勝手にパッチが当たっていく

以前PaaSのリリースアップについてアプリのテストなどの観点で考えてみました。では、もうすこし細やかな単位のパッチなどの適用はどうでしょうか。

GoogleやSalesforceなどの既存のクラウドベンダーをみても、さすがにパッチをいつ適用したかなどはほどんど公開していないようです。たぶん問題がおきたりしたら、その問題解決などでパッチ適用なりをしているのでしょう。大きな問題や、セキュリティーの問題などのときは、多少の事後報告は公式Blogなどであるようです。

バグの入ったパッチが適用されたら、という心配はあるにせよ、そこはそのシステムの開発、兼運用専門ベンダー。パッチによってシステムが止まったというのは、ほどんど聞かないか、あまり公表されていません。クラウドのパッチ適用は、よく言えばアプリケーションにとってほとんど透過的ということでしょう。

ところで、普通のオンプレミスのシステムではどうでしょう。システムのベンダーがパッチがある程度出てきた段階で、今度これを適用させてくださいと提案するのがよく見られる光景でしょうか。それがミッションクリティカルなシステムの場合などは特にですが、既存のシステムに影響がないか、他のお客様での実績などを求められることがよくあります。

場合によっては本番と同じような環境で事前テストを十分に行い、サービス開始時さながらのパッチ適用体制も見られます。ユーザーにとっても万一のことを考えると気の抜けない、またベンダーにとっても大仕事であり、かつ両者にとってコストのかなりかかる場面です。

おそらく、パッチを当てないほうがリスクがあるか、当てたほうがリスクがあるか、このせめぎ合いが、クラウドとオンプレミスのパッチに対する大きなアプローチの違いを表しているのだと思います。

ミッションクリティカルの分野では、パッチに対してお国柄もでるようです。日本では総じて、パッチ一つでも万一のことがあってはいけないので極めて慎重で、欧米や中国などでは問題が減る可能性があるのであればとどんどん当てていくという傾向があるようです。

クライアントPCなどはインターネットのセキュリティー課題の急激な増大から、もはや少なくともセキュリティーパッチを当てないでやりすごすという選択肢はなくなりつつあるでしょう。

身近には、携帯電話が最近では中身はよくわからないまでも、知らないうちにどんどんパッチがあたっているようです。また、最近の車では点検に出すたびに新しいファームウェアにあげるということが行われています。

ベンダーのエンジニアとしては、いっそのこと一切パッチを当てなくて塩漬けで済むようなシステムのアーキテクチャーがでてこないかと妄想にふけりたくなります。でなければパッチ適用の運用管理をきっちりプランしてお金を積んでおくか、さもなくばやっぱりクラウドで一切まかせてしまう。このあたりもクラウドとオンプレミスの選択の際の大きな考慮点の一つかもしれませんね。