Scribble at 2022-04-19 23:55:25 Last modified: 2022-04-20 08:32:55

添付画像

年に1回ていどの頻度で、当社コーポレート・サイトで SSL 証明書を運用する状況を Qualys のチェッカーで検証している。当たり前だが、僕らのような技術者がサーバや DNS を設定してスコアが A 以下になる事例は少ない。そしてこんなことは、ひとたび適正な設定とその技術的な意味を理解して httpd の ssl.conf のテンプレートを作ってしまえば、後は専門学校の学生がやろうと同じ事である。多くの企業で脆弱なサーバを運用して攻撃されるといった問題が起きるのは、安月給で雇えるからといって、我々のような人材が作成してわざわざ公開するテンプレートをやみくもにコピペするような人材しか採用せず、しかもそういう人材しか採用できていない事実に社内の誰も気づかない場合である。

技術だけでなく、更に広い観点からの「ITリスク」を見積もって対策を講じるというポリシーで業務に携わっていれば、こういうチェッカーのハイ・スコアを追いかけることにどれほどの意義があろうか弁えているものである。Qualys のチェッカーは、もちろん最善の検証方法だとは限らない。また、チェッカーは無保証のサービスにすぎないので、メンテナンスされ続けるとは限らず、将来は検証基準が時代遅れになる恐れもあろう。そして、Qualys のチェッカーで A++ のスコアをとることと、そのウェブ・サーバの安全性には強い関連性があるとまでは言えず、暗号化された通信でエンド・ユーザから取得した個人データが適正に利用・保管される保証もないのだ。技術なんてものは、結局のところ人にかかわる根本的なリスクを取り除いてはくれない。どれほど厳重な暗号化通信を使っていようと、バカが PHP でフォームを組んだり、取得した個人データを杜撰に扱えば、いくらでも容易く情報漏洩は起きる。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook