≪ なつかしい風景 |メインページへ戻る| フラクタルな世界 ≫
2005年05月30日
【
セキュリティ・バブルの結果 】
昨日、レモン・ユーカリ(Eucalyptus Citriodora)の木を買った。アロマ・テラピーやなんかで良く登場する、あの「レモン・ユーカリ」の木。チンキ剤は虫刺されなんかにも効果があるとされ、風にあおられて生木が発する爽やかな香りは、正に一服の清涼剤とも呼ばれている。生木にも確か虫が付きにくいハズだった。
植物と一緒に住んでて(育ててると言わず「一緒に住むと」表現したいのはアタシだけだろうか?)、イチバン気の揉むのが虫。虫自体も生計を立てねばならん(計は関係ないかも)から植物を食らうワケなのだが、ダカラと言ってテントウムシまで放し飼いして生態系を作るホドの規模じゃない(確かナパ・バレーのビアンサと言うビン・ヤードは、食物連鎖を上手い具合に利用し、生態系を人工的に作り出して葡萄の木に付く害虫を駆除してたたような記憶がある)。
ハナシをレモンユーカリに戻すと、いざ買って家に帰る途中でアブラムシが大量に隠れているコトに気が付いた。なるほど、虫はレモンユーカリの葉を食らうのが嫌いでも、隠れ家にはできるワケだ。折りしも今年は「渋谷区でアブラムシ異常発生」とのウワサも聞く。コイツを家に入れるとドエライことになってしまうではないか。そうでなくても我が家には「食える草」が沢山あるので、木酢やらナニやらで格闘しているのに…。
ってコトで買って帰ったレモン・ユーカリの木は外の踊り場で薬剤を徹底散布し、マコトに勝手で申し訳ないが現存するアブラムシ君達にご他界願った。頃合を見て、夜中に台所の流しへ持ち込んで、葉の裏についてる卵も嫁が徹底的に洗い流した。恐らく、これで不正侵入は水際で防げたと思う。
植木屋で買ってきた植物に対してここまで悪戦苦闘したコトは初めてである。今までこんな経験はない。それとも今までがラッキーだったワケで、ヒトコトで言ってしまえば、植木屋をプロフェッショナルとして信用しきっていたアタシがアホなのか?
ん? ドコかで見た縮図だぞ…。そう、サイトへの不正アクセスでユーザが閲覧するページが改竄され、ウイルスやワームがダウンロードされると言う一連の事件と同じではないか。信用しているサイトだからこそ、ユーザの危機意識も下がる。ソコに付け込んだ手口。アタシは植木屋を信用していた。でも危うく感染しかけた。これからはもっと注意せねばイカンと思うと共に、一軒の植木屋の所為で、全ての植木屋に置いていた信頼がググッと下がってしまった。
価格.comやその他不正アクセスを受け、エンドユーザへ何らかの形で被害を及ぼした可能性を持つサービス・プロバイダーの責任逃れが気になる。「地震に遭った様なモノ」というコメントでは納得できるものではない。システム業界の片鱗で仕事をしている者として、そして自らも十数社のWeb、アプリケーション、メール・サーバの管理を行っている者として発言させて貰えば、あれは「地震」のような「天災」ではない。もちろん地震が発生した際に都市部で起こるような火災などの二次災害を指して言っているのであれば、エンドユーザが被った被害は地震のソレに似たようなモノだと言っても仕方がないのかも知れないが、サイトを運営する側がクラックされてソレを「地震に遭った様なモノ」と発言するのは、逃げ口上でしかない。聞いていてハズカシイ。
その程度の意識しかないから、クラックされたのではないのか?
そして、すぐにサイトを閉鎖しなかった点もエンドユーザを小バカにした措置だ。サイトをすぐに閉鎖せず不正なアクセスに対する監査証跡を確実に得たりするのは、そのサーバがエンドユーザに対して
絶対に被害を与えないと判断できる場合だけだ。可能性が1%でもあれば、即刻サイトは封鎖すべきだ。このアタリの意識の低さは、見ているだけでも腹立たしい。利用していたSQLサーバのベンダーからの圧力やらナニやらがあったのでは無いかとカンぐってしまうのはアタシだけか?
ベンダーがクラックされた穴があった事実を公表せずに、月例のセキュリティ・アップデートで穴を塞いだパッチを提供してそ知らぬカオを通すのであれば、それはあまりにもエンドユーザを無視した行動だ。いや、しいて言えば、エンドユーザを利用して実験をしているようなものでは無いのか? 例えるなら、橋梁に問題のあるかも知れない高速道路をユーザに利用させて、橋げたの強度検査を行っているようなモノだ。バカバカシイ。
世は正にセキュリティ・バブル。名ばかりのセキュリティ監査も蔓延る。価格.comもセキュリティ監査は行っており、妥当なセキュリティ・レベルであったと言う。もし彼らがコメントするように
完璧な体制であれば、今回のようなケースは起こりえない。最大手のECサイトや各ポータル、そしてSNサイトがクラックできない事実を見れば、そんなコトは簡単にわかるだろう。
謳うだけ謳って、結局「実」は何にも無い。そろそろ中途半端なソリューションを提供しているベンダーやサービス・プロバイダーも真剣にコトに対処する時期が来ているのではないのかな。エンド・ユーザを無視して、利だけを食らおうと言う体質は永遠に治らんのか。それともサイト運営やサーバの公開ってのをそんなに
気軽に考えてるのかね。セキュリティ・バブルの結果がこれだけで終わらないことを祈るよ、ホンマ…。
P.S.
監査ってコトバを聞くと、なんだか人は安心しちゃうんだよね。ウチはIS監査をちゃんとやってます、って言われると、ソコのシステムはナンだかがキチンとしてるように思っちゃう。でもそれは幻。今時の監査は「監査」と言う冠を得るための監査が多すぎ。監査するコトが目的になっちゃってる。ダメダメ、それ自体が市場になっちゃてたりすrんだから。本当に監査出来てたりすれば、あのエンロンだって倒産しなかったでしょ。「監査だけに頼らない。監査と言うシステムを使う事で甘えが出る。結局は現場のプロフェッショナル一人ひとりの意識の問題」、と思って
ISACAのメンバーシップも返上してしまったアタシはちょっと「逝って」しまってるんでしょうか?
|by Nagarazoku : 11:16|コメント (0)|トラックバック (0)|
トラックバック・スパム対策のため、このBLOGへのリンクを持たないページから送られたトラックバックは自動的に拒否されます。悪しからずご了承ください。
また、このエントリと全然関係の無い内容のページからのトラックバックは、アタシ的な判断で勝手に削除します。これも又、ご了承くださいマセ。
■このエントリーのトラックバックURL ≫ http://www.nagarazoku.com/mvt/mt-tb.cgi/111
