先日、あるシステムのインフラ設計/構築(といってもサーバがメイン)を行った後に、セキュリティ関連の監査機関に監査・チェックをお願いした。

で、最近その結果が返ってきたんだけど、インフラ面のセキュリティ・脆弱性問題は1つも出なかった、と。

その筋の専門家・エキスパートにハッキングというかアタックしてもらって(内容は不明ですが)、問題が出なかったというのは、やはり1つの大きな自信になります。

問題が出たら出たで、良い勉強になるし、先に問題が判明することで後々の事故の可能性が下がるということで、やはりこういった監査は重要ですね。

システムの性質と、あとはどこまでシステム面と運用面の2側面で担保できるか次第だとは思いますけど。

具体的な対策内容は、システム構成にもよるので、なかなか汎用的に書きづらいのですが、1つ言える事は、まず最低限は基本に忠実に対策を行っていくことですかね。

あとの細かいところは、全体および部分部分のアーキテクチャやプロダクトの仕様を把握した上で、最低限の権限付与や経路、実行範囲を狭めることと、万が一穴を突かれた時の影響範囲を小さくすることが重要ですね。

自信になったといっても、まだまださらなる追求の旅が待っていると思っています。勘所がもっともっと匂えるようになりたいものです。