脆弱性対応をする人たちって、結構大変なんですよ、なにが大変って、全社のシステム担当に動作確認をお願いして、無理だったらベンダー確認したり・・・本当に調整業務で忙殺される。

例えば、サーバーにパッチを適用する作業なら、実際のシステム運用の現場では、テスト機に導入して動作を確認したり、システムベンダーに問い合わせる調整業務が発生したりします。オフィスで使用しているアプリケーションに脆弱性のパッチが公開されたら、それを適用してもらうように社員にメールを流したり、あるいは自動でパッチを適用できるように設定したりしなければなりません。

　そして何より面倒なことが「ユーザーからのクレーム対応」ではないでしょうか。「パッチを当てたら文書が開けなくなった」くらいならまだしも、アクセス制御を変更すると「今まで使えていたオンラインゲームにアクセスできなくなった」などというクレームにまで対応しなければならなくなります。

セキュリティ庶務はアウトソーシングせよ | 日経 xTECH（クロステック）