パッチ当ての責任
2004年11月18日(木曜日)
パッチ当ての責任
住基ネットの脆弱性を検証した Ejovi Nuwere さんの講演が、総務省の圧力でキャンセルされてしまった……という話は各所で話題になっているようですが、インタビュー記事が出ていますね。「長野県住基ネット侵入実験のNuwere氏「管理責任の所在をはっきりと」 (pcweb.mycom.co.jp)」。
総務省についての評価は各所で言い尽くされていますので置いておくとして、私が身にしみたのはこんなところでした。
一番重要だと思っているのは「ネットワーク管理に関する責任の所在がはっきりしていない」ことだ。例えば、もし(住基ネットで使われているシステムに)何らかの脆弱性があった場合、システムにパッチを当てるかどうかの判断を誰が行うのかといった点について対処がなされていない。
以上、長野県住基ネット侵入実験のNuwere氏「管理責任の所在をはっきりと」 (2)問題発生時の責任の所在と修正プロセスが明確でないことが最大の問題 より
たとえば、このサーバなどは落ちても良いという前提での運用なので、「気づいた人が気づいたときにパッチを当てる」という運用でも問題なかったりします。誰かが無断でパッチを当てて不具合が出ても、別に責任問題にはならない……というか、実際にパッチを当てたらブルースクリーンになったということがありますけれど、大して問題ありませんでした。一日かけて平然と再インストールして、それで解決です。
しかし、安定稼働が求められるシステムの場合には、そういうわけに行かないのですよね。パッチを当てると不具合が出る可能性がありますから、勝手に当てるというわけにも行かず、責任ある人がパッチを当てるかどうか判断する必要があるわけです。この責任が明確化されていない場合は何が起きるかというと、当然ですが一切のパッチが適用されないという結果になります。
……ここから先はちょっと具体的には書けませんが、まあ、そういう事ってありますよね。
- 「パッチ当ての責任」にコメントを書く
