小野寺さん(w
十分なテスト時間が取れる場合は重要度に関係なく、可能な限り早くセキュリティ更新プログラムを適用することが前提です。
重要度 (1) の場合は、あらゆるトラブルを事前に回避するために十分なテストを実施する必要があります。
ただし、通常無停止を求めるシステムの場合は、ロードバランスやクラスタによる並列化が行われているはずですから、
一部の並列ノードに即時に適用しテスト運用を並行させる方法もあります。
重要度 (2) の場合は、数時間の停止は今日できるわけですから、最小限のテストに留め、早々に適用してしまいます。
その際に問題が発生した場合は速やかにアンインストールまたは、バックアップからのリストアを行い、システムを適用前の状態に戻し、
その後、十分な時間をかけて問題を取り除いていく方法が取れます。
重要度 (3) の場合は、停止自体が重要ではないと考え、場合によりテストを行わず即時に適用します。
その上で、問題が発生した場合は重要度 (2) と同様の対策をとります。
なんですよねぇ。
テストや、生贄環境無しで、いきなりぜんだい配信て無謀だと思うので、
せめて、管理者の目の届く範囲で、通常に使用されている環境に先行適用を実施し、
起動は大丈夫か?ネットワークに繋がるか?等々を確認した後に配信ですよね<即時実施といっても最低限のテストは必要でしょ。
ここらへんを、上司にいかに納得させていくか?というのは、
サーバという扱いのものでも、物によっては重要度が異なるので、リスク分析を行ったりしていると納得のいく説明がしやすいと思います。
記事中で紹介されている更新プログラム管理読み応えありそうですね。
でも、英語...orz