オラクルのパッチ心理学

　数週間前、データベース管理者はOracleの重大なパッチの更新をインストールしていない状態であることを明らかにした調査が公表されたが、Oracleは遅ればせながらこれに応えた。

　OracleのEric Maurice氏は、この調査の対象の数が少なすぎることを批判したが、だからといってわれわれが報じなかったというわけではない。しかしその後Maurice氏はパッチの心理学について興味深い議論を行っている。端的に言えば、パッチはひどいものだが、ユーザーが思うほどひどいものではないかも知れないということだ。

　問題は、パッチを当てることで予期しない結果が生じることがあることだ。最悪の場合、多くのアプリケーションが動作しなくなることもあり得る。このリスクと攻撃への脆弱性が秤にかけられることになる。Maurice氏は次のように書いている。

　人間は一般に、不確実な将来の困難よりも、既知のすでに接している困難の方を好むものだ。例え不確実な困難が、はるかに重要で危険な影響がある場合でもだ。パッチを当てるかどうかという判断は、例えば不注意なドライバーが3、4分待つのを嫌がって黄色や赤色の信号を無視するのと同じであり、事故が起こった場合のそのような行動の代償（けがや死の危険）を意図的に無視するものだ。

　これは面白い論点だ。Maurice氏の主張する対策はより興味深いものだ。

　パッチに対する心理的な反発を取り除く方法は、セキュリティパッチの適用を、生産システムの通常の保守の一部として義務化するか、特定の時点で特定のシステムに対しパッチが必要かどうかを示す客観的な尺度を提供することだけだ。

　簡単に言えば、Maurice氏が提示している選択は、強制的な供給か、パッチのROI指標かというものだ。明らかにわれわれの多くは指標の方を選ぶだろうが、Maurice氏はパッチ手続きには保険統計表は存在しないと指摘している。

　それでも私は、業界がパッチに関するROIを測る何らかの標準的な方法に合意することは可能だと考える。しかし、より可能性が高いのは保守と同時にパッチが義務化される方だろう。読者はどう思われるだろうか。パッチは義務化されるべきだろうか。