Oracleも、同社独自の月例「パッチデー」を宣言する準備が整ったようだ。
同データベースメーカーは米国時間19日、今後毎月決まった期日にパッチをリリースする計画があることを認めた。Microsoftは昨年10月、毎月第2火曜日に自社のソフトウェア用パッチをリリースすることに決めたが、Oracleの動きはこれに倣ったものだ。
「あらかじめ決まった日程で、さまざまなのフィックスを1つにまとめたパッチを発表するほうが、顧客のニーズを満たすことになると考えている。決められたスケジュールですべてのパッチセットを準備するのは大変なことだが、定期的にパッチを発表することが、顧客にとって正しいことだと確信している」と、同社はCNET News.comに宛てた声明のなかで述べている。
この動きは、どうやらアプリケーションメーカーやオペレーティングシステム(OS)メーカーが決まった予定でパッチをリリースするという、ソフトウェア業界の動向を示すものかもしれない。パッチを定期的にリリースすることについて、顧客側の便益よりもメーカー側の体裁をつくろうための方策だと批判するセキュリティ研究者も多いが、反対にこれがセキュリティ対策に貢献すると考えている研究者もいる。
「ここでもっとも大事なのは、企業のIT部門が更新や導入を予定に入れられるため、予告なしに出されたパッチに対処しなくてもよくなることだ」と、脆弱性評価を専門とする、Qualysの技術最高責任者(CTO)Gerhard Eschelbeckは述べている。
Qualysの脆弱性評価部門は先ごろ、企業が自社のシステムにより迅速にパッチをあてるようになっているというデータを発表した。Eschelbeckは先ごろ開かれたあるセキュリティ会議で、2003年には30日だった「脆弱性の半減にかかる時間(脆弱性のあるコンピュータの半分を修正するのにかかる時間)」が今年の上半期には21日に減少したと述べた。
この減少をもたらした一因は、Microsoftが導入した新しいパッチのリリーススケジュールにあるかもしれない、とEschelbeckは説明している。また、複数のフィックスを1つの「統合」パッチにして発表するというMicrosoftのやり方は、アップデートの適用をさらに簡単にしていると、独立系のセキュリティコンサルタント、Rik Farrowは述べている。
「統合パッチはユーザーの負担を大きく軽減してくれる。この点では統合パッチに軍配が上がる」と同氏は述べた。
企業はパッチのあて方が上手になったように思えるが、一部のデータは、ソフトウェアメーカーが定期的にパッチを発表するようになることで、欠陥に対処するのが遅くなるのではという懸念を示している。多くの批評家は、Microsoftがいくつかの欠陥を直すのにあまりにも悠長に対処したと考えており、例として、7月に伝えられた欠陥に対し、翌年の1月にパッチが出たことを引き合いに出し、パッチの作成に200日以上もかかったと指摘している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」