セキュリティ機器の新ファームウェアの適用について

７００台程のパソコンが接続されているネットワーク上のセキュリティ機器（ファイアーウォール機器・侵入防止システム機器・フィルタリング機器等のアプライアンス機器製品）のファームウェアの更新について、新バージョンのファームウェアがリリースされ、一定期間において不具合報告がなければ適用すべきと認識しているのですが、ネットワーク保守を委託しているベンダーは、不具合がある場合は、有益な手段と考えているのですが、安定稼働しているのであれば、適用するのは不安定に陥る要因になるという考えをもっているようです。ネットワークを管理している担当者としては、セキュリティ機器という性質上、常に最新のバージョンを維持すべきではないかと考えています。セキュリティ機器の新ファームウェアの適用の是非について、みなさまのお考えをお聞かせください。また、随時、新ファームウェアを適用する方針とした場合、ベンダーへはどのように説得力のある説明を行えばよいのでしょうか？（担当者として、一方的に押し切る事は、避けたいです。）よろしくお願いします。

No.5 ベストアンサー 回答者： hiloyosea 回答日時： 2012/08/05 10:54

>>保守契約の内容で、脆弱性への対応策について定期的に取り組むという作業を明文化する場合、どのような条文を追加すればよいのでしょうか？ご教授いただければと思います。

脆弱性評価に対する報告書及び対策実施案の提出義務、対策実施義務
（提出・実施サイクルは協議が必要）

※他の回答者の方々がおっしゃる通り、機能追加のみと脆弱性対策を明確に分けて判断する必要があると思います。


極端な話、契約内容にどんな無理があったとしても締結した以上はお互いに順守しなければならないので、どんな内容でも構わないと思います。



某大手メーカーは社内においても評価チームがおり、適用すべきかどうかの判断をして、社内の機器すべてに対策を求めていました^^;
対策されていない機器については所属長経由で順守するよう指導が通達されます。



一担当者レベルでなく会社としてのポリシーの問題としてベンダーと協議すべき内容だと思います。
会社のポリシーがあいまいだと説得力が欠けてくると思います。

この回答へのお礼

度々のご回答ありがとうございます。
会社の方針としては、脆弱性への対策を行うこととしております。ただ保守契約に明記されていない事が保守業者の怠慢となっているような気がします。

お礼日時：2012/08/05 19:40

No.7 回答者： wellow 回答日時： 2012/08/05 19:16

＞現在の保守業者はネットワークの保守だけではなく、システムの保守も行っているので厳しく対応して関係が悪化するのは避けたいのが現状です。

保守に金を払っているということを忘れていませんか？

業者が詭弁を弄しているのに、それを顧客が「関係が悪化するのは避けたい」なんて雰囲気をにおわせれば、普通は、「こいつ、美味しい。鴨だ」と思いますけどね。営業が適当なことで煙に巻けば、金はもらって手を動かさないで済みますからね。

何で金を払って「ベンダーへはどのように説得力のある説明を行えばよい」と思うのかわかりました。あなたなのか、あなたが所属する会社なのかは分りませんが、「舐められて」いるんですよ。

この回答へのお礼

度々のご回答ありがとうございます。
ご指摘のとおり、外部からみられるとヌルイ関係に思われても反論できないですね。ネットワーク・システムの保守作業に関して、保守契約に記載されていないグレーな作業を無償で行ってもらうケースがあるため、関係を悪化させるのは避けたいと申し上げたしだいです。やはり、保守契約の内容を精査するのが一番効力があるような気がします。また、保守業者と対等に議論できるだけの知識を今まで以上に少しでも習得していきたいと考えます。

お礼日時：2012/08/05 20:23

No.6 回答者： drum_KT 回答日時： 2012/08/05 14:04

＞保守契約の内容で、脆弱性への対応策について定期的に取り組むという作業を明文化する場合、どのような条文を追加すればよいのでしょうか？

契約の条文というよりも、作業分担と責任範囲（いわゆるサービスレベル）をまず両社で合意すべきだと思います。もちろん、質問者さんの会社が顧客ですから、「こういう条件でやりたいがどうか？」と最初に提起してよいと思います。

