＞現在の保守業者はネットワークの保守だけではなく、システムの保守も行っているので厳しく対応して関係が悪化するのは避けたいのが現状です。 保守に金を払っているということを忘れていませんか？ 業者が詭弁を弄しているのに、それを顧客が「関係が悪化するのは避けたい」なんて雰囲気をにおわせれば、普通は、「こいつ、美味しい。鴨だ」と思いますけどね。営業が適当なことで煙に巻けば、金はもらって手を動かさないで済みますからね。 何で金を払って「ベンダーへはどのように説得力のある説明を行えばよい」と思うのかわかりました。あなたなのか、あなたが所属する会社なのかは分りませんが、「舐められて」いるんですよ。

＞保守契約の内容で、脆弱性への対応策について定期的に取り組むという作業を明文化する場合、どのような条文を追加すればよいのでしょうか？ 契約の条文というよりも、作業分担と責任範囲（いわゆるサービスレベル）をまず両社で合意すべきだと思います。もちろん、質問者さんの会社が顧客ですから、「こういう条件でやりたいがどうか？」と最初に提起してよいと思います。 気にしているのは、パッチの評価をするのはどちらか、頻度をどうするか、適否の最終承認をするのは誰か、障害回避手段をどう準備するか、障害発生時の対処をどうするか、そのための体制と役割分担や連絡体制をどうするか…といった、一般的な内容です。 それと、現状、定期的にパッチを評価するというプロセス自体が現保守契約の作業内容（サービスレベル）に含まれていない場合、それは当然有償作業だと考えるべきです。実際に工数がかかりますから。その上で、 ・洗い出しから評価まで業者、自社承認 ・洗い出しのみ業者、評価は自社 ・洗い出しと評価は自社、業者は適用作業のみ など、コスト・体制・役割分担を適切に設定し合意することが重要だと思います。

以前はシステム会社でＳＥをやっており、今はとある企業で社内ＳＥをしています。 こういう経歴ですからベンダーの方の気持ちもわかります。 ネットワーク管理者としてはあなたの方針でいいと思います。セキュリティの観点では予防できるものは予防するべきですから。 ＞安定稼働しているのであれば、適用するのは不安定に陥る 私も安定稼働しているシステムに関してはあまり手を入れるべきではないとは思いますが、セキュリティに関しては少し異なります。このベンダーの意見に従うと「今までコンピュータウイルスに感染したことはなく安定稼働しているからアンチウイルスソフトは不要である」「今まで侵入されたことはなく安定稼働しているから侵入防止機能のあるアプライアンス機器製品は不要である」・・・こういう言い方も成り立ちます。 セキュリティ機器である以上リスクを未然に防止、減少させるために必要なパッチを適用したい。 システム不安定化の可能性を減らすため、No1の方の助言のようにパッチごとにあてるかどうかを個別に判断する。 新バージョンのファームウェアがリリース後は一定期間において不具合報告がない場合のみパッチを適用する。 問題発生時に元の状態に戻せるようにしておく。（ファームウェアを更新できるなら、元に戻すこともできますよね？） こういう方向性で話をしてみたらいかがでしょうか？ 上のは工数を使うことをいやがらないがトラブル発生時に客からぎゃあぎゃあ言われるのが嫌なベンダー向けの話ですが、工数を使いたがらない腰の重いベンダーに対しては（契約範囲内での作業であることが前提ですが）契約の話をして履行してもらうしかないだろうと思います。

＞新バージョンのファームウェアがリリースされ、一定期間において不具合報告がなければ適用すべきと認識している 良い判断だと思います。完璧ではないにせよ実績を見て、問題に遭遇する確率を下げているわけですから。 ＞ネットワーク保守を委託しているベンダーは、不具合がある場合は、有益な手段と考えているのですが、安定稼働しているのであれば、適用するのは不安定に陥る要因になるという考えをもっているようです 「問題になっていれば、顧客が望んでいるのだから適用する。適用した責任は顧客にある。安定しているものに適用して問題が出たらベンダ責任になる。だから嫌だ」ってことでしょ？ ベンダは「自分達で売っている機器のバージョンが上がっても検証できません。していません」と言っているに等しい訳です。私なら保守契約を他社に移管しますね。 ＞また、随時、新ファームウェアを適用する方針とした場合、ベンダーへはどのように説得力のある説明を行えばよいのでしょうか？（担当者として、一方的に押し切る事は、避けたいです。） えっと、無難かつ常識的な方針に疑義を唱え、恐らくあなたの上司に「担当者に慎重さを求めたい」みたいな告げ口をするような輩ですよ。馬鹿というより既に敵です。私なら切ります。 メインフレームを残し、それ以外の全てを切ったこともあります。アイビーなんとかという、アメリカの会社です。そこの会社の偉い人が専務に抗議というか脅しに来ました。メインフレーム以外の扱いを切るという方針は専務の指示で撤回しました。でも私は、その会社の扱い量は１／１０にしました。ついでに聖域と呼ばれていたメインフレームのディスクとテープ装置は別の会社のものにしました。購入費、保守費ともに半減し、性能は倍以上になりました。 ベンダの部長は変わり、チームはほぼ解散となりました。無能なＳＥと営業の多いチームでした。金をもらって客の足を引っ張るようなＳＥ、金をもらって勉強にきているようなＳＥ達でした。そいつらが消えてくれたため、仕事の効率が向上しました。 付き合いは対等です。主従関係ではありません。だらけたベンダは自分が主であるかのように勘違いします。切るときはドラスティックにして、反省の機会を与えてください。次の営業、次のエンジニアは多分、色々と改めてきます。

某大手メーカーのデータセンターで仕事をしていましたが四半期ごとにセキュリティホールの一斉チェックを行い、評価して不適用にする場合は不適用にする理由を担当部署所属長の責任において顧客と合意する事をしていました。 もちろんセキュリティホールはつぶすのが大前提です。 すべての機器に対してです。 OSレベルでは毎月、行っていました。 安定稼働を言い訳にセキュリティホールを塞がないのはベンダーとして無責任だととらえていました。 セキュリティホールをつぶしても安定稼働させるのがベンダーとしての責任だと思います。 評価も欲しいので、随時という訳にはいきませんがきちんとタイミングを作って適用・不適用について合意しなければいけないと思います。 担当者レベルではなく、会社対会社として。 保守契約を締結する際にきちんと話し合うべきことだった気がします。 今からでも調整すべき事案だと思います。

リリースされたパッチが何に対する対策なのか、それが自サイトに影響を及ぼす内容かどうかを個別に評価すべき問題であって、一律に「必ず当てる」「必ず当てない」とすべき問題ではないように思います。 セキュリティホールを塞ぐためのパッチであれば当然当てるべきでしょうし、単なる機能追加であれば、追加される機能が差し当たり不要であればリスクを避けて入れないというのも正しい判断です。 特に、ネットワーク機器は今や、停止した場合は企業の全業務が停止しかねないという点は考慮に入れるべきと思います。