オレオレ証明書って…orz

ISMS（ISO/IEC 27001）を取得している企業なのに、そこで稼働しているウェブ系システムのサーバー証明書が「オレオレ証明書」なのは驚きだ。　サーバー証明書の意味を今一度勉強し直して、ちゃんとした証明書を取得すべきだと思うんだけどなぁ…　前職では例え社内のみの運用だとしても、ちゃんとした証明書を取得して運用していたよ。
セキュリティという言葉に対する意識の相違だとは思うけど、逆にいえば「オレオレ証明書」を運用していてもISMSを取得できるのであれば、ISMS自体がザルなんだろうね。　高い金出して取得しても飾りにしかならないと言う事なんだという事だ。
ビックリしたよ。