数週間前、データベース管理者はOracleの重大なパッチの更新をインストールしていない状態であることを明らかにした調査が公表されたが、Oracleは遅ればせながらこれに応えた。
OracleのEric Maurice氏は、この調査の対象の数が少なすぎることを批判したが、だからといってわれわれが報じなかったというわけではない。しかしその後Maurice氏はパッチの心理学について興味深い議論を行っている。端的に言えば、パッチはひどいものだが、ユーザーが思うほどひどいものではないかも知れないということだ。
問題は、パッチを当てることで予期しない結果が生じることがあることだ。最悪の場合、多くのアプリケーションが動作しなくなることもあり得る。このリスクと攻撃への脆弱性が秤にかけられることになる。Maurice氏は次のように書いている。
人間は一般に、不確実な将来の困難よりも、既知のすでに接している困難の方を好むものだ。例え不確実な困難が、はるかに重要で危険な影響がある場合でもだ。パッチを当てるかどうかという判断は、例えば不注意なドライバーが3、4分待つのを嫌がって黄色や赤色の信号を無視するのと同じであり、事故が起こった場合のそのような行動の代償(けがや死の危険)を意図的に無視するものだ。
これは面白い論点だ。Maurice氏の主張する対策はより興味深いものだ。
パッチに対する心理的な反発を取り除く方法は、セキュリティパッチの適用を、生産システムの通常の保守の一部として義務化するか、特定の時点で特定のシステムに対しパッチが必要かどうかを示す客観的な尺度を提供することだけだ。
簡単に言えば、Maurice氏が提示している選択は、強制的な供給か、パッチのROI指標かというものだ。明らかにわれわれの多くは指標の方を選ぶだろうが、Maurice氏はパッチ手続きには保険統計表は存在しないと指摘している。
それでも私は、業界がパッチに関するROIを測る何らかの標準的な方法に合意することは可能だと考える。しかし、より可能性が高いのは保守と同時にパッチが義務化される方だろう。読者はどう思われるだろうか。パッチは義務化されるべきだろうか。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
「セキュリティ」 の新着情報
-
月額498円でノートン先生が保護--イー・モバイル、月額版ノートン 360提供
シマンテックは、イー・モバイルの月額制オプションサービス「EMセキュリティ」のユーザーを対象に、セキュリティソフト「ノ... - 日本PGP、ホワイトリスト活用するデータ保護とアプリ制御の新製品を発表
- TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
- MS、11月の月例パッチで「Windows」「Office」の脆弱性を修正すると事前通知
- 三井住友銀行、投資銀行部門のEUC基盤でセキュリティ対策強化
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
jailbreakされたiPhoneがハックされ、5ドルを要求される
jailbreakされたiPhoneにインストールされてるSSHデーモンに、デフォルトのrootパスワードが設定されている問題を利用して、自動的に攻撃が仕掛けられる事件が起こった。 -
フィッシング実験ですべてのスパムフィルタを迂回することに成功
-
Shockwave Playerに深刻なセキュリティホール--アドビが修正パッチ公開
-
US-CERT、BlackBerryをねらったスパイウェアを警告
-
ボットネットに接続させるFacebookのパスワードリセットスパムが出回る
- Zero Day 一覧へ »
-
日本モバイルインターネット端末市場分析 〜2008〜2012年のMID及びスマートフォン...
- 電力消費量を可視化〜!身近なPC管理から始めるグリーンIT統制〜
- 中堅企業におけるテクノロジーと成長
- 【SUN xVM portfolio】ダイナミックなデータセンターのための仮想化プラットフォーム
- 企業コスト削減の傾向と対策 〜最新アプローチのトレンド〜
- 高パフォーマンス・データベースの実現に向けたステップ
- パンデミックでも社員を守り業務継続を支援する
- 大容量ファイル、機密情報データの受渡しに! ~~ ファイルエクスプレス ~~
- インターネットセキュリティにおける今後の展望’09-’10
- データセンタとサーバルームの動的な電力変動
企画特集
-
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
最大32個のセンサーが電力を徹底管理!
『省エネ性能』追求HPx86サーバー徹底レビュー -
求めているのはSIerのエンジニア!!
連載インタビュー第1話、グリーCTO藤本氏が語る -
進むストレージ環境の見直し
仮想環境に最適なiSCSIストレージLeftHandのメリット -
情報漏えいを食い止める!
証跡としての信用力を高めるメールアーカイブとは? -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
VMware OEMベンダー6社を独占インタビュー
IBM、HP、NEC、DELL、日立、富士通のVMwareの取り組み -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中
-
17. Intel Threading Building Blocks
オライリーブックから出版されている「Intel Threading Building Blocks... -
18. Intel Integrated Performance Primitives
単に最適化コンパイラを使うよりもパフォーマンスを良好にするルーチン...
新着企業動向
-
ウォルフソン、半導体開発センターを開設
ウォルフソン・マイクロエレクトロニクス -
【東京会場】12/5(土)プログラミングからWeb デザインまで、高速・高機能のテキストエディ...
エムソフト -
【Infinito PLUS誕生記念】今なら月額利用料金が永久半額!さらに初期費用全額還元!
GMOホスティング&セキュリティ -
HitachiSoft NetInsightll Firewall Suite
アズジェント - 企業動向一覧へ»
