穴の空いたバケツで水を溜めるのは、かんたんにはいかないです

情報セキュリティの強化の必要が多くの企業等で言われるようになって、相当の年月が経過しています。

特に情報システムからの情報漏洩については、故意は言うまでもなく過失についても罰則が決められるなどして、担当者の責任を明確にしています。

わたしが  SE 時代のときも、そのような責任を、誓約書いう、一方的で一方向の対価のない片務契約書のようなもので、社員なら？、踏み絵みたいなことをちらつかされて提出するようにいわれた記憶があります。むかしのことで、いまはそのようなことはないと信じていますが。

その当時の一般的な情報システムのセキュリティといえば、穴の空いたバケツで水を溜めるようなもので、そのようなことが受け入れられる人は、ごくわずかのテクニックやアイデアのある人、リスクを許容できる人、運のいい人、あるいは何も知らない無鉄砲な人などで、わたしは、情報漏洩か頻繁に報道されている状況からみても、簡単に受け入れられずにちょっとごねていました。自身がセキュリティ行動をとっていたとしても、他の人の行動で洩れてしまえば、それは当然自身にも影響か及ぶとみられます。さらに運悪く、このときは、いわゆる SE の 3K の時期にドップリはまっていた時期で、自身のさらなるリスク対策もとれない状況でもありました。

結局、もともとここまでの力量しかないのだと思うことにして、しばらくして退社にいたっています。

わたしの思い出話はさておき、情報システムは、いまだに脆弱です。情報システムの脆弱性とは、ネガティブフォルス、たとえば機能判断・定義を後回しや放置しているところが狙われたり、ポジティブフォルス、たとえば機能判断・定義は行われているがそれが悪用されたりと、わたし個人の見方ですが、簡単にそのように思っています。

ちなみに、脆弱はバグとは違うのかと悩んでいた頃があったのですが、なんとなくですが、バグは、プログラムバグ、仕様バグという使われ方が多いことからみて、実装に起因している事象、脆弱は、概念や方針に起因している事象、みたいな、個人的に簡単にそのような程度で思っています。

わたしが、プログラマー初心者のとき、かんたんプログラミングのような書籍が多くありました。サンプルプログラムも数多く掲載されていてるものです。SE になって新人さんを迎えるようになって、プログラムレビューをしたりしていると、そのような書籍のサンプルプログラムコードが使われていたりすることもよくありました。かんたん書籍のコンセプトは良いものなのですか、サンプルコードをそのまま使用するのは、脆弱性につながる場合もあります。批判はできませんが、そのような箇所のダメ出しはよくしていました。機能は実現できても脆弱な場合があるのです。

簡単にと考えたいところてすが、決してかんたんではないのだといえると思います。