今週の Black Hat USA カンファレンスで発表したトレンドマイクロは、興味深いコメントを述べました。

ここ数年、私たちは憂慮すべき傾向に気づきました。それは、パッチの品質低下とパッチに関するコミュニケーションの減少です。その結果、企業は自社システムへのリスクを正確に予測できなくなっています。また、不良パッチが再リリースされ、再適用されることで、コストとリソースの浪費にもつながっています。

このコメントは、新しいパッチリリース期間である0/30/60/90について説明するためになされたものです。しかし、非常に痛ましい点を指摘しています。

脆弱性が発表され、パッチが公開されたとしましょう。組織はこれらのパッチを適用するための時間をスケジュールします。数千、数万ものシステムを抱える組織であれば、これは決して簡単なことではありません。そして、関係者全員の同意を得て、作業員を配置した後（いつも真夜中です）、疲れ果てた作業を経て、ある幹部が「企業は安全です」という報告を受け取ります。

翌日、「実は、それでは状況は改善されませんでした。もう一度やり直してください」というメールが届いたらどうでしょう。殺人はこうやって起こるのです。

そのため、TMのアプローチは少しペースを落とすというものです。これは諸刃の剣です。急いで修正をリリースし、後でパッチを当てる必要が生じたとしても、少なくとも初期の攻撃は抑えられるでしょう。一方、より洗練されテストされたパッチをリリースするまでに時間をかけたい場合、人々のシステムが既に侵害されている可能性があります。

TM のアプローチの詳細については、 Zero Day Initiative ブログをご覧ください。