第121回　連載10周年記念セミナー第1弾報告、MySQLで自然言語を使った機械学習処理への第一歩、PostgreSQLのセキュリティ脆弱性の修正版を確認

この連載はOSSコンソーシアムデータベース部会のメンバーがオープンソースデータベースの毎月の出来事をお伝えしています。

連載10周年記念セミナー第1弾報告と第2弾予告

「DX♥←データ活用民主化！←OSS？」を開催

この連載は8月に公開した第120回で10周年を迎えました。その8月に開催されたオープンソースカンファレンス2025 kyoto（OSC京都）にて、OSSコンソーシアムではデータベース部会メンバーが中心となって記念セミナーの第1弾を行いました。

データベースの目的のひとつはデータの価値ある活用でしょう。今回のOSC京都では、データベース（DBMS）の技術面ではなく、データの活用のアイデアや事例に着目して講演とパネルディスカッションを構成してみました。

データを活かすことがデジタル変革への道！〜IPAのお役立ち施策を紹介: 今回はゲストとして登壇した独立行政法人情報処理推進機構（IPA）から、DX（デジタル変革）のためにはデータを活かすことが必要との視点に立ち、参考になりそうな情報がいくつか提示されました。最近のIPAの調査結果である「DX動向2025」では日本企業の内向きな傾向が見られる点を指摘。データ活用でも内向きを脱して、組織や国を横断してデータが流通し活用する事を目指す「データスペース」の考え方を紹介しました。また、考え方や方向性だけではなく、世の中でどんなチャレンジをしている人たちがいるのか、成功事例があるのかを紹介する「デジタル事例データベース」を紹介しました。

ノーコードツールとデータ活用民主化: オープンソースカンファレンスの常連メンバーであるインプリムの内田社長からは、OSSのノーコードツールであるプリザンターの採用事例から、ノーコードツールを使ってデータを上手に活用している事例などが紹介されました。ノーコードツールは、今では代表的なビジネスツールのひとつになったと言えるでしょう。オフィスワークの代表パターンである「○○管理システム⁠」⁠、たとえば、顧客管理、案件管理、課題管理、などを、現場ニーズに合わせて迅速に用意できることが大きな魅力だろうと思います。; 今回は、やや新しい視点として、プリザンターでIT資産管理を実現している例が紹介されました。この事例では、別のOSSであるGUI可視化ツールのMetabaseと連携もさせています。OSSを活用することで、データ活用の民主化を実現している事例として興味深いものでした。

パネルディスカッション「DX♥←データ活用民主化！←OSS？」: OSSコンソーシアムは長年継続している点はメリットなのですが、セミナー登壇メンバーにシニアが多いのが課題ではあります。そこで今回は、大学生2人にも参加してもらって、若いメンバーのアイデアに刺激をもらおうと考えました。; 「自由な発想でデータ活用のアイデアを出して欲しい」と無茶振りをしたところ、音（音楽）や色（画像）を環境情報や他者との関係性で選択する・特徴付ける考えを提案してもらいました。非テキスト情報のマルチモーダル情報を扱うアイデアや技術はもちろん従来からあります。「⁠データ活用のアイデアは？」と訊ねたときに、若い世代では真っ先に音や色などのアイデアが出てくるのだな、という点が新鮮な気づきとなりました。; その後、ベテランのITプロたちも交えて議論をしました。音や色を使うアイデアは、センサー系（IoT）にもつながるでしょう。ところが、センサーからデータを集めるIoT関連では、データから価値を生み出すような成功事例が、日本では極めて少ないという実態も紹介されました。; パネルディスカッションの様子は録画しています。その場限りで話している部分もありますので、一部を編集した上で、OSSコンソーシアムのWebサイトから視聴いただける様に準備中ですので、少々お待ちください。

10周年記念のメイン企画を10月のオープンソースカンファレンス2025 Online/Fallにて

10月にはオープンソースカンファレンスのセミナーの部がオンラインで開催され、全国から参加が可能になります。そこで、連載と部会の10周年の節目のセミナー第2弾を、このオープンソースカンファレンスOnline/Fall内で実施します。内容はデータベース部会メンバーで相談中ですが、データベースのこれまでを振り返りつつ、データ管理技術やデータ活用の将来像について考える様なものにしたいと考えています。次回のこの連載では詳細をお伝えします。

