パッチ・チューズデー無視のすゝめ

　パッチ・チューズデーが再び巡ってきた。しかし、提供される修正プログラムを慌てて実装しなかったとしても短期的にセキュリティが悪化することは一切なく、むしろ将来的に向上するかもしれない。

　これが、アナリスト企業ガートナーのリサーチ担当バイスプレジデント クレイグ・ローソン氏の意見である。ローソン氏は 5 月に開催された同社のインフラストラクチャ、オペレーション&クラウド戦略カンファレンスで、次のように話した。「これまでまだ誰も パッチを適用することによって脅威アクターに対して大勝利をおさめたことはありません」と。

　ローソン氏によれば、これまでにハイパースケーラーや銀行、小売業者、政府機関とパッチ適用について話し合ってきたが、きちんとパッチを当て続けることができている企業や機関など 1 つもなかったという。

　そのため、ほとんどの組織は自らの「脅威負債」レベル（既知だが未修正のセキュリティエクスポージャーに焦点を当てた技術的負債の評価基準）を把握できておらず、パッチ適用のスピードを上げることがその負債を減らす方法であるという誤った考えを持っていると、ローソン氏は考えている。

　ローソン氏はそれを、愚かなことと考える。なぜなら、開発者はユーザーが安全に実装可能な量を超えるパッチを出すからだ。