世の中には、セキュリティ的に迷惑な存在である「セキュリティ・ザル」と「セキュリティ・猿」という2つの人種が存在するのではないかと気付きました。
「セキュリティ・ザル」とは、セキュリティ意識がザルである人種です。つまり、何も考えず、何も対策を取らず、システムも意識も穴だらけ。こういう人種が使うパソコンは、容易に、不正な攻撃によって乗っ取られます。もし、そのパソコンのファイルが破壊される等の問題が起きるだけなら、その人だけの問題として終わります。しかし、多くの場合、乗っ取られたパソコンは他のパソコンを攻撃したり、spam中継のメールサーバとして使われてしまいます。つまり、「セキュリティ・ザル」は本人が被害を受けるだけに留まらず、周囲にまで迷惑が及びます。
もう1つの「セキュリティ・猿」は、セキュリティ向上のために良いことは何でも猿のように実践する人種です。このような人種は、一見、模範的に優れているように見えますが、必ずしも良いことばかりを引き起こすわけではありません。
たとえば、組織内のネットワークの管理者が「セキュリティ・猿」である場合、ファイアウォールで最低限のポート以外を全て遮断してしまうのが定番と言えます。もちろん、不必要なポートを遮断することそのものは常識的なセキュリティ対策の1つです。しかし、往々にして、仕事に必要なポートを閉じたまま、それを開かないという場合があります。
そのため、こんな会話を見かけることがある。
「業務のためにこのソフトが必要なんですが、動きません」
「ポートXXを開くようにネットワーク管理者に伝えて下さい」
「ネットワーク管理者に言いましたが、それは危険だから駄目だそうです」
「でも、そのソフトは業務に必要なんですよね?」
「はい。絶対に必要です」
「じゃあ、ポートXXを開くようにネットワーク管理者に伝えて下さい」
「伝えましたが、駄目だそうです」
(以下無限ループ)
安全性を確保することは重要なことですが、それは業務を確実に遂行するために行われるものです。それなのに、時として、「セキュリティ・猿」はその趣旨を逆転し、安全のために業務を妨げる場合があります。
それだけならまだしも、更に怖い状況も想定できます。
業務のためにどうしても必要なソフトを動かすためのポートを開いてもらえないとき、仕方がないのでISPにダイヤルアップする、という解決策が取られることがあります。その場合、ダイヤルアップに使われたパソコンにファイアウォール等の機能が含まれていないとすると、あらゆるポートが外部のネットワークに晒されてしまいます。つまり、ファイアウォールでポートを閉じた配慮が無意味化されてしまうのです。そして、侵入したパソコンを踏み台にして、更に不正行為を続けるタイプのソフトであるなら、そのパソコンを経由して、本来ファイアウォールに守られているはずの組織内のネットワークにも不正行為を行うことになります。
このようなケースは、過剰な安全確保が逆に危険を増加させている事例と言えるでしょう。
何ごとも、過ぎたるは及ばざるがごとし、ということですね。
それはさておき、どうして私がこのような文章を書こうと思ったのかというと、もちろん、タイトルが駄洒落になっているからです。本文は、この駄洒落を活かすために構成されたものです。
