- PR -

「セキュリティパッチを当ててはならない」という考え方について

1
投稿者投稿内容
PacketMapet
会議室デビュー日: 2004/02/23
投稿数: 3
投稿日時: 2004-02-24 03:00
皆様はじめまして。

業務の中で疑問に思ったことがあります。
わかる方がおられましたら、返答いただけますでしょうか。

当社は「セキュリティパッチを当ててはならない」という方針の会社です。
パッチによってdllが更新され、その影響で業務ソフトが動かなくなっては困るからだ、
という理由からです。なのでWindowsUpdateも推奨していません。

動かなくなるのは困りますので正論に聞こえますが、本当にそうでしょうか。
パッチを当てる影響はあらかじめ予想がつかないのでしょうか?
また検証する方法は確立されているのでしょうか?
m.ku
大ベテラン
会議室デビュー日: 2002/09/15
投稿数: 184
投稿日時: 2004-02-24 04:46
基本的には天秤です。
プログラムの改善に伴うメリットと、当てないデメリットの。
そのどちらを取るのかは場合によって異なります。
一般論で判断するのではなく、それぞれのサーバ・環境に合ったものを
選択する必要があります。セキュリティパッチといっても、該当する
サーバに当てるのが無意味な場合も構成等によってはありえますので、
技術的に正しく判断できることがサーバ管理者には求められます。

> パッチを当てる影響はあらかじめ予想がつかないのでしょうか?
> また検証する方法は確立されているのでしょうか?

予想は付きませんし、確立されていません。
テストサーバ等を用意して本サーバに当てる前に確認するか、
実用的に可能なリカバリ方法を用意して本サーバに直接当てるか、
もしくはそれら複合的な手法を用いるか、などの方法を取ることが多いかと。

パッチを当てるのに時間的な余裕があるのなら、パッチがリリースされた後、
ネット等の様子を見てから当てるのを検討するという手法も考えられますが、
それもひとつの天秤です。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2004-02-24 13:23
どもです。がると申します。

引用:

パケットマペットさんの書き込み (2004-02-24 03:00) より:
当社は「セキュリティパッチを当ててはならない」という方針の会社です。
パッチによってdllが更新され、その影響で業務ソフトが動かなくなっては困るからだ、
という理由からです。なのでWindowsUpdateも推奨していません。
動かなくなるのは困りますので正論に聞こえますが、本当にそうでしょうか。

んと。「影響するような業務ソフトを作らない」という正論を持ち出す
事も可能ではあるのですが。
現実問題として、ほとんどの場合において「可能性がある」ことは
否めない事実です。
# だから私はもっぱらサバクラでCGI系のものを作ります :-P

ちなみにこの辺を細かく言及すると、MS系のソフトをインストール
するだけでDLLが入れ替わって挙動が変わることがあるので、
場合によってはかなり細部にいたるまで注意が必要です。
# officeのバージョンの違いで、DLLのマイナーマイナーバージョン
# が少し変わっただけでとある関数のデフォルトの挙動が変更
# になって、ソフトが動かなくなったことがありました…

無論パッチを当てないことによる危険も大量にあるのですが。
実際に「動かなくなると困るから」パッチを当てていないところも、
知っている限りでも少なからずあるのが現状です。
前門の虎後門の狼。どっちにいっても怖い状況です。

引用:

パッチを当てる影響はあらかじめ予想がつかないのでしょうか?
また検証する方法は確立されているのでしょうか?

コストがかけられるのであれば、という条件付でなら。
つまり
・テスト用の新しいマシンを用意して
・業務ソフトの全機能のテストをする人員と時間を用意
できるのであれば、可能です。
…つまり通常は「無理」ないし「難しい」ってことになります。

セキュリティを軽視するつもりはかけらもないのですが、
「動かなくなると怖いから」という発言はそれはそれで重いもの
があります。

いやまぁだから「OS変えようよ」とか思うのですが :-P
PacketMapet
会議室デビュー日: 2004/02/23
投稿数: 3
投稿日時: 2004-02-26 01:31
お二方、返信ありがとうございました。

二つに意見が割れるのではないかなと思ったのですが
そうでもありませんでしたね。
「パッチ当てる」というのは様々な要因が含まれる事象で
簡単に一言で言えるものじゃないんですね。

しかしスマートな解決方法がないと思うと大変残念です。
m.ku
大ベテラン
会議室デビュー日: 2002/09/15
投稿数: 184
投稿日時: 2004-02-26 01:43
余談になりますが、
「パッチを当てなくてもセキュリティ上安全なサーバを作るには?」と
いうようなことを考えるのも思考訓練の一つとしては有効かと。
逆の視点から考えるのは、様々な面で役立ちます。
1

スキルアップ/キャリアアップ(JOB@IT)