「大事なサーバーにパッチを適用するかどうかはビジネスの問題。経営者が判断すべきであり,その判断の結果生じるリスクは経営者が負うべきである。システム管理者が判断することではない」---。ラックの三輪信雄代表取締役社長は10月7日,JPCERTコーディネーションセンター(JPCERT/CC)と日本ネットワークインフォメーションセンター(JPNIC)が開催したセミナーにおいて,パッチ適用の問題点などについて講演した(関連記事)。以下,同氏の講演内容の一部をまとめた。
日本ではパッチの適用率が高いらしい。一方で,パッチを当てたくないとする“反対勢力”の声も大きい。主な理由は,「パッチを適用するとサーバーが止まるかもしれない」からである。パッチの適用で過去に“ハマった”経験がある,あるいはそういった話を聞いたことがあるという管理者は多いだろう。
確かに,パッチの適用にはサーバーが動作しなくなるなどのリスクが存在する。一方,パッチを当てないで運用を続けることには,セキュリティ上のリスクが存在する。どちらを選択するのか,その判断は経営者が行って,そのリスクを経営者が負うべきだ。システム管理者が判断するのはナンセンスである。ビジネスの上で重要なサーバーのパッチ適用や再起動などは,BCP(事業継続計画)に含まれるべき内容だからである。
その上で,パッチを安全に利用するためには,パッチ適用で発生する不具合情報を積極的に共有することが有用である。例えば,情報共有のためのWebサイトやユーザー・グループを作り,どういった環境では不具合が発生した,あるいは発生しなかったという情報を集めて共有する。
ただ,こういった仕組みをボランティア・ベースで作ることは困難。マイクロソフトといった大企業が用意すべきだろう。積極的にパッチを検証してくれるような“勇気ある”ユーザーをたたえる仕組みもほしい。情報共有の仕組みができれば,管理者は今よりも安心してパッチを適用できるようになるし,経営者も判断を下しやすくなるだろう。
