Azul プラットフォームコアの手順

Azul プラットフォーム コア

仕様

• 製品名: Javaソフトウェア
• メーカー: Oracle
• バージョン: SE
• ライセンス契約: 無償の利用規約、GNU General Public License、Oracle Binary Code License、Oracle Technology Network

製品情報
Java ソフトウェアには、Oracle が提供するさまざまなライセンス契約プログラムが付属しており、さまざまなレベルのサポートとライセンス オプションが提供されます。

製品使用説明書

• セキュリティエクスプロイトとサポート
  セキュリティ侵害を防ぎ、規制へのコンプライアンスを確保するには、Javaソフトウェアに適切なサポートを提供することが不可欠です。購入を検討してください。asinセキュリティ パッチ、法的文書、コンプライアンスの保証を受け取るには、ライセンスを受けた JDK プロバイダーからのサポートが必要です。
• 選択と複雑さ
  JDKディストリビューションを選択する際には、サポートポリシーと様々なJavaバージョンとの互換性を考慮してください。サポート対象のJavaバージョン、互換性のあるプラットフォーム、各バージョンのサポート期間に基づいて、様々なプロバイダーを評価してください。
• Javaバージョン
  JDKプロバイダーが、現在使用中または使用予定のJavaバージョンをサポートしていることを確認してください。長期サポート（LTS）バージョンと、古いバージョンのアップデートが利用可能かどうかを確認してください。
• サポートされているプラ​​ットフォーム
  JDKディストリビューションが、お使いの環境で使用されているオペレーティングシステムとプロセッサをサポートしているかどうかを確認してください。LinuxやWindowsなどの主流プラットフォームとの互換性は不可欠です。
• サポート期間
  特定のJavaバージョンがプロバイダーによってどのくらいの期間サポートされるかを確認します。JDKディストリビューターが提供するサポートライフサイクルロードマップを検討してください。
• アップデートの可用性
  JDK プロバイダーによってリリースされる更新の頻度を確認し、Java ソフトウェアの脆弱性や問題がタイムリーに修正されるようにしてください。

導入

• 半世紀にわたり、オープンソースの世界は、ソフトウェア開発者が個人的なコストをほとんど、あるいは全くかけずにソフトウェアアプリケーションの構築において大きな進歩を遂げることを可能にしてきました。これにより、特に商業分野において、ソフトウェアアプリケーション開発の生産性が劇的に向上しました。例えば、ampJavaは2007年からオープンソースであり、現在60億以上のアクティブなJava仮想マシンを擁する、総合的な開発におけるナンバーワンの言語です。
• マシン (JVM) と 38 億のクラウドベースの JVM (出典: JavaOne 2022)。
• しかし、同じ時期に、IT 組織は、それが「運用コストゼロ」をもたらすわけではないことに徐々に気づき始めました。
• 基本的に、運用コストは、セキュリティと脆弱性の発見、コンプライアンスの問題、知的財産に関する懸念という 3 つの原因から発生します。
• その他の運用コストは、2021年に誰もが驚いたLog4jの重大な脆弱性のようなセキュリティアップデートの形で現れます。脆弱性の修正や基盤となるソフトウェアの更新は明らかにゼロコストではありませんが、組織は依然としてその高額な価格に驚かされることがよくあります。 tag特に、Javaスタックプロバイダーに欠陥を修正するためのリリースをすぐに提供してもらう必要がある場合などです。例えば2022年8月にはamp7 月のアップデート (OpenJDK 8u342) で発生したシステム クラッシュの可能性を排除するために、JDK 8 の新しいビルドがリリースされました。
• 欠陥を修正するためのコストに加えて、組織はasinコンプライアンス費用に直面することになります。多くの場合、これには補償が含まれます。これは、上流工程の障害による法的影響から保護する法的「ブラストドア」です。多くのクライアントやパートナーは、こうしたブラストドアをますます頻繁に要求しています。クライアントやパートナーがJavaスタックに起因するあらゆる問題から保護されていることを示す必要な証拠を提供することは、「無料」という概念そのものを覆す、予期せぬ（そして多大な）コストをもたらす可能性があります。この問題は、同じ上流プロバイダー（Oracleなど）がサポートライセンス費用を一方的に変更した場合、複雑さと懸念がさらに増大するだけです。
• 現在、OracleはOracle Java SE向けに4つの有効なライセンス契約プログラムを提供しています。NFTC（無償契約条件）、GPLv2+CPE（クラスパス例外付きGNU一般公衆利用許諾書バージョン2）、Oracleバイナリコードライセンス、そしてOTN（Oracle Technology Network）ライセンスです。ちなみに、Azul Platform Coreのお客様は、通常、Oracle Java SEよりも70%安くご利用いただけます。

