Scribble at 2021-04-01 09:32:56 Last modified: 2021-04-01 09:33:18

このところ何度か京都に出張している。もちろん、現地でなければできない作業があるからだが、それはそれで仕方のないことだし、セキュリティ・ポリシーとしてそうしていると言われれば、一つの見識として強く反対する理由もない。いまでは AWS のセキュリティ・ゾーンのような仕組みでリモートのマシンからステージング環境へアクセスすることなど珍しくもないが、仮にそれがセキュアな通信を保証しているからといっても、無闇に採用していいわけはないからだ。アクセスする側のパソコン、いまはとりわけ自宅から私物のパソコンでアクセスする場合も多いわけで、そういう環境で ssh の鍵や認証情報が漏洩していない保証などないからだ。

さて、現地では何度か他の制作会社の方と同席していて、サーバの仕様についてありがたい助言をいただいたりして作業できた。こういう機会は、このところ非常に少なくなっていて、別に自慢でもなんでもないが、僕がシステム開発やプログラミングやサーバ構築について誰かから教えられることは、いまの会社に入ってから15年ほどのあいだに２回ていどしかなかった。その１回が、いま紹介している京都での事例だが、もう一つは10年以上も前に、これも京都のブルーベリー屋さんのコーポレート・サイトや経営者のブログを構築しているときに、共同で作業していた別会社のエンジニアから rsync のコマンドもしくは php の copy() 関数に入れる引数の順番が間違ってると指摘されたことがある。いちいち覚えているくらいなので、それ以外はこちらが質問したり指摘することばかりだったから、なかなか僕の無知や勘違いを教えてもらう機会はなかったので、有り難いことだ。10年前に教えてくれた、いまなら言ってもいいと思うが、ロックオン（現：イルグルム）の技術者は、いまごろ何をしているだろうか。

確かにメールなり、あるいは面と向かって教えられる機会でなくとも、本やブログ記事やフォーラムを読んで教えられることもあるわけで、何も独立独歩でやっているなどと言い張るつもりはない。それに、僕が社内で依頼されているスケールの開発を要するオンライン・キャンペーンだと、サーバ構築からプログラミングからセキュリティ監査まで、僕が一人で全て行えるていどの仕事でしかないため（逆に言えば、外の事業者へ委託する予算を確保するのが難しい案件の開発を任させることが多いからだが。実際、僕は対外的には「個人情報保護管理者（chief privacy officer）」という管理系部門の事務屋という体裁なので、システム開発は主管掌ではない）、自然と外部の事業者さんとの連携が少なくなる。また、ISMS の認証を受けていたときですら、実際には外部委託先の納品コードなんて監査する工数などなしに公開されていたし、中には委託先の申請すら出ていない（つまり与信を通していない）ベンダーに発注する事例も多かったので、他人の書いたコードを読む機会が（監査する立場ゆえに）遠ざけられていたという事情もある。