Scribble at 2025-12-22 16:29:28 Last modified: 2025-12-23 09:01:53

さて、いよいよ今週で弊社も仕事納めである。弊社は12月が決算月なので、同じく期末ということでもある。既にマネジメント・レビューは作成して、あとは代表の承認を得るだけとなるわけだが、来期に向けての大きな課題がある。一つは、情報セキュリティや情報システムに関する「ダッシュボード」を開発して社内向けにリリースするということだが、もう一つは社内規程の大改定である。

この改定版の規程文書は、幾つかの細かな規定内容を公表する予定だ。つまり、弊部のプロモーション用のサイトを公開する予定でもある。たとえば、ウェブ・サーバの認証に鍵を使うとか、あるいは鍵の運用ができないクライアントや外注スタッフなどに発行するパスワードは何桁だとか、そういう話だ。特に日本では顕著だが、このような情報を意味もなく「機密情報」だと思い込んで隠そうとする企業が非常に多いのだけれど、僕は脆弱性に関する「フル・ディスクロージャ派」でもあるし、そもそも情報セキュリティ対策なんて隠すようなことではないと思う。例えば、ウェブ・サーバのパスワードが８桁なんていう会社なら隠したくもなろう。そんなものは、いまや「セキュリティ劇場（セキュリティ小芝居）」どころか、セキュリティの真似事とすら言えないレベルのルールや基準だからだ。

つまり、規程や対策を隠したがっている企業の大半は、簡単に言えば口先だけでセキュリティ対策なんてやっていないか、アホみたいなレベルの対策ごっこしかやっていないからこそ、隠そうとするのだ。何をやっているか攻撃者に知られようと、その情報を知っていたところで簡単には攻撃できないレベルのことをやっていればいいわけである。弊社の場合、ウェブ・サーバのパスワードは128桁である（更に、IDS やファイアーウォールでログインの失敗した IP アドレスからのアクセスを、標準的には30分ていど遮断するだけだが、弊社の場合は１日遮断する。というか、現実には永久に遮断してもいいし、他の案件で建てたウェブ・サーバにブラックリストとして共有してもいいのだ）。これに対して AWS で何百台もインスタンスを組んで攻撃しようという予算を持っている攻撃者はいるだろうか。最初から強固なポリシーで対策していれば、それを公表しようと問題はないのだ。逆に、腑抜けたことしかやっていないなら、公表しようとしまいと、攻撃の標的になってしまえば突破されるのは時間の問題なのである。