セキュリティエクスプロイト

• バグが発生することは避けられない事実です。OpenJDKのコードベースは700万行を超えるコードと多数の外部ライブラリ（すべてにバグが存在する可能性があります）で構成されています。Oracleをはじめとする企業のJavaプラットフォームに携わるエンジニアは、世界最高峰の開発者であり、NASA以外では最も厳格なテストを受けていますが、それでもバグは発生します。これらのバグの中にはセキュリティ上の脆弱性があり、時折、1つ以上のバグが高リスクまたは重大と評価されることがあります。これは、企業のIT基盤に重大な「穴」があることを意味します。これらは一般的ではありませんが、この記事の執筆時点では、Oracleが無償サポートの提供を停止して以来、23のJavaリリースのうち13に、1つ以上の高リスクまたは重大の脆弱性が存在しています。
• Java 6でアプリケーションを実行している場合、そのリリースには400件を超える既知の脆弱性があり、そのうち89件は重大なものです。これらの脆弱性の数は今後も減少することはありません。Oracleが最後にJava 6を無償リリースしたのは2013年4月です。あなたの会社は、400件を超える既知の攻撃ベクトルが存在するアプリケーションを実行する余裕があるでしょうか？

このホワイト ペーパーでは、実稼働環境で Java を運用する場合の隠れたコストのいくつかを検証します。

1. サポート
2. OpenJDKのライセンス
3. あるJDKバージョンから別のJDKバージョンへの移行
4. Javaのメンテナンス
5. 規制の遵守

有料の商用Javaサポートは、自動車保険とシートベルトのようなものです。そして、保険とシートベルトと同様に、有料の商用Javaサポートは、ほとんどの場合突然で予期せぬ、高額なインシデントが発生した場合にのみ効果を発揮します。魅力的ではありますが、サポートされていないJavaを本番環境で運用するのはリスクを伴います。

何を購入するかASINGサポート手段
ライセンスを受けた JDK プロバイダーからサポートを購入すると、安全で効果的なソフトウェアの 3 つの重要な要素が得られます。

1. ソフトウェアが顧客のデータを漏洩するのを防ぐためのセキュリティ パッチと更新。
2. 業界の規制要件に準拠していることを本質的に宣言する法的文書。
3. ソース コードを譲渡することなく、ソフトウェアが IP 法に安全かつ合法的に準拠していることを保証します。

サポート費用

• JDKディストリビューションによってサポートポリシーは大きく異なります
• OpenJDKはオープンソース・プロジェクトです。Java開発キット（JDK）の特定のバージョンのソースコードを誰でも自由にダウンロードし、64ビットIntelプロセッサ搭載のWindowsなどの主流プラットフォーム向けにJDKのすべての部分をコンパイルできます。これらの実行ファイルとライブラリはパッケージ化され、OpenJDKディストリビューションとして提供されており、様々なディストリビューションが利用可能です。無料かつサポートなしのものから、Oracle Java SEのサポートに加え、それ以上のサポートを提供する商用のものまで、プロバイダーは自由に選択できます。

選択には複雑さが伴う
Technology Compatibility Kit (TCK) 準拠の OpenJDK プロバイダーは多数存在するため、どれを他のプロバイダーと比較するかは難しい場合があります。プロバイダー間の比較検討には、以下のような点が挙げられます。

サポートされている Java バージョンはどれですか?
2025年3月現在、Javaには合計20種類以上の長期サポート（LTS）バージョンがあり、そのうち4つがLTSです。最新のLTSリリースであるJava 21のサポートは簡単に見つかりますが、リリースを遡るほど、古いバージョンをサポートするプロバイダーは少なくなります。Oracleは、以前のLTSバージョンであるJava 17の無料サポートを2024年10月に終了しました。Java 6とJava 7をサポートしているプロバイダーは2社のみです。

どのプラットフォームがサポートされていますか?
ほとんどのユーザーは、LinuxやWindowsなどの主流のオペレーティングシステムでアプリケーションを実行し、IntelやAMDなどの一般的なプロセッサを使用しています。ARMベースのプロセッサなど、あまり一般的ではないプラットフォームを環境に含める場合や、SolarisオペレーティングシステムでJavaアプリケーションを実行している場合は、ディストリビューションがそれらのプラットフォーム向けのビルドを提供しているかどうか、また修正が継続的に提供されているかどうかを確認する必要があります。

Azul サポート ライフサイクル ロードマップを参照してください

バージョンはどのくらいの期間サポートされますか?