気にしているのは、パッチの評価をするのはどちらか、頻度をどうするか、適否の最終承認をするのは誰か、障害回避手段をどう準備するか、障害発生時の対処をどうするか、そのための体制と役割分担や連絡体制をどうするか…といった、一般的な内容です。

それと、現状、定期的にパッチを評価するというプロセス自体が現保守契約の作業内容（サービスレベル）に含まれていない場合、それは当然有償作業だと考えるべきです。実際に工数がかかりますから。その上で、

・洗い出しから評価まで業者、自社承認
・洗い出しのみ業者、評価は自社
・洗い出しと評価は自社、業者は適用作業のみ

など、コスト・体制・役割分担を適切に設定し合意することが重要だと思います。

この回答へのお礼

度々のご回答ありがとうございます。
パッチの適否を行う上での一連作業についての体制・役割分担について適格な考えであると思います。しかしながら、現状、私共の電算担当者は、私も含め専門職ではなく、尚かつ電算業務以外の業務も行う兼務の人員配置となっており、保守業者と対等に議論できるだけの専門知識は習得しておりません。そのため、ある程度の方針を立て保守業者に伝えた後は、企画・作業は業者まかせというのが実情です。パッチの評価に限らず、その他の作業についても、承認のみを自社が行うやり方がほとんどです。

お礼日時：2012/08/05 20:09

No.4 回答者： sppla 回答日時： 2012/08/03 23:25

以前はシステム会社でＳＥをやっており、今はとある企業で社内ＳＥをしています。

こういう経歴ですからベンダーの方の気持ちもわかります。
ネットワーク管理者としてはあなたの方針でいいと思います。セキュリティの観点では予防できるものは予防するべきですから。

＞安定稼働しているのであれば、適用するのは不安定に陥る
私も安定稼働しているシステムに関してはあまり手を入れるべきではないとは思いますが、セキュリティに関しては少し異なります。このベンダーの意見に従うと「今までコンピュータウイルスに感染したことはなく安定稼働しているからアンチウイルスソフトは不要である」「今まで侵入されたことはなく安定稼働しているから侵入防止機能のあるアプライアンス機器製品は不要である」・・・こういう言い方も成り立ちます。

セキュリティ機器である以上リスクを未然に防止、減少させるために必要なパッチを適用したい。
システム不安定化の可能性を減らすため、No1の方の助言のようにパッチごとにあてるかどうかを個別に判断する。
新バージョンのファームウェアがリリース後は一定期間において不具合報告がない場合のみパッチを適用する。
問題発生時に元の状態に戻せるようにしておく。（ファームウェアを更新できるなら、元に戻すこともできますよね？）

こういう方向性で話をしてみたらいかがでしょうか？

上のは工数を使うことをいやがらないがトラブル発生時に客からぎゃあぎゃあ言われるのが嫌なベンダー向けの話ですが、工数を使いたがらない腰の重いベンダーに対しては（契約範囲内での作業であることが前提ですが）契約の話をして履行してもらうしかないだろうと思います。

この回答へのお礼

ご回答ありがとうございます。
システムがインストールされているＯＳに関しても本来であれば、脆弱性を潰すためにパッチを当てたいのが本音ですが、確かにパッチを当てることにより、システムが不安定になるリスクが高いようなのでＯＳの方は強く言うことは避けています。それ故にせめてセキュリティ機器だけは、対処したいと考えていたのですが、現在の保守業者の腰も重さには、失望です。

お礼日時：2012/08/05 10:07

No.3 回答者： wellow 回答日時： 2012/08/03 22:37

＞新バージョンのファームウェアがリリースされ、一定期間において不具合報告がなければ適用すべきと認識している

良い判断だと思います。完璧ではないにせよ実績を見て、問題に遭遇する確率を下げているわけですから。

＞ネットワーク保守を委託しているベンダーは、不具合がある場合は、有益な手段と考えているのですが、安定稼働しているのであれば、適用するのは不安定に陥る要因になるという考えをもっているようです