［MySQL］2025年8月の主な出来事

8月はMySQLサーバーのバージョンアップはありませんでした。公式なアナウンスはされていませんが、オラクルが提供するクラウド版MySQLのサービス名称が、これまでのHeatWave MySQLから「MySQL HeatWave」に変更となりました。オラクルの英語版のWebサイトやマニュアルなどでは、すでに新しい名称が利用されています。

名称変更にあわせて、各機能の名称もMySQL HeatWaveで始まるように変更されています。

例）HeatWave GenAI → MySQL HeatWave GenAI

MySQLサーバーの最新のバージョンにあわせて、7月22日にはMySQL HeatWaveでも9.4.0, 8.4.6および8.0.43の各バージョンを利用できるようになっています。

MySQL HeatWave 9.4.0の新機能

MySQL HeatWave 9.3.0では、MySQLサーバー上に作成する一時表のオプションにSECONDARY_ENGINE=RAPIDを付けることで、HeatWaveクラスターにロードすることができるようになっていました。9.4.0からは、ストレージ・エンジンをしているオプションとしてENGINE = RAPIDを指定することで、一時表のデータをHeatWaveクラスターのみに置くことが可能となっています。この一時表の挙動は、通常のMySQLサーバーの一時表と同じくセッション単位で利用可能で、セッション切断後は自動的に削除されます。

MySQL HeatWave Lakehouseでは、外部表を作成する際に指定するオプションの書式として、これまでのJSON形式に加えて、CREATE TABLE文のオプションの形式も利用可能となりました。

MySQL HeatWave GenAIでは、9.4.0からOCI生成AIサービスの専用AIクラスタが利用できるようになりました。専用AIクラスタは、カスタム・モデルのファインチューニングなどを行うお客様独自のモデルを利用できるサービスです。また一部のモデルは専用AIクラスタのみでご利用いただけます。2025年8月末の時点では、Meta Llama 4 Scout（meta.llama-4-scout-17b-16e-instructは、日本国内では大阪リージョンの専用AIクラスタのみでご利用いただけるようになっています。

自然言語での機械学習⁠、への第一歩？

新機能としてNL2MLが追加されています。これは自然言語（Natural Language）を機械学習（Machine Learning）のインターフェースとすることを意味しています。新たに追加されたsys.NL2ML() 関数を利用すると、MySQL HeatWave AutoMLを利用するためのステップや仕様を確認できます。作成済みのテーブルの情報をコンテキストとしているため、特定の機械学習の操作のためのコマンドを問い合わせると、スキーマ情報を考慮した回答を返すようになっています。

デフォルトでは、MySQL HeatWave GenAIで提供しているHeatWaveに組み込まれたイン・データベースLLM（大規模言語モデル）を利用して、自然言語での問い合わせの理解と回答を行っています。9.4.0ではデフォルトでmeta.llama-3.3-70b-instructを利用します。また、設定によってOCIの生成AIサービスが提供するCohereなどのLLMも利用可能です。

sys.NL2ML()関数の実行例

mysqlsh > CALL sys.NL2ML("test.sample_lkテーブルの列col1の値から異常値を検出するためのコマンドは？", @output);
Query OK, 0 rows affected (7.5702 sec)
 MySQL  192.168.1.205:33060+ ssl  test  SQL 

mysqlsh > SELECT @output\G
*************************** 1. row ***************************
@output: {"text": "CALL sys.ML_TRAIN('test.sample_lk', 'col1', NULL, @anomaly_model);"}
1 row in set (0.0006 sec)

なお9.4.0の時点では、NL2MLは英語以外には正式には対応していませんが、ある程度正しい回答が返ってくることもあります。ただこの例の後に改めてsys.NL2ML() 関数を実行してもエラーになるため、チャット履歴が格納されている変数@nl2ml_optionsをNULLにする必要がありました。