• LTSバージョン内でも、ディストリビューションによってメンテナンスとサポートの期間は異なります。コードに変更を加えることなく現在のバージョンを10年間運用し続ける予定であれば、そのバージョンに対して少なくとも10年間のLTSが提供されていることを確認する必要があります。ディストリビューションによっては、定期的なアップデートの提供を停止した後も、そのバージョンのサポートを継続する場合もあります。この受動的なサポート期間中は、ユーザーは引き続き問題を報告でき、必要に応じてビルドプロバイダーが修正を含む特別なアップデートを提供する場合もあります。

アップデートはどのくらい早く利用可能になりますか?
定期的なJDKアップデートはOpenJDKプロジェクトを通じて開発され、OpenJDK脆弱性グループによって事前に計画された日時まで公開が制限されます。OpenJDKディストリビューションに投資する前に、公開制限解除後数時間以内にアップデートを提供してきた実績と、過去に長い遅延があったかどうかを確認する必要があります。アップデートの提供時期を明記したSLAがあるかどうかも確認してください。公開制限解除後はセキュリティ上の脆弱性の詳細が公開され、時間との競争が始まるため、アップデートのスピードは重要です。悪意のある人物はエクスプロイトの開発を始め、数日、あるいは数週間もアップデートが利用できないと、システムが危険にさらされることになります。

安定したアップデートは利用可能ですか?
Oracle Java SE では、各アップデートに 2 つの形式が提供されます。

1. 重要なパッチアップデート（CPU）：安定したセキュリティアップデート
2. パッチセットアップデート（PSU）：完全なアップデート

JDKのセキュリティを最高レベルに保つには、両方が不可欠です。Oracleが既知の脆弱性に対するパッチをリリースすると、組織は迅速にCPUを導入して脆弱性を修正できます。PSUしか持っていない場合は、アップデート全体を実装する必要があり、時間とリソースを大量に消費し、回帰テストも必要になります。CPUを提供しているのはOracleとAzulだけです。

TCKに準拠しているにもかかわらず、一部のJavaユーザーは、Oracle Javaのサポート以外では費用がかかるため、不安を感じています。Azul Platform Coreのお客様は、Oracle Java SEと比較して通常70%のコスト削減を実現しています。ユーザーからは次のような質問がよく寄せられます。

• 切り替えると機能が失われますか? これは、使用している Java のバージョンによって異なります。新しいバージョンであればあるほど、ある JDK から別の JDK に切り替えたり、あるバージョンの JDK から新しいバージョンに切り替えたりしても機能が失われる可能性は低くなります。
• JDK 11以降、Oracle JDKは関連するOpenJDKリポジトリに含まれるソースコードのみを使用していますが、それ以前は、ライセンスを複雑にするオープンソースではない機能もいくつか含まれていました。（ちなみに、これらの機能はほとんどすべてデスクトップアプリケーションとデプロイメントテクノロジに関連しており、そのうちの2つはブラウザでアプレットを実行するために必要なJavaブラウザプラグインとJava Web スタートは、デスクトップにアプリケーションを展開するのに役立ちました。 Web.)
• Oracleの代替製品を使用する場合、リグレッションのリスクはどの程度ですか？選択したOpenJDKディストリビューションがOpenJDKのソースコードから構築され、TCKテスト済みであれば、あるディストリビューションを別のディストリビューションに置き換えることで機能的なリグレッションが発生する可能性は実質的にゼロです。アプリケーションは、Oracle JDKの代替製品で実行しても動作に変化はありません。
• 最新のJava JDKバージョンに移行する必要がありますか？OpenJDKのすべてのディストリビューションは、JavaのLTSバージョンに対してアップデートという形で延長メンテナンスを提供しています。これらのアップデートの提供期間はディストリビューションによって異なります。メンテナンスが継続されている古いバージョンのJDKを使用している場合、アプリケーションは引き続きランタイムから最高レベルのセキュリティと安定性を享受できます。最新のJavaバージョンにアップデートする必要はありません。（ただし、より高度な機能を利用するためにアップデートする必要があるかもしれません。）tag最新かつ最高の機能をご利用いただけますが、必ずしもそうする必要はありません。
• アプリケーションコードを書き直したり修正したりする必要はありますか？ OpenJDKディストリビューションを切り替える際に、コードを再コンパイルする必要はありません。したがって、両方のディストリビューションのJavaバージョンが同じであれば、アプリケーションコードを変更したり書き直したりする必要はありません。

