コラム
» 2005年07月19日 19時43分 公開

毎月第2火曜は業界パッチデー? (1/2)

Microsoftのパッチデーと他社のパッチリリースが重なることが増えてきた。他社はMicrosoftの陰に隠れようとしているが、これはオープンで正しいやり方ではない。

[Larry Seltzer,eWEEK]
eWEEK

 以前からそうした傾向は見られた。毎月第2火曜日はMicrosoftのパッチデーかもしれないが、この日は「業界のパッチデー」に発展した。

 これは、Microsoftが業界を方向付けているケースの1つだ。こうしたことは皆さんが思っているよりも頻繁に起きている。Microsoftがセキュリティアドバイザリを発明したわけではないし、同社がアドバイザリの専門家にならずに済めばいいのに願っていることを天は知っている。だが、同社は顧客の声を聞き、このプロセスを会得した。

 そして今、他社も耳を傾けている。彼らはMicrosoftをまねようとしただけではなく、毎月第2火曜日にMicrosoftの陰に隠れようとしている。これはオープンで正しいやり方のお粗末な代用品だ。正しい方法の1つは、Microsoftが――アラートやパッチをリリースする3営業日前に――パッチの数や影響を受ける製品、最も重大なアラートの深刻度、システムのリブートが必要かどうかを通知しているやり方だ。

 これはもっぱらIT計画に関わることだ。一部の人はMicrosoftが決められた日までパッチをリリースしないことを批判してきたが、差し迫ったエクスプロイト(攻撃用コード)でもない限り、深刻なパッチをいきなりリリースしても秩序正しいIT部門の役には立たない。現実に緊急事態が迫っていれば、ソフトベンダーも顧客もスケジュールを脇に置かなければならないし、迅速性が重要になるが、そのような事態は割合まれである。

 Oracleの最近の発表に関して、わたしが最初に思ったのは、同社もまたMicrosoftに付き従っているということだ。しかし、同社の四半期に一度のパッチアップデートのスケジュールを見てみると、Microsoftのパッチデーと一致することは多くないと分かる。Oracleは1月、4月、7月、10月の15日に最も近い火曜日にパッチをリリースする。Microsoftは第2火曜日にリリースする。今月はリリース日が一致したが、それはまれなことだった。

 しかし、MicrosoftとOracleが同時にアップデートをリリースしたら、ITはもっと良くなるのだろうか? それはアップデートの内容――詳しい情報はリリース日が近づくまで分からない――による。わたしたちがその核心に至るころには、おそらくは、ほかのどの企業もアップデートを提供してくるだろう。そうなったら今月とは違って、本当に嫌な月になる。

 しかし、嫌な月は時折やってくるだろうが、平均的なケースに向けて計画を立てる方がいい。平均的な月には、特に事前に通知が出ていれば、関連する作業の量は重荷というほどではない。今月の作業の多さは共通の(パッチの)日を計画しない理由になると考える人は、Microsoftを含めて複数のベンダーが調整も事前通知もなしで同時にアップデートをリリースする可能性がまだあるということを心に留めておくべきだ。事前の通知はあった方がいいではないか。

 わたしとしては、すべての企業が同じ日にパッチをリリースすることはあまり重要ではないと思う。本当に重要なのは予測できるかどうかだ。すべての主要ベンダーが独自のアップデートリリーススケジュールを標準にすると決めたら、セキュリティ担当者はあまりに多くの定期イベントに対処しなくてはならない。わたしはそれが心配だ。たぶん、それぞれの部門が走らせているソフトと使える人員を考えると、部門ごとに考え方は違うだろう。これについてはぜひ皆さんの意見を聞いてみたいものだ。

 しかし、ここ数年のMicrosoftやほかのベンダーのアップデート慣行から考えると、このプロセスに秩序があった方がいいということは分かる。

混雑する2005年のパッチデー

       1|2 次のページへ

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -