アフォなコンサル第2弾、ITコンサル、セキュリティコンサル、技術コンサルという類いも相当怪しい奴が多いのかな
雑文発散(2007-09-08)というエントリを発見。
最近ある一角でサーバのバージョンナンバーを隠すのがセキュリティのために有効か無意味かということで議論になっている。
元記事がどこにあったか失念したが、あるセキュリティに関するアドバイス的記事が
「脆弱性の改善のためにサーバのバージョンを隠すべき」
と書いたところ、それに対して
「立てっ放し放置のサーバならともかく、サーバのバージョン隠しなんて意味があんのか?」
という反論があちこちからわき起こっているわけだが、これはその疑問に対するひとつの解ということだ。
要約するなら
「サーバのバージョン隠しはやっていようがやってなかろうが、どうせ総当たり攻撃には備えなくてはいけないし、バージョンが古くったってちゃんとパッチを当てて脆弱性をコントロールしていれば問題ないということもいえるのだが、そういう技術のディテールはどうせ素人のクライアントには分からない。
しかしそこになんとかの一つ覚えの『セキュリティ診断業者』が入ってきて
『バージョン隠しがされていないので脆弱性が有る』
なんて診断を出されたら、その対処はしてあるなんていう説明をいくらしたって素人のクライアントは
『脆弱性が有るなら改善しろ』
とこの報告書を鵜呑みにした反応しかしない。
これを説得するのはエネルギーの浪費で、しかも生産的ではない。
だからライフハックのために『バージョン隠し』をするのだ。」
ということだ。
すばらしい。
こういう理由ならバージョン隠しをする意味は非常にクリアに分かる。
しかしこういうアフォな技術コンサルの戯言を真に受ける「半可通」な技術お宅オジサンはどこにでもいるんだなぁ。
今実際私もこのてのアフォなコンサルとお宅ジジイに苦しめられているのでこの話は本当に身にしみている。
以前「コストカット屋はアフォなコンサルの代表例」という話を書いたところ、
「その話は非常にナットクできる」
という反応と
「コンサルという仕事を誤解している間違った認識を基にした極論」
というのと2種類の反応があったのだが、どちらの反応も一面の真理を言い当てているものの、このてのコンサルが実在するのも事実なのだ。
そういうのに現実に苦しめられている私がいうのだから間違いない。
私個人は、セキュリティ診断業者のようなセキュリティ関連コンサルには関わり合いがないので何ともいえないのだが、この一文を読んでいる限りクライアントが技術的な問題を理解できないのを良いことにこういういい加減な業者が適当なことをやっているという構図も有るのかもしれない。
セキュリティ関連の専門家には、いろいろ教えてもらったお知り合いもいるしその中には高邁な思想を持った人もいることも知っているのだけど、やっぱりこの世界も玉石混淆ということなのだろう。
2007年9月12日
|
|