none
WindowsServer2008 SP2 パッチの適用に関するご質問 RRS feed

  • 質問

  • 依頼の背景】
    脆弱性試験で検知され、以下のパッチ適用を指摘されました。

    ※1 適用方法は2パターンの方法で検討しています。
    ※2 サーバーは数年間パッチ適用していない状況です。

    パターン①
    指摘されたパッチを個別適用する。

    パターン②
    Windows Updateで前回適用以降のセキュリティパッチ
    を全て適用する。

    【適用予定パッチ】
    ◆MS10-065(CVE-2010-1899)
    (URL) http://technet.microsoft.com/ja-jp/security/bulletin/MS10-065
    ◆MS12-070(CVE-2012-2552)
    (URL) http://technet.microsoft.com/ja-jp/security/bulletin/MS12-070
    ◆MS12-060(CVE-2012-1856)
    (URL) http://technet.microsoft.com/ja-jp/security/bulletin/MS12-060
    ◆MS12-027(CVE-2012-0158)
    (URL) http://technet.microsoft.com/ja-jp/security/bulletin/MS12-027
    ◆MS11-049(CVE-2011-1280)
    (URL) http://technet.microsoft.com/ja-jp/security/bulletin/MS11-049
    ◆MS12-020(CVE-2012-0002/CVE-2012-0152)
    (URL) http://technet.microsoft.com/ja-jp/security/bulletin/MS12-020
    ◆MS11-030(CVE-2011-0657)
    (URL) http://www.microsoft.com/japan/technet/security/bulletin/MS11-030.mspx

    【環境】
    Windows Server2008 Enterprise SP2
    Microsoft Office2007 SP2

    【質問】
    ①今回のパッチ適用をするにあたりパターン1とパターン2を比較し
     どちらの方法が効率がよいでしょうか。(工数が少なく済むか)
     また、別途よいパッチ適用の方法があれば教えていただけますでしょうか。

    ②パターン1で適用する場合、数年間パッチ適用していないことから
     上記のパッチを適用するのに別のパッチの適用が必要な可能性が
     あると想定しています。
     上記パッチ適用にて依存関係がないか調査していただけますでしょうか。

    ③パターン2で適用する場合、セキュリティパッチを全て適用することにより
     現状の動作に影響がでないか懸念しています。
     現状の動作に影響がでないか調査していただけますでしょうか。
     ※リモートデスクトップでサーバにアクセスできれば問題ないです。
    2013年4月9日 9:37

回答

  • (1) について

    工数という観点では、一概にはなんとも言えないと思います。個別のパッチを抽出するパターン1は抽出する手間はかかりますが、適用する数は圧倒的に少ないですから時間はかからないと思われます。一方、とりあえずすべて適用というのは、コントロールパネルからボタン1つで行えますので、その意味では楽かもしれません。

    (2) について

    マイクロソフト社のパッチ(セキュリティ更新プログラム)の場合、基本的にある更新プログラムを適用するにあたって、別の更新プログラムを必要とするということはありません。

    (3) パターン1でもパターン2でも現状の動作に影響が発生する可能性はゼロではないでしょう。確率論の問題でしかありません。また、動作に影響がないかどうかは、マイクロソフト社も含め、どこも担保してくれないので、あくまで自己責任となります。もしくはSIベンダなどにお金を払って検証してもらえば、SIベンダが担保してくれると思いますが……。

    • 回答の候補に設定 佐伯玲 2013年4月15日 2:49
    • 回答としてマーク 佐伯玲 2013年4月19日 1:58
    2013年4月10日 15:12

すべての返信

  • (1) について

    工数という観点では、一概にはなんとも言えないと思います。個別のパッチを抽出するパターン1は抽出する手間はかかりますが、適用する数は圧倒的に少ないですから時間はかからないと思われます。一方、とりあえずすべて適用というのは、コントロールパネルからボタン1つで行えますので、その意味では楽かもしれません。

    (2) について

    マイクロソフト社のパッチ(セキュリティ更新プログラム)の場合、基本的にある更新プログラムを適用するにあたって、別の更新プログラムを必要とするということはありません。

    (3) パターン1でもパターン2でも現状の動作に影響が発生する可能性はゼロではないでしょう。確率論の問題でしかありません。また、動作に影響がないかどうかは、マイクロソフト社も含め、どこも担保してくれないので、あくまで自己責任となります。もしくはSIベンダなどにお金を払って検証してもらえば、SIベンダが担保してくれると思いますが……。

    • 回答の候補に設定 佐伯玲 2013年4月15日 2:49
    • 回答としてマーク 佐伯玲 2013年4月19日 1:58
    2013年4月10日 15:12
  • こんにちは、Miyaguchi さん
    フォーラムオペレータの佐伯 玲 です。

    その後TAKAHASHI Motonobu さんから寄せられた情報はご確認いただけましたでしょうか?
    ご参考になるのではないかと思い勝手ながら私の方で「回答としてマーク」とさせていただきました。

    寄せられた情報に関してご不明な点等があれば引き続きこちらのスレッドへご返信くださいませ。

    宜しくお願い致します。
    __________________________
    日本マイクロソフト株式会社 フォーラム オペレータ 佐伯 玲
    2013年4月19日 1:58