OpenJDKのライセンス費用

Review ライセンス契約をよく読んでください

• サポートサブスクリプションは、ある人にとっては災害に備える保険に加入するようなものです。またある人にとっては、開発チームやアプリケーションチームの時間を節約するアドバイザリサービスです。さらにある人にとっては、知的財産の保護と運用の保証です。ITファブリック内のJavaコードをサポートする理由が何であれ、サポートの有無はCTOの満足度を左右することが多いのです。

完全なサポートと安心のために、Java パートナーを選択する際には、次の点に留意してください。

CPUは必須
四半期ごとのアップデートやランダムなセキュリティパッチだけでは不十分です。セキュリティ脆弱性が公開されたら、できるだけ早くセキュリティ修正を提供する必要があります。また、サイクル外の修正も不可欠です。また、プロバイダーは常にCPUを提供できる必要があります。CPUは前述のセキュリティのみのアップデートですが、OpenJDKのPSUリリースとは異なります。PSUリリースには、特定のバグの修正だけでなく、リリースまでの90日間に行われたすべての作業が含まれます。PSUリリースには、新機能、セキュリティ関連ではないバグ修正、そして（場合によっては）軽減すべき新たなバグが含まれることもあります。CPUを提供しているのはOracleとAzulだけであることを忘れないでください。

セキュリティアップデートのSLAを遵守する

• 安定ビルドは、本番環境に迅速に導入する必要があります。OpenJDKプロバイダーは、セキュリティと安定性に関する主張を裏付ける実績を持っている必要があります。上記の7月のPSUリリースでは、多くのOpenJDK利用者のミッションクリティカルなシステムは、リスク軽減のためにパフォーマンスを低下させざるを得ませんでした。Javaベンダーが重大なバグやセキュリティ脆弱性に対するスポットリリースを提供しない場合、システムは四半期ごとに数日、場合によっては数週間もの間、リスクにさらされる可能性があります。

サブスクリプションには追加のリスクはありません
OpenJDKプロバイダーのバイナリは、Oracleからライセンス供与されたTCKを使用して、Java SE仕様に準拠していることを検証する必要があります。また、パートナーは少なくともJava 8および9以降のOCTLA契約に署名している必要があります。プロバイダーは、JavaクラスとAPIが汚染されていないことを保証する必要があります。

Java サポート プロバイダーは、Java Surface 領域全体をサポートする必要があります。
オンプレミス、仮想マシン、クラウドなど、オペレーティングシステムやバージョンを問わず、Javaがどこにあってもサポートできる必要があります。Javaに関する長年にわたる深い知識と、組織の多様なJavaニーズに対応できる幅広いスキルを備えている必要があります。

必要なときにいつでもサポートを受けられるようにする 
週末や祝日、そしてタイムゾーンに関わらず、サポートチームに簡単に連絡できる必要があります。アクセスのしやすさこそが、Javaパートナーの経験、献身、そして専門知識を真に信頼できる唯一の方法です。

Javaに情熱を注ぐプロバイダーを見つける
Javaプロバイダーは、プラットフォーム全体の成長と成功に尽力する必要があります。Javaプラットフォームを構成するコードに携わっていないサポートスタッフは、サポートスクリプトから逸脱する問題が発生した場合、エスカレーションを行う必要があります。一秒一秒が重要な危機的状況では、保留状態は大きな負担となり得ます。

Oracle Java SEから切り替えた場合のライセンス節約額を計算します

• Azulは、2011年にJava Community Process (JCP) Executive Committeeに初めて選出されて以来、Javaテクノロジーの進化をリードしてきました。Azulは、JDK9以降のすべてのJavaバージョンのJava仕様要求(JSR)のエキスパートグループにも参加しています。また、AzulはOpenJDKの支持者のためのベンダー中立的なコミュニティプラットフォームであるFoojay.ioを立ち上げ、スポンサーとして世界中のOpenJDKユーザーコミュニティを結集しています。

移行コスト

Oracleが言うほど悪くはない

• 組織が JDK から別の JDK への移行を検討する場合、必ず「コードを新しい JDK に移行しても、アプリケーションは変更されずに実行されますか?」という質問が出てきます。一部の JDK プロバイダーは、自社の実装で実行されるコードは別の実装では正しく実行されない可能性があることを示唆しており、より安価なディストリビューションに切り替えるよりも、高額なライセンス料を支払った方が得策だということを示唆しています。
• 実装が Java Standard Edition の定義された仕様と 100% 互換性があるかどうかを判断するための、測定可能かつ定義可能な手段が存在するというのは、なんと幸運なことでしょう。
• Azulは、3段階の移行プロセスにより、他のJavaディストリビューションからの移行において100%の成功率を誇ります。Azulの副CTOであるSimon Ritter氏が、このプロセスに関する書籍を執筆しました。ぜひ「OpenJDK Migration for Dummies」をお読みください。

