結局このような「ログの取得」「脆弱性を排除する」などという業務は、人間で言うところの成人病検査にあたるのではないだろうか。如何に我々が重要性を理解したところで、それは医者が成人病を知ることと変わりないことであり、一般人 (上司) へ理解してもらい、正しく検診していただくためにはまだまだ不十分なのではないだろうか? 純粋にそう思った。これではボトムアップでの改革はありえない。
しかし実際口にしたところ、そうではないと答えを頂くことができた。まず人間が生きていく上には目標があり、それに即した形での生活を営む上で、成人病検査が必要である・・・と考えればよいのである。あるセキュリティ基準があり、それを目標とし、それに対し紳士に取り組めば、トップダウンでもボトムアップでも改善することができる理想の形になる、とのこと。まったくその通りだ。
そうそう、このオフ会で、Foundstone の T シャツを頂いた。Foundstone と言えば、セキュリティ監査・コンサル・教育における重要な地位を持った会社である。その筋の人にしか自慢できないが、まずは壁にでもかけて悦に浸ってみよう。