Windowsサーバのパッチ更新の適用ポリシー

社内でWindows2008R2サーバを使用しています。

各サーバはプライベートIPで運用しております。

＜NW構成＞
グローバルIP（インターネット接続）
　|
FW（NAT）
　|
プライベートIP（Windowsサーバ）
　192.168.xx.xxx

サーバのWindowsUpdateが実行しており、
その結果適用すべきパッチのリストも増えています。

「プライベートIPで使用しているから」、という理由で
パッチを適用しないのは間違っておりますでしょうか？。

本来であればパッチを１個１個洗い出し、
緊急性を洗い出してから適用を判断すべきですが、
弊社は小規模のため、業務と掛け持ちでメンテをしています。

そのため、今までは自動適用（Windowsが自動でダウンロードし適用）でした。
これも「サーバ」という役割を考えると、リスクは高い設定でしょうか？。

以上2点、ご意見を頂けると助かります。

No.1 ベストアンサー 回答者： Passerby01 回答日時： 2014/04/28 01:19

プライベートIPであるから、パッチを適用しないってのは間違っております。

外部から遮断しても、プライベートな内部から攻撃されたらどうします？
外部から内部なアドレスに偽装された通信で攻撃されたらどうします？

深夜に勝手に再起動されて困るようでしたら
自動ダウンロードして、手動で纏めて適用て感じでいいんじゃないでしょうか？

この回答へのお礼

ありがとうございます。

「自動ダウンロードして、手動で纏めて適用」については月次で
実行するような運用も検討したいと思います。

お礼日時：2014/04/29 13:32