テクノロジー互換性キット（TCK）

• TCKは、Java仕様の異なる実装間の互換性を確保するために作成されました。これはJavaの移植性、つまり「一度書けばどこでも実行できる」という約束を果たす上で不可欠です。TCKは、あるTCKテスト済みディストリビューションで実行されるアプリケーションが、同じくTCKテストスイートに合格した別のディストリビューションでも同じように動作するという高い信頼性を提供します。TCKを包括的と呼ぶのは控えめな表現です。Oracle JDKの代替品となるには、OpenJDKプロバイダーは120,000万件以上のテストに合格する必要があります。新しいJDKに自動インストーラーが搭載され、それを使用する場合、デフォルトのJDKを使用するすべてのアプリケーションは自動的に新しいJDKを取得します（つまり、PATHを変更する必要はありません）。
• ほとんどの場合、ドロップイン式の代替JDKはわずか5分でインストールできます。ソースコードを変更したり、アプリケーションを再コンパイルしたりする必要はありません。手順はOracle JDKのアップデートをインストールする場合とほぼ同じです。

その他の考慮事項
TCKはJava実装間の互換性を保証しますが、互換性以外の問題については必ずしも明確な回答を提供しないことに注意してください。例えば、amp10 年前、企業はコンピューティング ツールのゆっくりだが着実な変化に直面していました。CPU 設計は「より高速」から「より多く」へと変化し、具体的には「マルチコア」CPU の台頭が起こりました。この変化について、Herb Sutter 氏が「無料ランチは終わった: ソフトウェアにおける並行性への根本的な転換」と題する、今では有名になったコラムが発表されました。

• CPU メーカーが 64 ビット チップを大量生産し始めたときにも同様の変化が起こりました。また、業界が Intel x86/x64 ラインよりも ARM シリーズの CPU を検討し始めた現在でも同様の変化が起こりつつあります。
• いずれの場合も、IT組織は移行を実施しないことによる影響を評価する必要があります。例えば、amp例えば、あるIT組織が32ビットJavaプラットフォームからの移行を拒否した際、Javaプロセスで利用可能なメモリが2GBという、本質的に（そして突破不可能な）制限に直面しました。Intel CPUからARM CPUへの移行を検討する場合、Javaアプリケーションのネイティブコードを実行する部分（クラウド以外の環境でよく見られます）については、ネイティブコードがARMプロセッサで利用できることを確認する必要があり、そのためにはネイティブアセットの再コンパイルが必要になる可能性があります。
• ただし、これらの考慮事項はいずれもJavaプラットフォーム自体の外部にある懸念事項に関するものであることにご注意ください。TCKを使用することで、Javaを使用する組織は、CPUのサイズ、数、設計スタイルに関係なく、Javaコードが少なくともプラットフォーム間で同じように実行され、同じように動作することを保証できます。

意味合い

• 移行（自主的か否かに関わらず）に直面している組織にとって、TCKの存在は大きな朗報です。それは、多くの不安や心配を解消してくれるからです。アプリケーションが完全にJavaで記述されており、JVM以外の環境（以下を含みますが、これらに限定されません）について全く心配する必要がない場合、 fileシステム構成に準拠している場合、アプリケーションは TCK によって、どの TCK 準拠プラットフォームでも動作が 100% 同等であることが保証されます。
• より現実的には、ほとんどのアプリケーションはJavaプラットフォーム外の環境の特定の特性（例えば、 file既存のシステム（例えば、Javaシステム）を移行する場合、オペレーティングシステムの変更など、周囲の環境を移行する際に、アプリケーションの動作をテストするために多少の時間を費やす必要があるかもしれません。しかし、TCKはJavaアプリケーションがTCK準拠のプラットフォーム間で同一の動作をすることを保証しているため、組織が直面するテストは、アプリケーションの「エッジ」、つまり周囲の環境とやり取りする部分のみになります。これは定義上、必要な作業量の削減ですが、実際には大幅な削減となります。

エッジケース
JDK 11より前のOracle（およびSun Microsystems）JDKには、OpenJDKプロジェクトのコアには含まれていなかった機能が含まれていました。最近のJavaバージョンでは非推奨となっている古いOracleテクノロジーにご注意ください。

