Scribble at 2020-08-13 07:22:42 Last modified: 2020-08-13 07:28:04
セキュリティ企業SophosはWebサイト運営上のアドバイスとして、(1)WebDAV、Frontpage、PHP/Perl/Python/Rubyなど、あまり使わないモジュールをWebサーバに導入しない、(2)デバッグとサーバステータスページを無効にする、(3)FTPの利用をやめ、SCPやSFTPといった安全なプロトコルを利用する、(4)GitやCVSといったバージョンコントロールシステムの利用を検討する――などの対策を促している。
上記の記事は、2012年に機密文書を公開している Cryptome というサイトが改竄されたという報道である。僕は情報セキュリティからサーバ構築、デザインまで担当していると豪語しているが、もちろん何でもかんでも一線級の実力があるなどとは思っていない。単に前職でウェブサイトを運営するのにサーバの管理からプログラミングやデザイン、そして《コンテンツ》の制作まで、一通り担当していたため、色々なスキルを身につけなくてはいけなかったという事情があったから、あらかたのことがレベルはともかく《できるようになった》というだけにすぎない。ただ、そうして付け焼刃で色々とやってきた僕のレベルにすら及ばないプロのウェブ制作者があまりにも多いため、こうして「嫌われる勇気」とやらに訴えて、敢えて他人をバカだの無能だのと扱き下ろしているわけである。
これは哲学の元ドクターとしても同じスタンスだが、はっきり言って僕ごときに無能扱いされているような人間は、仕事でウェブの事業に携わったり哲学の研究者になるべきではない。なぜなら、僕がそれぞれの仕事において《最低レベルの資質の人間》だと思うからだ。僕を超えていけない者は、当該の業界のレベルを引き下げてしまう人材なので、邪魔なだけである。アマチュアとしてホームページを作って過ごすか、哲学の論説は自費出版したりブログにでも書けばよい。
ということなので、いかに情報セキュリティマネジメントを10年以上にわたって担当していても、Cryptome のようなサイトの運営者ですら、上記のような素人向けのアドバイスを口に突っ込まれるくらい杜撰な実務しかできていないことが分かるので、なかなかウェブ・コンテンツを適正に運用・管理するのは難しいという実感がある。上記の記事は、いくらスパイ活動に携わっていた人間の運営するサイトであろうと、諜報活動のプロが情報セキュリティまで熟知しているとは限らないという、よい例だろう。逆に、情報セキュリティの実務家が単純な諜報活動(ソーシャル・ハッキングも含む)に引っかかる場合も多々ある。たとえば、外出先でノートパソコンを開いて(TFA も使わずに)どこかのサイトへパスワードを入力するだけでアクセスしていると、その人物をターゲットにしている者であれば、背後から手元をビデオカメラで撮影すれば簡単にパスワードを推測できる。いかに情報セキュリティの実務家といえど、パスワードを毎日のように変更しているわけではないから、数分後に不正侵入されて情報を盗まれたり、気づきにくいデータ(たとえばブログならかなり古い記事)を書き換えられても、オンライン・サービスの場合は変更管理の通知なんてないことが多いので、攻撃されてもわからないままだったりする。このように、side channel attack など使わずとも簡単に情報を奪われてしまうのに、自分は誰の攻撃も受けまいと過信しているのが、特に大手企業や上場企業の情報システムや情報セキュリティや経営管理系の部署の部門長なのである。