Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

hagi に投稿

一週間前から、予告は出ていたが、今朝早朝にDrupalのセキュリティリリースが出た。Windowsではしょっちゅうアップデートが出て、予期しないタイミングで更新が走り始めたりして閉口する事があるが、勝手にやってくれるのだからありがたいものだ。自前でBlogを立てていたり、お客様に向けたサポートを行っていると、責任をもって自分で調べて対処しないといけない。そういう意味では、結構ハードルは高いと思う。

今朝アップデートを当てたサイトは7つと数は多くないので、事前に準備をしておいて、4時過ぎのパッチのリリース直後から対処を初めて対応自身は5時には終了した。こういう時に、組織的に人的なバックアップ体制も組みながら対応できるアウトソーサーを使うのは意味があると感じる。しかし、一方ではそういった厚い体制はコスト増にもつながるわけで、リスク評価をどう考えるかが思案のしどころとなる。対処できる技術が無ければ、サイトを維持することはできないし、サービスを提供することもできない。クリティカルな業務になればなるほど、対応能力、リスク対策は重要になる。

しかし、セキュリティ対応自身は、何ら付加価値を生まない。昨日歯科検診に行ったからあえて例にするなら、今日歯を磨かなかったからと言って明日酷い虫歯に苦しめられることは無いのに似ている。なめているといつか深刻な危機に直面する。自分は、運が良いから大丈夫と思うのは自由だが、こつこつ丁寧に日々のルーチンを守っていくのは大事な事だと思う。

何事もない日常は、日々のケアの上に成り立っている。ルーズにならないように心掛けないといけない。

タグ