アカウント名:
パスワード:
脆弱性のあるVPNサーバー経由でランサムウェアを送り込むなんて定番の手口 [zscaler.jp]なわけだけど、名古屋港の協会が契約していたシステム保守会社って、何の「保守」をしていたのかな? VPNは「システム」の一部じゃない? よくわからん。
パッチ当てたら動かなくなるかもって当てようとしないからな。古いシステムがいつまでも動いている一因。なにもしなければ問題は起きず、未来永劫変わらないとか思ってるんだもの。現実は何もしないから問題が起きるというのに。
ユーザ企業のシステム部門ならそういう発想になってもある意味しょうがないかとも思うけど、保守会社はパッチ当てるのが仕事みたいなものやろ。
でも客がOK出さない限り、保守会社はパッチを当てる作業を行えないのが普通だろう。
保守会社がパッチの必要性を説明したのか、客はどう判断したのか放置したのか、経緯が分からんとなんとも。
パッチ当てたら動かなくなるかもなんてのは保守やる会社が心配することで、客からすればパッチ等は当然適用した上で不具合もあってはならん事。自分らがやってたときは、リリースノートを精査したり検証をした結果、当てない/必要がないと判断した場合にだけ、客への理由の説明が必要だったけどな。
保守会社に何を任せられるかは千差万別とはいかなくとも個々で変わってくる。ハード迄だったり、OSまでだったり、全部だったりだ。また作業依頼だけ対応するなんてのもある。システムって独自に作りこんでたりパッケージでもカスタマイズと称して独自システムだったりするので、ユーザー企業側の責任になっていることは多い。その場合パッチ適用の必要性もユーザー企業の責任範囲になる場合が多くて、保守会社では判断出来ない。保守会社にしたらそんな独自システムへの影響なんてわからんからな。もちろんその独自システムの面倒まで見るところもあるが、それは開発元と同じか密に連携してる場合だけだろう。そこまでしてくれるとことでも、いつ適用するかのタイミングなんかはユーザー企業側と決めるとするところが多いはず。問答無用でやるなんて契約するところはあんまりない。
そういうこともあって、パッチ適用なんかはユーザー企業側にも責任があるのがほとんどと考えていい。保守会社がいいようにしてくれるなんて、そんな契約もしてなければ金も払ってないのが現実。
OKもなにも、最初から定期更新行うことにして、月1回以上のペースでスケジュールを組んでおくべき。個別の許諾を得るのは緊急性が高いものの場合のみ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
システム「保守会社」が保守しない? (スコア:0)
脆弱性のあるVPNサーバー経由でランサムウェアを送り込むなんて定番の手口 [zscaler.jp]なわけだけど、名古屋港の協会が契約していたシステム保守会社って、何の「保守」をしていたのかな? VPNは「システム」の一部じゃない? よくわからん。
Re: (スコア:0)
パッチ当てたら動かなくなるかもって当てようとしないからな。
古いシステムがいつまでも動いている一因。
なにもしなければ問題は起きず、未来永劫変わらないとか思ってるんだもの。
現実は何もしないから問題が起きるというのに。
Re:システム「保守会社」が保守しない? (スコア:0)
ユーザ企業のシステム部門ならそういう発想になってもある意味しょうがないかとも思うけど、保守会社はパッチ当てるのが仕事みたいなものやろ。
Re: (スコア:0)
でも客がOK出さない限り、保守会社はパッチを当てる作業を行えないのが普通だろう。
保守会社がパッチの必要性を説明したのか、客はどう判断したのか放置したのか、経緯が分からんとなんとも。
Re: (スコア:0)
パッチ当てたら動かなくなるかもなんてのは保守やる会社が心配することで、客からすればパッチ等は当然適用した上で不具合もあってはならん事。
自分らがやってたときは、リリースノートを精査したり検証をした結果、当てない/必要がないと判断した場合にだけ、客への理由の説明が必要だったけどな。
Re: (スコア:0)
保守会社に何を任せられるかは千差万別とはいかなくとも個々で変わってくる。
ハード迄だったり、OSまでだったり、全部だったりだ。
また作業依頼だけ対応するなんてのもある。
システムって独自に作りこんでたりパッケージでもカスタマイズと称して独自システムだったりするので、ユーザー企業側の責任になっていることは多い。
その場合パッチ適用の必要性もユーザー企業の責任範囲になる場合が多くて、保守会社では判断出来ない。
保守会社にしたらそんな独自システムへの影響なんてわからんからな。
もちろんその独自システムの面倒まで見るところもあるが、それは開発元と同じか密に連携してる場合だけだろう。
そこまでしてくれるとことでも、いつ適用するかのタイミングなんかはユーザー企業側と決めるとするところが多いはず。
問答無用でやるなんて契約するところはあんまりない。
そういうこともあって、パッチ適用なんかはユーザー企業側にも責任があるのがほとんどと考えていい。
保守会社がいいようにしてくれるなんて、そんな契約もしてなければ金も払ってないのが現実。
Re: (スコア:0)
OKもなにも、最初から定期更新行うことにして、月1回以上のペースでスケジュールを組んでおくべき。
個別の許諾を得るのは緊急性が高いものの場合のみ。