現時点ではMySQL HeatWave AutoMLの機能を自然言語での問い合わせから直接実行されることはないため、出力されたコマンドなどを改めて手動で実行する必要があります。今後の発展に期待したい機能です。

［PostgreSQL］2025年8月の主な出来事

サポート中の全バージョンが対象になる、危険性の高いセキュリティ脆弱性が見つかって修正版がリリースされています。また、次期メジャーバージョンの新しいベータ版も出ました。

pg_dump等のセキュリティ脆弱性を修正したアップデートがサポート中の全バージョンを対象にリリース

8月14日に、サポート中の全てのバージョン（13〜17）についてのアップデート版がリリースされました。リリースされたバージョン番号は、17.6、16.10、15.14、14.19、13.22です。このリリースには3つのセキュリティ脆弱性の修正が含まれています。3つのいずれもバージョン13から17まで全部が対象です。3つの脆弱性の内、pg_dumpに関連する2つについては、CVSSのベーススコアが8.8と高い（危険な）レベルになっていますので要注意です。

CVE-2025-8713⁠：PostgreSQLオプティマイザ統計でのView/Partition/Child Table内のサンプルデータの露出: PostgreSQLオプティマイザの統計情報により、ユーザーはアクセスできないビュー内のサンプルデータや、行セキュリティポリシーで非表示にすることを意図したサンプルデータを読み取ることができます。PostgreSQLは列で使用可能なデータをサンプリングしてテーブルの統計情報を維持し、このデータはクエリプランニンプロセス中に参照されます。PostgreSQLの以前のリリースでは、ユーザーはビューのアクセス制御リスト（ACL）をバイパスし、パーティション分割またはテーブル継承階層の行セキュリティポリシーをバイパスする漏洩演算子を作成することができていました。アクセス可能な統計データには、特にヒストグラムと最頻値リストが含まれていました。CVE-2017-7484とCVE-2019-10130は、このクラスの脆弱性を解消することを目的としていましたが、このギャップは残っていました。
CVE-2025-8714⁠：PostgreSQLのpg_dumpによりオリジンサーバーのスーパーユーザーがpsqlクライアントで任意のコードを実行できる: PostgreSQLのpg_dumpに信頼できないデータが含まれるため、オリジンサーバーのスーパーユーザーに悪意があると、リストア時にpsqlを実行しているクライアントOSのアカウントでpsqlメタコマンドを介して任意のコードを挿入してリストアすることが可能でした。また、pg_dumpallも影響を受け、pg_restoreもプレーンフォーマットのダンプを生成する際に影響を受けます。
CVE-2025-8715⁠：PostgreSQLのpg_dumpオブジェクト名の改行によりpsqlクライアントと復元対象サーバーで任意のコードが実行される: PostgreSQLのpg_dumpにおける改行コードの無効化が不適切なため、ダンプをリストアするためにpsqlを実行しているクライアントOSアカウントで、意図的に細工されたオブジェクト名内のpsqlメタコマンドを使用することができました。同様の攻撃により、リストア対象サーバーのスーパーユーザーとしてSQLインジェクションを実行することも可能でした。また、pg_dumpall、pg_restore、pg_upgradeも影響を受けます。CVE-2012-0868でこの種の問題は修正されていましたが、バージョン11.20で再び発生しました。
今回発見されたセキュリティ脆弱性と更新の参考情報: 今回発見された脆弱性については、SIOS SECURITY BLOGでも解説されています。こちらでは、PostgreSQLを含んでいる主要Linuxディストリビューションでの対応状況も整理されています。

PostgreSQL 18 Beta 3もリリース

バージョン13から17のアップデートがリリースされたのと同じ8月14日には、次期メジャーバージョン18の3回目のベータ版も公開されています。リリースのお知らせには「2025年9月または10月頃の一般提供に一歩近づきました」と記されていますので、ベータ版での修正も収束しつつあるのでしょう。

