パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

名古屋港のシステム停止、VPNの脆弱性を突かれたか」記事へのコメント

  • 脆弱性のあるVPNサーバー経由でランサムウェアを送り込むなんて定番の手口 [zscaler.jp]なわけだけど、名古屋港の協会が契約していたシステム保守会社って、何の「保守」をしていたのかな? VPNは「システム」の一部じゃない? よくわからん。

    • by Anonymous Coward

      パッチ当てたら動かなくなるかもって当てようとしないからな。
      古いシステムがいつまでも動いている一因。
      なにもしなければ問題は起きず、未来永劫変わらないとか思ってるんだもの。
      現実は何もしないから問題が起きるというのに。

      • by Anonymous Coward on 2023年07月28日 22時05分 (#4502449)

        ユーザ企業のシステム部門ならそういう発想になってもある意味しょうがないかとも思うけど、保守会社はパッチ当てるのが仕事みたいなものやろ。

        親コメント
        • by Anonymous Coward

          でも客がOK出さない限り、保守会社はパッチを当てる作業を行えないのが普通だろう。

          保守会社がパッチの必要性を説明したのか、客はどう判断したのか放置したのか、経緯が分からんとなんとも。

          • by Anonymous Coward

            パッチ当てたら動かなくなるかもなんてのは保守やる会社が心配することで、客からすればパッチ等は当然適用した上で不具合もあってはならん事。
            自分らがやってたときは、リリースノートを精査したり検証をした結果、当てない/必要がないと判断した場合にだけ、客への理由の説明が必要だったけどな。

            • by Anonymous Coward

              保守会社に何を任せられるかは千差万別とはいかなくとも個々で変わってくる。
              ハード迄だったり、OSまでだったり、全部だったりだ。
              また作業依頼だけ対応するなんてのもある。
              システムって独自に作りこんでたりパッケージでもカスタマイズと称して独自システムだったりするので、ユーザー企業側の責任になっていることは多い。
              その場合パッチ適用の必要性もユーザー企業の責任範囲になる場合が多くて、保守会社では判断出来ない。
              保守会社にしたらそんな独自システムへの影響なんてわからんからな。
              もちろんその独自システムの面倒まで見るところもあるが、それは開発元と同じか密に連携してる場合だけだろう。
              そこまでしてくれるとことでも、いつ適用するかのタイミングなんかはユーザー企業側と決めるとするところが多いはず。
              問答無用でやるなんて契約するところはあんまりない。

              そういうこともあって、パッチ適用なんかはユーザー企業側にも責任があるのがほとんどと考えていい。
              保守会社がいいようにしてくれるなんて、そんな契約もしてなければ金も払ってないのが現実。

          • by Anonymous Coward

            OKもなにも、最初から定期更新行うことにして、月1回以上のペースでスケジュールを組んでおくべき。
            個別の許諾を得るのは緊急性が高いものの場合のみ。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...