自動アップデートに潜む危険

 8年前にGNU/Linuxを使い始めた頃、1日の始めに決まってシステム全体のアップデートを行うDebianユーザたちのことを知って驚いたことがある。最近のGNOMEやKDEベースのディストリビューションの通知トレイに未だに各種アップデートが居座っている状況を考えると、ああして毎日アップデートを行っていた人々が奇特な人々ではなく、“いかなるアップグレードも適用するのが望ましい”という考え方の先駆者だったのだとわかる。しかし、こうした考え方が迷惑千万なもので正しさが保証されていないのはもちろん、恒常的なアップデートはコンピューティングの多くのスタイルにそぐわず、責任を伴ったシステム管理の方針にも反している。

 ほかの人がどう思っているかは知らないが、私にとってアップデータはいつもイライラの種である。GNU/LinuxのアップデータがWindowsのものよりマシなことは認めよう。かのオペレーティングシステムでは、アップデートに関するポップアップ通知が30秒おきに現れ、自動アップデートをオフにすれば、「システムが危険にさらされています」という警告が絶えず表示される。これまでのところ、GNU/Linuxのアップデータはもっと慎み深く、利用可能なアップデート数を通知する目障りなポップアップがログイン時に限って現れるか、システムトレイにアイコンが表示される程度である。また、GNU/Linuxではシステム全体に1つしかアップデータが存在しないが、Windows Vistaではアップデータを3つも4つも抱えていることがある。それに、少なくともGNU/Linuxのアップデータはオフにすることができる。

 それでもやはりアップデートをしつこく催促される傾向があり、おそらくその時点では気にも留めないような通知のせいで、作業に集中する気がそがれてしまう。いつでも好きなときに見られるログファイル形式にしてほしいものだ。

 しかし、アップデータは単に迷惑な存在というだけでは済まない。危険を生み出す要因にもなっている。思うに、アップデータ利用の背景には、ソフトウェアパッケージは最新版ほど安全でバグが少ないという前提があるのだろう。しかし、自分のシステムをよく調べれば誰でもわかることだが、その前提が正しいという保証はどこにもない。

 アップグレードを過剰に利用する人々を待ち受けているのは、プログラム間の競合、未解決の依存関係、さらにはシステムの破壊といったあらゆる危険だ。どのディストリビューションのメーリングリストにも、不用意なアップブレードによってシステムをダメにしてしまった軽はずみな人々の悲嘆の声があふれている。実は、特定のプログラムに対するセキュリティアップデートやフィックスを除けば、平均的なデスクトップユーザは“支障がない限りは手を加えるな”という方針に従うほうが問題が少なくて済むはずなのだ。

 とはいえ、アップデータの機能は、考えなしに使うには勿体ないくらいに使いやすく出来ている。どんなアップデータを右クリックしても、内容を確認せずにすべてのアップデートをインストールするオプションが存在する。また、アップデートの内容を確認したうえでインストール対象を選択できるオプションもある。しかし、Fedora 7では、やみくもにすべてのアップデートを適用するよりはわずかにマシという程度のものでしかない。パッケージの説明が一文しかなくて実体がよくわからないからだ。そうした説明(場合によってはパッケージ名だけのこともある)から、システムの安定した動作にとってそのアップデートがどれほど重要かがわかる場合もある。しかし、アップデート内でどんな変更が行われているのか、またそのアップデートが自分にとって役に立つのかどうかまではわからない。

 Debianの場合、アップデートにおける変更内容の一覧が表示されることだけは確かである。ただし、この表示は「Show Details」ボタンをクリックしないと出てこない。どんなアップデータも、何も考えずにすべてのアップデートを受け入れさせるように仕向ける設計になっている。アップデートには責任が伴うという前提とは裏腹に、アップデータは考えられる最も無責任な方法でのアップデートを勧めているのだ。

 こうしたやり方は、標準のリポジトリにこだわる人にとってはかなり都合が悪い。普通とは違ったことをした場合、アップデータはもっと大きな問題を生み出す可能性さえある。たとえば、実験版リポジトリをDebianを追加して次にログインしたときには、品質上問題のある何十、何百という新たなアップデートの通知が行われる。アップデータから個々のリポジトリやパッケージを除外する仕組みは存在しない。ユーザはしょっちゅう、特定のパッケージを入手したり、特定の問題に対する解決策を探したりするために標準でないリポジトリを参照するというのにである。ユーザはそうしたリポジトリの中身の大部分には興味がないし、それらはどのみち日常使用には向かないものだ。にもかかわらず、そうしたリポジトリの追加後にアップデータを使って不用意な選択をすると、否応なしに問題のあるアップデートがシステムに適用されてしまうことになる。

 ユーザはそんな軽率なことをするほど愚かではない、と言う人もいるだろう。しかし、ほかのことに意識が向いていたり注意を怠っていたりすると、間違いを起こしやすくなることは事実だ(こういうことを信じない人ほど災難に見舞われやすい。何事も万全を期すためには、誰でもときには愚かな過ちをするのだという考え方が重要になる)。

 いずれにしても、デスクトップユーザの多くはそれほど事情通ではない。アップデータの自動インストールやアップデータのメニューが、新しいアップデートはすべてシステムに追加するのが標準の手順なのだ、と思わせるように作られている以上、彼らがアップデータの言いなりになるのも無理はない。彼らにはシステム上の全パッケージのバグリストを読んで理解できるだけの十分な知識がないし、また多くの場合はそうするだけの時間もないのだ。

 アップデートの一覧は、システム管理には有用である。だが、バグフィックスとセキュリティフィックスとの区別、機能の拡充、ユーザが考え抜いたうえで選択できるほどの十分な情報提供(特に新規ユーザに対しては)が必要だ。さもないと、Windowsのように、ユーザがシステムに直接向き合うことを敬遠するようになってしまうだろう。

Bruce Byfieldは、Linux.comとIT Manager’s Journalに定期的に寄稿しているコンピュータジャーナリスト。

Linux.com 原文