PostgreSQL 18ベータ3の概要

PostgreSQL 18 ベータ 3 の修正と変更は次のとおりです。

単純なクエリにおけるパフォーマンスの低下を修正
いくつかの追加ソフトウェアで発生するキャンセルキーを取得できないエラーを修正
クラッシュ後にバックグラウンドワーカーが再起動できない問題を修正
まれに発生する非同期I/O障害を修正
pg_dumpall --statistics-onlyおよび--no-schemaで余分なオブジェクトのダンプを停止
pg_dumpallの非テキスト出力ファイル形式を削除
32 ビットシステムでのdate_trunc(..., 'infinity'::timestamptz)を修正

新機能と変更された機能の完全なリストについては、リリースノートを参照してください。

PostgreSQL 18のための参考情報

〔PostgreSQL 18検証報告⁠，SRA OSS〕: PostgreSQLの解説や検証結果を日本語でまとめてくれているSRA OSSが、次期バージョン18の検証報告を公開してくれています。
〔fdw接続のためのSCRAMパススルー認証⁠，EDB〕: PostgreSQL 18に組み込まれる予定のFDW（外部データラッパ）関連の改善機能についてEDBの技術ブログで解説されています。新しい機能の設定方法・使い方は噛み砕いて解説したものが無いと、なかなか手を出しづらいと思います。少々マニアックな内容かも知れませんが、このような解説があると助かるでしょう。

2025年9月以降開催予定のセミナーやイベント⁠、ユーザ会の活動

イベントごとに利便性のあるオンライン開催や、従来通りのオンサイト（会場）開催、またはハイブリットが混在するようになっています。興味を持たれたら、参加したいイベントの開催形態にご注意ください。

オープンソースカンファレンス（OSC）／オープンデベロッパーカンファレンス（ODC）〔9月〜10月開催分〕

日程	〔ODC〕2025年9月6日（土）10:00～18:00 〔Niigata〕2025年10月4日（土）10:30～16:30 〔Online/Fall〕2025年10月17日（金）〜18日（土）10:00～18:00 〔Tokyo/Fall〕2025年10月25日（土）10:00～16:00
場所	〔ODC〕docomo R&D OPEN LAB ODAIBA（東京都港区・台場フロンティアビル）〔Niigata〕新潟国際情報大学新潟中央キャンパス（新潟市中央区）〔Online/Fall〕オンライン会場（Zoom＆YouTube Live）〔Tokyo/Fall〕東京都立産業貿易センター台東館（東京都台東区）
内容	オープンソースカンファレンス（OSC）は、オープンソースの今を伝えるイベントです。東京だけでなく、北は北海道、南は沖縄まで、年間を通じて全国各地で開催しています。オープンソース関連のコミュニティや協賛企業・後援団体による、セミナーやプロダクトの展示などを入場・参加料が無料でご覧いただけるイベントです。現在は開催地域によってオンラインとオフラインで開催しております。〔ODC（オープンデベロッパーカンファレンス）〕開発者とインフラエンジニアの交流の場として、「⁠DevOps」「⁠開発」「⁠開発者」をキーワードに、さまざまな最新情報を提供いたします。プログラムはすでに公開されています。〔Niigata〕新潟での開催回が発表されました。セミナー発表者、ブース出展申し込みを募集中です。9月12日締切です。〔Online/Fall〕2日間でセミナーのみをオンラインで開催されます。セミナー発表者募集は9月8日締切です。〔Tokyo/Fall〕こちらは会場開催で展示のみ（セミナー無し）の開催です。出展者募集中で9月18日締切です。それぞれの開催回でのOSSデータベース関連の発表については、公開されるプログラム詳細をご参照ください。
主催	オープンソースカンファレンス実行委員会

Oracle Cloudウェビナー - AI活用のデータ基盤におけるHeatWaveやMySQLの位置づけと活用方法

日程	2025年9月3日（水）15:00～16:00
場所	オンラインセミナー（Zoom）
内容	AIの活用が企業の競争力を左右する現代において、データ基盤の構築と最適化は不可欠です。処理すべきデータ量の増加や異なる種類のデータの統合、最適なアルゴリズムの選択、さらにはセキュリティの確保など、これまでのデータ管理を超えた課題の解決も求められます。また高度なリアルタイム・データ分析が要求されることも増加しています。リアルタイムデータ処理や分析を高速化するためのデータベース技術、および機械学習や生成AIを統合したデータ活用基盤として、MySQLをベースとしたクラウドサービスのMySQL HeatWaveが注目されています。本セミナーでは、これらの技術がAI活用においてどのように位置づけられ、どのように活用できるのかを具体的に解説します。
主催	日本オラクルセミナー事務局

