oracleクラウド(SaaS)は自動適用——担当者の手間は最小限だが、動作確認の計画は忘れずに
- 🏢 オンプレミス・自社管理環境は担当者の責任で適用——毎月の作業フローと承認フローを今すぐ整備しよう
- 📋 有効なサポート契約(MOS)が前提条件——契約有効期限を事前に確認しておこう
- 🔗 公式情報は oracle.com/security-alerts/ で常にチェック
「パッチ対応が増えて大変…」と感じるかもしれませんが、これはシステムをサイバー攻撃から守るための非常に重要な備えです。まず今月の対応フローを一度見直して、チーム内で共有するところから始めてみましょう。
