仕事上、いろんなIT関連企業とおつきあいがあります。 そのおつきあいの中から最近思う事があります。
IT関連企業ってセキュリティに気を遣わないんですね。
ウチの会社にシステムを導入した某会社は、たぶんパッケージを買ってきて導入設定をしただけなので気を遣っていないのかもしれませんが… そのパッケージ、Webベースらしくhttpsで接続するようになっているのですが、証明書が期限切れで、しかも信頼できない「SnakeOil CA」の証明書なんですわ。 クローズドなものとは言え、せめて「SnakeOil CA」ではないオレオレ証明書を使って欲しいなと思う今日この頃。
って言うか、そのパッケージとかシステム一式でウン百万円というシステムなんだから、まともで安価な証明書を発行してもらってくださいな。 クローズドなものなんだから実在証明はいらないわけで、そうするとベリサイン以外の選択肢も出てくるんですから、それなりに安価な証明書を入手する事は可能ですからねぇ。
何でクローズドなものにそこまでこだわるのかというと… 高木浩光@自宅の日記の「広島市曰く『警告は出ますがセキュリティ自体には問題ない』」のように警告が出る事に対して感覚が麻痺してしまう奴が出てきてしまうからなのです。 たぶん、近い将来システム担当者がボクから変わるとまず間違いなく警告に対して何のためらいもなく「はい」をクリックしてしまうようになるでしょう。 自分が起こそうとしているアクションの意味を分からないで行動をする連中が多いですから。
そして、それは他の社員へも影響が及ぶ可能性が高いのです。 現に、今現在運用している前任者が構築したウェブメールの仕組みでは「オレオレ証明書」を使っていて、ユーザーに対して「警告が出ても気にせず『はい』をクリックするように」と、誤った指導してしまっているのですから…(これは今年度更新の際にはまともな証明書に変更します)
一般企業のシステム担当者のレベルはそんなもの、なのにそのシステムの管理を請け負っているIT関連企業の担当者のレベルもそんなものだったら… 大変恐ろしい事ですね。 でも、それが現実なのですよ。 と言うか、セキュリティに関するエバンジェリストにならなければならない人たちが、そんな手抜き管理をしていたらダメダメですよね。
コメント