• JavaFXアプレット
• ジャワ Web 始める

Azulは、JavaFXを組み込んだビルドを現在も提供している数少ないOpenJDKディストリビューターの一つであり、OpenJDKとOpenJFXを組み合わせた際の完全な互換性を確保しています。Azul Downloadsでは、「JDK FX」パッケージタイプで入手できます。長期サポート版はバージョン8、11、17、21、短期サポート版はバージョン23をダウンロードできます。

• Oracle Java SEからの移行に通常どれくらいの時間がかかるか確認する

Oracleは2025年3月にJDK 8におけるJavaFXのサポートを終了し、OpenJFXを組み込んだJava 8ビルドの提供を停止します。これは、4月の最初のセキュリティアップデート以降、JavaFXを組み込んだOracle JDK 8が利用できなくなることを意味します。リスクは深刻です。

• 新しい Oracle JDK 8 バージョンでは JavaFX がサポートされなくなったため、CI/CD ビルドは失敗します。
• JavaFX 8 はオープンソース プロジェクトとしてメンテナンスされなくなり、個別のダウンロードも利用できないため、これらの失敗したビルドを修正することはできません。
• JavaFXを含む最新リリースのOracle Java 8パッケージを使い続けると、修正を含む新しいリリースが提供されなくなるため、システムがCVEに対して脆弱になります。同じことは、そのバージョンにおけるJavaとJavaFXのバグ修正にも当てはまります。

メンテナンス費用

CPUの四半期ごとの更新

• PSUアップデートにより、JDKに不快な数の新たなリグレッションが発生し、範囲外のアップデートが必要となりました。影響を受けるアプリケーションが一般的なもの（2022年7月のHadoop Clusterなど）であれば問題ありませんが、影響を受けるアプリケーションが自社のアプリケーションだけの場合はどうなるでしょうか？(1) PSUをインストールするとアプリケーションが動作しなくなるため、インストールできません。(2) アップデートで重大な脆弱性が修正された場合、CPUにアクセスできない限り、脆弱性が悪用される可能性があります。ただし、無料のJava（またはOracleとAzul以外のディストリビューション）を使用している場合はCPUにアクセスできません。影響を受けるのは自社のアプリケーションだけなので、この問題がOpenJDKでいつ解決されるか（あるいは解決されるかどうかさえも）保証はありません。(3) バグとして報告することはできますが、優先的に対応されることはありません。その結果、アプリケーションのダウンタイムが長引いたり、データ漏洩やDoS攻撃の被害に遭う可能性があります。これら3つのシナリオはいずれも、収益の減少、対策コスト、評判の低下、顧客離れなど、組織にとって計り知れないコストを伴う可能性があります。
• OpenJDKプロジェクトは、年に4回、1月、4月、7月、10月の第3火曜日にアップデートをリリースします。変更は、その時点のJavaの最新バージョンと、現在のLTSバージョンに直接適用されます。誰でもOpenJDKのソースコードをダウンロードして、独自のアップデートJDKを構築でき、セキュリティパッチ、バグ修正、機能強化が常に適用された最新の状態になります。しかし残念ながら、ほとんどの組織にとって、アップデートされたJDKを構築することは現実的ではありません。

商用 Java サポートがなければ、組織は重大なリスクにさらされます。

• セキュリティの保証やサポートはありません
• Java 6と7には商用サポートはありませんが、ほとんどのOpenJDKベンダーもサポートを提供していません。
• CPUなし
• 新たな脆弱性に対する定期的な修正は行われない
• 利用できる専門知識の不足

Oracle の場合でも、Java 6 または 7 に対する有料の商用サポートは受けられません。

エンジニアの時間は無料ではない
新しい一般的な脆弱性または露出 (CVE) が発表され、組織が CPU を受け取っていない場合、いくつかの選択肢がありますが、どれも適切ではありません。

• 何もせずにCVEが悪用されないことを祈る
• PSUがリリースされるまで待って実装し、その間にCVEが悪用されないことを期待しましょう。手動で修正を適用することにエンジニアリング時間を割きましょう。
• 2021年12月にLog4jライブラリでLog4Shellの脆弱性が発見された際、組織は脆弱なバージョンを探し出し、パッチを適用しようと躍起になりました。パッチが適用されなければ、組織はCVEが悪用されないことを祈るか、Javaで最も広く使用されているライブラリの一つであるCVEの使用を中止するしかありませんでした。そして、多くの組織が感染したバージョンをうっかり再導入し続けていたことが、この脆弱性の決定的な弱点となりました。
• 何か問題が発生した場合、エンジニアに問題の解決のためにお金を払っているにもかかわらず、顧客のために新しい機能を構築するという本来の業務を遂行できていないことになります。