OSS-DB Exam Silver技術解説セミナー

日程	2025年9月6日（土）13:00～14:15
場所	オンライン開催
内容	OSS-DB Exam Silver技術解説セミナーは、データベースの技術、特にPostgreSQLの習得やOSS-DB Exam Silverの認定取得を目標に学習を進めている方を対象とした無料のオンラインセミナーです。解説する内容についてより具体的に身につけられるよう、各回テーマを絞って行っていきます。今回は、OSS-DBのWebサイトにある無料の学習コンテンツ「例題解説」の問題を解きながら解説を進めていきます。テーマは、OSS-DB Exam Silver S3.1「SQLコマンド」です。PostgreSQLのより深い理解、およびOSS-DB Exam Silverの受験対策に役立つ内容です。参加費は無料ですが、事前に参加登録してください。
主催	特定非営利活動法人LPI-Japan

PostgreSQL 18最新情報セミナー〜コントリビューターが新機能を一挙解説

日程	2025年9月12日（金）14:00～15:40
場所	オンライン開催（Zoom Webinar によるライブ配信）
内容	今年秋に正式リリース予定の最新バージョンPostgreSQL 18では、非同期I/O機構の導入、Bツリーインデックスにおけるskip scanのサポートなど、さらなる機能強化と性能向上が図られており、より多様なユースケースへの対応が可能になります。本セミナーでは、PostgreSQLの概要とバージョン 17までの歩みを振り返りながら、PostgreSQLコントリビューターとして活躍する講師が、PostgreSQL 18の主要な新機能を中心に、わかりやすく解説いたします。
主催	株式会社SRA OSS

Oracle HeatWave Meet in Tokyo - シンプルな構成でデータを資産に変える -

日程	2025年11月6日（木）15:00～19:00
場所	ANAインターコンチネンタルホテル東京
内容	本セミナーではITとビジネス双方の視点から、この課題に対するソリューションや実際のお客様事例をお伝えいたします。ご紹介するのは、使い慣れたMySQLを基盤に、DB内のデータからオブジェクトストレージ上のファイルまでを統合的に分析できる、革新的なクラウドネイティブサービス「MySQL HeatWave」とそのユーザ事例です。シンプルな構成でビジネス要求に俊敏に応える。経営とITの双方にメリットをもたらす次世代のデータ戦略を、最新の導入事例と共に解説します。2025年10月に開催の⁠”Oracle AI World⁠”の最新発表内容を踏まえ、MySQL HeatWaveの製品戦略をご紹介します。申し込みページは近日公開予定です。
主催	日本オラクルセミナー事務局

PostgreSQL Conference Japan 2025

日程	2025年11月21日（金）10:00～18:10（9月8日まで講演発表の募集中）
場所	AP日本橋（東京都）6F（東京駅より徒歩5分）
内容	毎年秋に開催されている日本PostgreSQLユーザ会（JPUG）主催のPostgreSQL Conference Japan 2025が案内されました。午前に2講演、午後は4トラックで多数の講演が予定されています。午後からの16セッションの内、通常セッション（50分）6 枠と展示会場小セッション（25分）4枠の講演が一般募集されています。講演募集の締め切りは2025年9月8日です。本イベントの実行委員や当日スタッフも募集しています。参加にはチケットの購入が必要です。一般参加チケットは9月21日から発売予定になっています。
主催	日本PostgreSQLユーザ会

db tech showcase 2025 Tokyo（アーカイブ配信）

日程	2025年8月21日から当面の間
場所	オンライン配信
内容	国内で開催されるデータベース関連の主要なカンファレンスのひとつです。OSSデータベース専門のセミナーではありませんが、MySQLやPostgreSQLをはじめさまざまなOSSデータベースについての多数のセッションが毎年設けられています。
主催	株式会社インサイトテクノロジー