エンジニアとして普段業務を行っている方は「パッチ」という単語を耳にすると思います。
普段の生活の中ではなかなか登場しない単語なのでイメージが付きづらかったのですが
簡単に言うと「OSやソフトウェアのセキュリティを高めるアップデート用のファイル」のことを指します。
どんなサービスやソフトウェアでも完璧なものはなく、
リリース当初は問題がなくても、時間経過とともに脆弱性が発見されることがあります。
そのまま放置していると悪意を持った人から脆弱性をついた攻撃を受けてしまうかもしれません。
※素人の僕には細かいことはわかりませんが、そのようなことが出来る人が世の中にはいるみたいです
そのような事態を防ぐために定期的に「セキュリティパッチ」を当ててあげる必要があります。
元々コンピュータが誕生したときはスタンドアロンで使用しており、
ネットワーク経由でコンピューターを使用していませんでした。
業務に必要な機能を備えたコンピューターを必要な人が必要な時に使用していました。
技術の進歩によりスタンドアロンの利用から複数のコンピューターをネットワークで接続して使用するコンピューターネットワークが普及して、個々のコンピューターに格納されている情報を複数のコンピューターで共有したり、遠くのコンピューターへ瞬時に情報を送ったりできるようになりました。
コンピューターネットワークが広まり、接続範囲から会社内から会社間、インターネット経由で別の企業のサービスにも接続できるようになったりと、利用可能なことが増えた反面、インターネット経由で不特定多数の人から攻撃を受ける可能性も出てきました。
※元々コンピューターネットワークは性善説に基づいた運用がされていましたが、インターネットの普及により、その運用では発生するリスクに対処することができなくなっていきました
そのためセキュリティパッチを適用し、セキュリティリスクを低減させることがコンピュータを使用するうえで必要になります。
エンジニアになりたての時は、運用保守の費用を払ってエンジニアにパッチ適用前後で導入しているソフトウェアやOSが問題なく動くか等を検証させて、定期的にパッチを適用するのってコスパ悪くないか、セキュリティパッチって当てないとだめなのか、と思っていましたが、
万が一脆弱性をついて内部のコンピューターが攻撃され、情報漏洩や業務停止などの事態が起きれば企業の信用や利益の損失は運用コストよりも遥かに大きいものになると予想されます。
そのような攻撃のリスクがあるうちはセキュリティパッチの適用は必須と言えるのかと思います。
逆に悪意を持った人間が世の中からいなくなり、脆弱性をついた攻撃のリスクについて対処の必要がなくなればセキュリティパッチは当てる必要のないものと言えるのかもしれません。
参考:マスタリングTCP/IP入門編 第6版
https://www.ohmsha.co.jp/book/9784274224478/