Javaアップグレードのハムスターホイール

• Oracle Javaの商用サポートをご利用中で、引き続き無料でご利用になりたい場合は、Javaのバージョンを継続的にアップグレードする必要があります。最新のLTSバージョンは無料ですが、以前のLTSバージョンは新しいLTSバージョンのリリースから1年後に無料サポートが終了します。

Azul Platform Core と無料の OpenJDK ディストリビューションを比較する

Azul Intelligence Cloud の機能である Azul Vulnerability Detection は、DevOps の効率向上に役立つ 4 つの利点を提供します。

• JVM からの固有の情報を使用することで誤検知を排除し、バックログを優先順位付けして、使用中の脆弱なコードに重点を置きます。
• 運用環境でどのような新しい重大な脆弱性がどこで使用されたかを継続的に検出し、時間を節約し、Log4Shell の検出などのイベントによる中断を最小限に抑えます。
• 本番環境で実行されるコードを正確に特定することで、DevOps は実行されていないコードを簡単に識別して削除できるようになり、未使用のコードの保守とアップグレードの負担が軽減されます。
• コードの使用履歴を保持することで、脆弱なコードが脆弱性として認識される前に悪用されたかどうかを判断するための集中的なフォレンジック作業が可能になります。

規制遵守の確保

違反すると罰金や評判の失墜につながる可能性がある

• これらの脆弱性すべてが、アプリケーションの健全性やセキュリティに関する懸念を引き起こすわけではないかもしれません。しかし、医療、金融、政府機関、ホスピタリティ、小売、運輸といった機密性の高い業界では、お客様の考えは異なるかもしれません。多くの業界では、パートナー、サプライヤー、プロバイダーに対し、厳格な規制を遵守していることを示す文書の積極的な提供を求めています。「CVE-123456は当社にとって脅威ではないはずです」と自社のブログに掲載しただけでは、ビジネスリーダーの心を静めることはできません。攻撃者がコードの脆弱性を悪用できないよう、あらゆる合理的な対策を講じていることを公に示す必要があります。留意すべき規制の例をいくつか挙げると、以下の通りです。

北米
サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) の指令は、金融機関を含む重要なインフラストラクチャ部門をサイバー脅威から保護するために機能します。

