組織変更で、上司が変わり私が管理するwindows2003サーバも変わりました。
以前の部署は、windows updateを無効にし、一ヶ月に一回、手動でパッチをMSからダウンロードし、適用していました。
しかし、今度の部署は、導入してから一度もwindows updateをしていません。上司の言い分として、
1.社内限定(イントラ使用)のアプリしか動作していない
2.現在、何も問題なく動作しているのに、うかつにwindows updateを適用して動かなくなるほうが怖い
というものです。私としては、イントラ使用だろうが、持ち込みPCからのウィルス感染もあるので、
windows updateはするべきだと考えていますが、windows updateはどの程度利用されているのか、あるいは
windows updateの適用を上司に納得させることができるようなサイトはないでしょうか。
ちなみに、WSASなどは社内にないです。
用途は何であれ、Windowsをネットワーク接続して使うならWindowsUpdateは必須でしょう。
MSの姿勢が「WindowsUpdateは原則として必要」なので、対応してなかったせいでウィルス感染しても、困るのはユーザです。
(社内のユーザ全員が100%ウィルスになんて感染しないお行儀のいい使い方をできるならいいんですが・・・)
ただ、上司の言い分ももっともで「WindowsUpdateして業務に使用する社内限定アプリが動かなくなるリスク」への対策も必要です。
上司が気にしているのは「業務必須のアプリに影響が出るリスク」「影響が出た場合に対応する工数」「WindowsUpdate自体に必要な工数」あたりで、それと比べるとウィルス感染するリスクは低い(社内のITリテラシは十分に高い)というふうに天秤にかけた結果、ではないでしょうか?
だとすれば、
くらいやれば、上司も納得するんじゃないかと思います。
その時間が勿体ないような業務状態で、その社内アプリが本当に業務に必須のものなら、「該当のWin2003サーバはUpdateしない」という選択肢もあると思います。
Win2003サーバなら、IISサービス停止、共有フォルダを作らない、WindowsFirewallで必要最低限のポート・アプリのみ許可、その他不要なLISTENポートを開くサービスを停止、くらいの対策ができれば、セキュリティリスクはかなり減るはずですが、いかがでしょうか?
セキュリティパッチは適用すべきです。
という回答以外はありえないのですが、現実問題としては外部的な圧力が無いと納得させるのは難しいでしょう。
痛い目を見たことが無い人、想像力が及ばない人も多いので、どこかを1回だけ見せても効果は薄いでしょうね。
強硬な手段としては、監査にリークして指摘事項に載せてしまうとか、懇意にしている取引先に手を回して、セキュリティに関する回答書を出さなくてはならないようにするという手もあります。
あとは地道に、情報漏えいのニュースを社内メールなどで、発生するたびに送りつけるとかですね。
セキュリティは部署単位ではなく会社全体として取り組む問題なので、理解してくれるない上司に直接交渉せず、もっと広い視点で組織そのものを動かすとよいのではと思います。
「社内限定(イントラ使用)のアプリ」を、誰がサポートしているかが気になります。担当部署に聞いてみるところからはじめてみてはいかがでしょうか。
ない場合は…これは自部署の手弁当で検証するしかないですが、アプリ担当から『きちんとパッチ当てとらん奴は知らん』と言ってもらうのもひとつの作戦です。
ひとつ視点を変えますが、『業務に使用しているサーバ類へのパッチ不適用』というのは社内規定上アリなんでしょうか? その上司が承認すれば不適用が認められるのであれば、不適用を明文で承認してもらえるようにしておく必要があります。(じゃないと発災時に責任だけ押し付けられそう)
コメント(2件)
サーバ管理者がそのまま放っておいて、大きなトラブルが発生しました。
そういう前例があるからこそ、私もupdateして当たり前だと思っているのですが、その上司は
今までもそうやって来たと言い張る前例踏襲主義なのです。
ただ、放っておくわけにも行かないので、もうちょっと交渉してみます。
SQLServerのワームってことはSlammerかその亜種ですね。
流行りのものだったとはいえ、社内にお行儀の悪い使い方をする人がいるのなら、セキュリティ対策は必要ですね。
(仕事用PCで普通に使ってて感染することなんて、普通の人ならありえませんし)
ただ、WindowsUpdate自動更新でパッチ全適用して良いのは、独自の業務アプリを動かさないWindows端末のみだと思います。
Windowsサーバや特殊アプリを動かす端末は、Updateすることで動作が変わるリスクもあります。
実際に経験した中では、
+Windows2000+SQLServer2000で、発行したSQLの返す内容がおかしくなった
+Windows2003+IIS6.0環境で、ASPの一部がInternalServerErrorで動かなくなった
いずれも別のサーバ、別の時期に起こったトラブルでしたが、原因はWindowsUpdateに含まれていたパッチ1つ、でした。(両方とも、Updateの中にアクセス権限を制限する内容が含まれていて、既存のSQL, ASPがそれに対応できる書き方になっていなかった、という内容。でもパッチ適用前なら全く問題のない書式でした)
そういうこともあるので、特にサーバ系でのパッチ適用は注意が必要と考えます。
もし、自前でコーディングした部分が動いているサーバなら、前述の回答の通り、適用時の動作確認は考慮した方が無難です。
該当のサーバがSQLServerの基本機能のみ使用とか、ファイルサーバとしてのみ使用、ならWindowsUpdateで自動更新しても大丈夫でしょう。
このあたり、個人でキッチリ対応するには荷が重い(その割にあまり評価されにくい)部分ですし、影響範囲の見極めも難しいところなので、memo77さんの回答のように、周りの人も巻き込んで意識を変えていく、というのは上手い方法だと思います。
事なかれ主義な上司なら、周りの人の雰囲気や特に顧客の意見次第で、主義主張してたことをあっさり変えてしまうかもしれませんね。