　同研究所では、オープンソース製品、Microsoft製品、その他の商用製品における生産環境をそれぞれシミュレートしている。専用の検証／分析ツールを作製して、これらのシステムにパッチを適用する必要が生じる頻度やその影響について調査しているのだという。Microsoftは、緊急を要する問題が発生し、スケジュールを前倒しにしなければならない場合をのぞき、「Patch Tuesday」システムを利用して、パッチおよびアップデートを月に1度提供している。同社のこうしたシステムは、さまざまなLinuxやその他の商用ソフトウェアベンダーが採用しているモデルとは異なるものだ。

　Microsoftは、Red Hat Enterprise LinuxおよびSUSE Linuxの最新バージョンばかりでなく、「Mandriva」「Gentoo」「Debian」「Ubuntu」といったLinuxディストリビューションに関してもテストを続けている。また、幅広いUnixシステムやBSD（Berkeley Software Distributions）も検証対象としている。

　多くのソフトウェアディストリビューションに対して提供されているアップデートの数が明らかになったが、ヒルフ氏にとっては、定期的なパッチの適用およびアップデートが必要なのはMicrosoftソフトウェアだけではないという事実が重要な意味を持っているようだ。

　LinuxベンダーであるRed Hat（ノースカロライナ州ローリー）のセキュリティレスポンスチームリーダー、マーク・コックス氏は、最新のセキュリティアップデートを施していない場合に、マシンがセキュリティ問題の影響を受ける可能性が最も大きくなると述べている。「ユーザーを保護するためには、ベンダーが全アプリケーションスタックにおけるセキュリティアップデートを、可能なかぎり簡単で手間のかからないものにする必要がある」（コックス氏）

　2005年にはRed Hat製品に17件の深刻な脆弱性が発見されたが、同社は情報公開後2日以内に、全問題に対する修正パッチを「Red Hat Network」を通じてユーザーに提供した。コックス氏によれば、パッチの87％が第1日目にリリースされたのだという。

「こうした統計結果が、あるプラットフォームを選んだことで将来被り得るリスクや損害を懸念するユーザーに安心感を与えている」とコックス氏は話す。「パッチを月に1度のアップデート時にまとめて提供したり、深刻度の低い脆弱性を無視したりすれば、セキュリティ勧告の数を減らすことができるが、それでは状況が悪化し、ユーザーに対するリスクも肥大してしまう。われわれは、アップデートの回数を減らす競争には加わらない」（コックス氏）

インテグレーションを検証する

　2006年は、Microsoft製品とオープンソース競合製品の間の相互運用性が高まると考えられている。2005年9月に同社がJBossと提携契約を結んだことからも、そうした傾向を察するのは難しくない。また、製品サイクルの初期段階で相互運用性に関する問題を把握したり、脆弱性が明らかになった時点でパッチを提供したりといった取り組みに、Microsoftが積極的になることも予想されている。

　MicrosoftおよびJBossは、「Active Directory」、Webサーバ、マネジメント、「SQL Server」の4点に注力していくと述べている。

　米Centeris（ワシントン州ベルビュー）のCEOであるバリー・クリスト氏をはじめ、一部のパートナー企業は、Microsoftのオープンソースコミュニティに対する態度は改善されつつあると評価している。「Microsoftの管理ツール部門のスタッフと話してみると、彼らが顧客から複数のプラットフォームをサポートするよう圧力を受けていることがわかる。同社の他部門は異なる受け止め方をしているかもしれないが、われわれが交渉した人々は概して協力的だった」（クリスト氏）

　Microsoftは同社の全製品に関して、相互運用性を高める努力をしてきた。

「当社はこうしたすべての取り組みを、非常に単純な目的のために行っている。すなわち、どのような環境であっても、Microsoftのソフトウェアを利用するユーザーに最高のエクスペリエンスを提供したいと考えているのだ。オープンソースソフトウェアとMicrosoftソフトウェアの双方の観点から、ユーザーに相互運用性を保証できるように努めたい」（ヒルフ氏）

原文へのリンク