「問題になっていれば、顧客が望んでいるのだから適用する。適用した責任は顧客にある。安定しているものに適用して問題が出たらベンダ責任になる。だから嫌だ」ってことでしょ？
ベンダは「自分達で売っている機器のバージョンが上がっても検証できません。していません」と言っているに等しい訳です。私なら保守契約を他社に移管しますね。

＞また、随時、新ファームウェアを適用する方針とした場合、ベンダーへはどのように説得力のある説明を行えばよいのでしょうか？（担当者として、一方的に押し切る事は、避けたいです。）

えっと、無難かつ常識的な方針に疑義を唱え、恐らくあなたの上司に「担当者に慎重さを求めたい」みたいな告げ口をするような輩ですよ。馬鹿というより既に敵です。私なら切ります。

メインフレームを残し、それ以外の全てを切ったこともあります。アイビーなんとかという、アメリカの会社です。そこの会社の偉い人が専務に抗議というか脅しに来ました。メインフレーム以外の扱いを切るという方針は専務の指示で撤回しました。でも私は、その会社の扱い量は１／１０にしました。ついでに聖域と呼ばれていたメインフレームのディスクとテープ装置は別の会社のものにしました。購入費、保守費ともに半減し、性能は倍以上になりました。
ベンダの部長は変わり、チームはほぼ解散となりました。無能なＳＥと営業の多いチームでした。金をもらって客の足を引っ張るようなＳＥ、金をもらって勉強にきているようなＳＥ達でした。そいつらが消えてくれたため、仕事の効率が向上しました。

付き合いは対等です。主従関係ではありません。だらけたベンダは自分が主であるかのように勘違いします。切るときはドラスティックにして、反省の機会を与えてください。次の営業、次のエンジニアは多分、色々と改めてきます。

この回答へのお礼

ご回答ありがとうございます。
毅然とした態度で対応をせまればベストだと私も思っているのですが、現在の保守業者はネットワークの保守だけではなく、システムの保守も行っているので厳しく対応して関係が悪化するのは避けたいのが現状です。

お礼日時：2012/08/05 09:57

No.2 回答者： hiloyosea 回答日時： 2012/08/03 21:29

某大手メーカーのデータセンターで仕事をしていましたが四半期ごとにセキュリティホールの一斉チェックを行い、評価して不適用にする場合は不適用にする理由を担当部署所属長の責任において顧客と合意する事をしていました。

もちろんセキュリティホールはつぶすのが大前提です。
すべての機器に対してです。
OSレベルでは毎月、行っていました。
安定稼働を言い訳にセキュリティホールを塞がないのはベンダーとして無責任だととらえていました。

セキュリティホールをつぶしても安定稼働させるのがベンダーとしての責任だと思います。

評価も欲しいので、随時という訳にはいきませんがきちんとタイミングを作って適用・不適用について合意しなければいけないと思います。
担当者レベルではなく、会社対会社として。
保守契約を締結する際にきちんと話し合うべきことだった気がします。
今からでも調整すべき事案だと思います。

この回答へのお礼

ご回答ありがとうございます。
現在の保守業者は、安定稼働重視のようなので、腰が重いのが難点と感じております。
保守契約の内容で、脆弱性への対応策について定期的に取り組むという作業を明文化する場合、どのような条文を追加すればよいのでしょうか？ご教授いただければと思います。

お礼日時：2012/08/05 09:38

No.1 回答者： drum_KT 回答日時： 2012/08/03 21:08

リリースされたパッチが何に対する対策なのか、それが自サイトに影響を及ぼす内容かどうかを個別に評価すべき問題であって、一律に「必ず当てる」「必ず当てない」とすべき問題ではないように思います。

セキュリティホールを塞ぐためのパッチであれば当然当てるべきでしょうし、単なる機能追加であれば、追加される機能が差し当たり不要であればリスクを避けて入れないというのも正しい判断です。

特に、ネットワーク機器は今や、停止した場合は企業の全業務が停止しかねないという点は考慮に入れるべきと思います。

この回答へのお礼

ご回答ありがとうございます。
私の考えと同一意見でよかったです。

お礼日時：2012/08/05 09:28