• 罰則: 罰金や刑事告訴などの民事罰

医療保険の携行性と責任に関する法律 (HIPAA) は、患者の健康情報のプライバシーを保護します。

• 罰則: 最高5万ドルの罰金と最高1年の懲役

ヨーロッパ
Cyber​​ Essentials は、サイバー攻撃から IT を保護するために取り組んでいることを顧客に安心させるために設計されています。

罰則: 罰金、法的措置、規制上の制裁

一般データ保護規則 (GDPR) は、EU の消費者プライバシー保護およびセキュリティに関する法律です。

• 罰則：個人の場合は最高20万ユーロ、企業の場合は世界売上高の4％までの罰金、および刑事罰

デジタル運用レジリエンス法 (DORA) は、デジタル運用リスクに対する金融セクターのレジリエンスを強化します。

• 罰則: 個人には最高1万ユーロの罰金、企業には年間売上高の2％の罰金、行政処分、ライセンスの取り消し、ブランドの毀損

アジア
シンガポール通貨庁​​ (MAS) は、IT ガバナンス、サイバーレジリエンス、運用継続性に重点を置いた金融セクター向けのガイドラインを提供しています。

• 罰則: 罰金、民事罰、刑事有罪判決

Essential Eight は、テクノロジーを保護するためのターゲットを絞った指示を提供します。

• 罰則: PPI の取り扱いを含む中央政府契約に入札するには認定が必要です。

知的財産問題

• ソフトウェアに対する実際の脅威や攻撃への懸念に加え、企業の収益に同様に悪影響を及ぼす、はるかに巧妙な脅威が存在します。オープンソースソフトウェアがソフトウェア開発における大きな力として台頭するにつれ、知的財産（IP）法は過去半世紀で地殻変動的な変化を遂げてきました。50年前、フリーソフトウェアやオープンソースソフトウェアは大企業では脇役に追いやられることが多かったのですが、2025年にはほぼすべての事業において中心的な存在となり、特にJavaを使用する場合は顕著です。
• たとえば、ビルドプロセスの一部として使用されるツールを作成するために、GNU Public License (GPL) ライブラリを使用するとします。そのソフトウェアも GPL であると宣言する必要がありますか? GPL を使用して作成されたライブラリを利用する言語を使用している場合はどうでしょうか? ソフトウェアのソースを誰でもダウンロードできるようにする必要がありますか? 会社のメールに GPL の法的要件に従うことを要求する停止命令が届いた場合、会社を破産させることなく従うことができますか? あるいは、ソフトウェアの知的財産が「汚染」されていないことを証明できますか? 答える前に、(1) JDK 自体は多数の GPL コンポーネントを使用してビルドされていること、(2) GPL には、GPL ライセンスのものはすべてそのライセンスを維持し、誰でも無料でダウンロードできるようにする必要があるなど、非常に特別な要件があることを知っておく必要があります。
• IP 問題の脅威を軽減するには、正式な認証と検証を受けた OpenJDK の特定のビルドへのアクセスを提供する Java プロバイダーが必要です。これにより、OpenJDK を製品に組み込んだり、埋め込んだり、配布したりしても、製品の IP またはコードがライセンス要件 (GPLv2 のソース コード開示要件を含むがこれに限定されない) によって汚染されないことが保証されます。

垂直規制コンプライアンス規制を参照

結論

• JDKバージョン6と7、および8の初期リリースは無料でご利用いただけます。OracleはJDK 8の商用サポートを引き続き提供していますが、JDK 6と7のサポートを終了したため、セキュリティリスクにさらされる可能性が高まっています。2018年12月にサポートが終了したJava 6と、2022年7月にサポートが終了したJava 7では、共通脆弱性識別子（CVE）が継続的に発見されています。商用サポートでは、これらの旧バージョンのJavaを保護するセキュリティパッチに加え、コンプライアンス要件をより適切に満たすための最新バージョンのJava向けのクリティカルパッチアップデート（CPU）も提供されます。
• 商用サポートは、不安定なアップデート（2024年7月に世界中の企業を停止させたCrowdstrikeのアップデートなど）に対する保険のような役割を果たします。JDKのフルアップデートでリグレッションが発生した場合、Azulのお客様は、変更点がはるかに少ないCPUバージョンをインストールしていれば保護されます。（これまで、Azul CPUは、四半期ごとのフルアップデートで発生する定期的なリグレッションの影響を受けていません。）お客様がフルアップデートをインストールしたために影響を受ける場合は、すぐにCPUに切り替えることができます。
• CPU に加えて、Azul (および他の商用サポート プロバイダー) は、セキュリティ更新の SLA を提供し、必要に応じて重要なサイクル外の修正を提供します。
• 重要なビジネスアプリケーションをJavaで実行する場合、商用サポートは不可欠です。タイムリーなセキュリティ修正や重大なバグ修正に加え、Java開発キット、Javaランタイム環境、またはJava仮想マシンに関連する問題の根本原因分析とトラブルシューティングには、世界中に分散した専門エンジニアリングサービスへのアクセスが不可欠です。
• 商用サポートは、保険とメンテナンスを1つのサブスクリプションにまとめたもので、Azulの場合は知的財産保護も提供します。Azulは、JDKをコピーレフト侵害から保護し、特許および著作権侵害の訴訟から顧客を保護します。
• Javaアプリケーションのセキュリティと安定性を確保することは、Javaに依存する企業にとって最優先事項です。Azulの商用サポートをご利用いただくことで、投資を保護し、コンプライアンス要件を満たし、リスクを軽減しながら、専門的なエンジニアリングサービスと包括的な知的財産保護のメリットを享受できます。これがAzulの商用サポートの要点です。

アズールについて

• Azul は、2014 年から Java コミュニティ向けに OpenJDK の Zulu ビルドを無料で提供しています。Azul Platform Core の商用提供は現在、Fortune 100 企業の 36%、Forbes の世界で最も価値のあるブランド トップ 10 の 50%、世界のトップ 10 金融取引会社すべてにおいて、数千万台のサーバーとデバイスで使用されています。
• Azul の世界クラスのサポート サービスでは、タイムリーなセキュリティ更新とバグ修正に関する厳格な SLA コミットメントが提供されるほか、Java 8 と 11 の両方で Flight Recorder や Mission Control などの主要なテクノロジーのサポートも提供されます。また、Azul は、Java 6/7 のサポートに加え、包括的な IP 保護と補償も提供する唯一のベンダーです。
• OpenJDK の Zulu ビルドおよび商用サポート オファリングに関する追加情報については、今すぐ Azul OpenJDK スペシャリストにお問い合わせください。

Azulにお問い合わせください
385 モフェットパークドライブ、スイート115 サニーベール、カリフォルニア州

• 94089 アメリカ合衆国 +1.650.230.6500
• www.azul.com
• 著作権 © 2025 Azul Systems, Inc.

よくある質問