「パッチチューズデー」が20周年 ～WindowsなどMicrosoft製品の月例セキュリティ更新

公式ブログ「Windows Experience Blog」

　Microsoftの「パッチチューズデー」が、20周年を迎えたとのこと。この20年を振り返る記事が、公式ブログ「Windows Experience Blog」で公開されています。

　「パッチチューズデー」（Patch Tuesday）は、毎月米国時間第2火曜日に実施されているセキュリティアップデート（日本時間では第2水曜日だったり、第3水曜日だったりもします）。「Windows Update」と呼ばれたりもしますが、Windowsだけでなく、「Office」や「SQL Server」、「Exchange Server」、「Dynamics 365」、「.NET」といったMicrosoft製品のセキュリティパッチが一斉に配信されるアップデート祭りの日です。

　この「パッチチューズデー」は2002年1月12日（米国時間）、ビル・ゲイツが始めた全社的な取り組み「Trustworthy Computing」（TwC：信頼できるコンピューティング環境）運動の一環として始まりました。

　当時のMicrosoftは「勢力拡大を急ぐあまり、セキュリティがおざなりになっているのではないか」と批判されることが多々ありました。そこで製品になにかあってから対応するのではなく、セキュリティの向上へ継続的に取り組み、定期的にセキュリティパッチをリリースしていこうとなったわけです。

　同社は2006年、「Windows Vista」をリリースし、ユーザーアカウント制御（UAC）や組み込みのウイルス対策機能「Windows Defender」、強化されたファイアウォールなどを導入しましたが、「パッチチューズデー」の定着を図ったのも注目されるべきでしょう。

　加えて、2008年には定例外（OOB）更新プログラムの概念が導入されました。これはWindowsを標的としたワーム「Conficker」のような、定例パッチの配信を待つと被害が拡大してしまう緊急を要する脆弱性に対処するために設けられました。

　「パッチチューズデー」最大の転機は、2015年に登場した「Windows 10」でしょう。このOSでは「Windows as a Service」というコンセプトの下、継続的にアップデートする体制が整えられました。ザックリいうと「Windows 10」は最後のOSであり、これからは年に2回の大規模アップデートと、毎月のセキュリティパッチでずっと改善していくのだというわけです。

　その後「Windows 11」が登場したり、大規模アップデートが年に1回になるなどの修正は行われましたが、基本的なコンセプトは引き継がれています。

　現在では同社製品にとどまらず、ハードウェアのドライバーも「Windows Update」の仕組みで配信できるようにしようという業界全体の協力体制も構築されつつあります。また、セキュリティの強化はしばしば互換性問題を引き起こしますが、これに対しては機械学習を活用した早期検知・パッチの配信停止システムの整備が進んでいます。

　不具合が怖いのでアップデートしないという方もまだまだ少なくはありませんが、セキュリティパッチは必要があって配布しているもの。できるだけ早期に適用するよう心掛けたいものです――ちなみに、今月のパッチチューズデーは11月15日、今週の水曜日です！！