オラクルのパッチ心理学
翻訳校正:石橋啓一郎
数週間前、データベース管理者はOracleの重大なパッチの更新をインストールしていない状態であることを明らかにした調査が公表されたが、Oracleは遅ればせながらこれに応えた。
OracleのEric Maurice氏は、この調査の対象の数が少なすぎることを批判したが、だからといってわれわれが報じなかったというわけではない。しかしその後Maurice氏はパッチの心理学について興味深い議論を行っている。端的に言えば、パッチはひどいものだが、ユーザーが思うほどひどいものではないかも知れないということだ。
問題は、パッチを当てることで予期しない結果が生じることがあることだ。最悪の場合、多くのアプリケーションが動作しなくなることもあり得る。このリスクと攻撃への脆弱性が秤にかけられることになる。Maurice氏は次のように書いている。
人間は一般に、不確実な将来の困難よりも、既知のすでに接している困難の方を好むものだ。例え不確実な困難が、はるかに重要で危険な影響がある場合でもだ。パッチを当てるかどうかという判断は、例えば不注意なドライバーが3、4分待つのを嫌がって黄色や赤色の信号を無視するのと同じであり、事故が起こった場合のそのような行動の代償(けがや死の危険)を意図的に無視するものだ。
これは面白い論点だ。Maurice氏の主張する対策はより興味深いものだ。
パッチに対する心理的な反発を取り除く方法は、セキュリティパッチの適用を、生産システムの通常の保守の一部として義務化するか、特定の時点で特定のシステムに対しパッチが必要かどうかを示す客観的な尺度を提供することだけだ。
簡単に言えば、Maurice氏が提示している選択は、強制的な供給か、パッチのROI指標かというものだ。明らかにわれわれの多くは指標の方を選ぶだろうが、Maurice氏はパッチ手続きには保険統計表は存在しないと指摘している。
それでも私は、業界がパッチに関するROIを測る何らかの標準的な方法に合意することは可能だと考える。しかし、より可能性が高いのは保守と同時にパッチが義務化される方だろう。読者はどう思われるだろうか。パッチは義務化されるべきだろうか。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
セキュリティパスポート
[PR]
NECソフト
「ヒヤヒヤする男のためのソリューションサイト」
ITの本来の目的であるビジネスコミュニケーションの活性化と
高い安全性を両立できる「コミュニケーションセキュリティ」とは
- この記事を読み解くキーワード:
- セキュリティ情報
ZDNet用語検索
企業情報
キーワード
関連ホワイトペーパー
-
.NET 環境に完全対応した、画像処理ソフトウェア開発キット
【株式会社プロトン】
-
旅行業におけるFatWire CMS導入事例 【FatWire株式会社】
-
Reflection for Secure IT―SSH 適用事例 4― 【サイバネットシステム株式会社】
-
【技術資料】企業活動を脅かすスパイウェアを無効化 【株式会社アズジェント】
-
"次世代メールセキュリティの統合プラットフォーム
Sendmail Mailstream Manager" 【センドメール】
関連製品
- M@gicPolicyCoSMO
ISMS(情報セキュリティマネジメントシステム)を構築し、PDCAに則ったマネジメントサイクルを運用し、管理するためのISMS構築・運用・維持支援ツール。
【アズジェント】 - E-Post BossCheck Server
上長(上司)が部下のメールをチェックし送信許可の可否を判断
【イー・ポスト】 - スパイラル・メッセージングプレース
業界に先駆けて「サービス品質保証制度(SLA)」を導入した顧客情報管理ソフトウェアです。これからウェブサイト管理を始めるライトユーザー様から、e-CRMの最前線を担うヘビーユーザー様まで、多様な利用シーンに対応できる柔軟性を備えております。
【パイプドビッツ】
注目記事
似ているようで違う「災害対策」と「事業継続管理」--「もしも」に備えるBCM
・今回は災害対策と事業継続管理との違いを確認し、災害対策特有の課題は何か、その背景と解決策について考えてみたい。 2008/05/12 08:00 【「もしも」に備えるBCM】
Windows XP SP3、今度はエンドレス再起動の問題生じる
・互換性問題で一時中断されていた「Windows XP Service Pack(SP)3」の提供が先週再開されたばかりだが、今度はエンドレス再起動問題が報告されている。今のところMicrosoftは再び提供を中止する予定はない。 2008/05/12 04:38 【オール・アバウト・マイクロソフト】
カテゴリ新着
プレスリリース
プレスリリース Feed- 関西マルチメディアサービス: インターネットセキュリティ啓発活動の取り組み強化について
- デジパ: デジパ(株)ベトナム拠点を設立、ベトナム人ITエンジニア派遣をスタート。
- ニューズ・ツー・ユー: News2u.net 2008年4月のアクセスランキング 北九州「小倉コロナワールド」、「サンプルプラザ札幌」、「原宿SoLaDo」。新規オープン店舗のニュースが注目される
- サーヴァンツインタナショナル: サーヴァンツインタナショナル(株)が Zarlinkのオプトエレクトロニクス製品の取り扱いを開始。
- インクリメント・ピー: インクリメントP 地図検索サイト「MapFan」 ローカル広告サービスを利用し、映画館への誘導を開始! ―映画「隠し砦の三悪人 THE LAST PRINCESS」タイアップキャンペーンにて−
最新記事
- マカフィー、盗難データの価格リストを発見--口座ログイン情報の値段は?
- 似ているようで違う「災害対策」と「事業継続管理」--「もしも」に備えるBCM(4)
- 欧州のモジラ推進団体会長、プロプライエタリなウェブの危険性について警告
- Windows XP SP3、今度はエンドレス再起動の問題生じる
- Railsのコードライティングから開発サイクルまで包括するIDE「3rdRail」
- インターコム、IT全般統制を支援するログ・資産ツールの新版を販売へ
- グループウェアの端末に複合機を活用--ネオジャパンとリコーが協業強化
- 仮想化によるコスト削減を見える化:オンラインTCOカリキュレータ
- 世界標準の情報セキュリティプロフェッショナル認定資格「CISSP」って何?
- IBMとTATA、どっちがよりアメリカ的か?(ZDNet Japanブログより)
企画特集
-Simplify IT- ITをシンプルに 連載第2回- PowerEdgeサーバ〜Windows Server 2008モデル登場
オンラインマーケティングの最重要課題- ウェブ解析ツールを自社の味方につけるノウハウとは
ブログ
ブログ RSS Feed
ブログ開始にあたり- 裏方の裏方日記〜日々是広報 2008/04/22 00:00
- Second Life 新世界的ものづくりのススメ
- 続 VPSについて 日本Linux協会blog
- IT-Walker on ZDNet
- ちょっとドメイン編 〜DNSの流れについて〜 「ズームイン!IPアドレス」ちょっとドメインも
- 日時の表示フォーマット あとで読むRailsのススメ
- Mac OS X 10.5.2 update 猫科の手も借りたい
- 大競争時代のBI活用術
- アジアIT通信
- OpenSSLのs_clientでGMailにアクセス log4day〜1人月からの脱却
- 脱線いたしま〜す 「あの頃は会社をやめる事ばかり考えていた」 真水不足のミッドウェイ
- 現場からの「協働革新」
- 「Second Love Story」〜あの頃の僕たちに〜
- DIY的ITシステムのススメ
- MacPortsに乗り換えた Macでたしなむスクリプト言語
- tool editor: emacs(5) - ~/.emacs Admin.Mac
- インサイドオープンソース
- 9X Problem 「エンタープライズ2.0」への道しるべ
- J. O'Gradyのアップルコア
- グーグリングGoogle
- シリコンバレーの現場から
- エンタープライズニュースの読み方
- ZDNet.com オープンソースブログ
- ZDNet.com SOAブログ
- ITセキュリティー下学上達
- IP Telephony最前線
- CSKに聞く! ITIL成否を分ける要因「なぜPDCAが回らない!?」 (2) ITIL:インサイドストーリー
注目トピックス From CNET Japan
マイクロソフト、「XP SP3」の提供を延期--未対応の問題発見で - マイクロソフトは米国時間4月29日、未対応な問題が新たに発見されたことを理由に「Windows XP Service Pack 3(SP3)」のリリースを延期したことを発表した。
次世代DVD戦争は終結も…、進まぬBlu-rayプレーヤーの普及 - HD DVDとBlu-rayを巡る次世代DVDの規格争いは終結したものの、その後も、勝ち残ったBlu-rayプレーヤーの販売台数が大幅に伸びるといった状況にはなっていない。高い販売価格がネックとなり、依然として一般的な消費者からは敬遠されている。
ニコニコ動画とAR(現実拡張)技術が可能にする「ニコニコ現実」という未来 - ニコニコ動画の大きな特徴の1つが、他のユーザーと一緒に動画を見ているかのように感じられる擬似同期性だ。この手法は、ほかのサービスでも応用できるのだろうか。