IT管理者が犯しがちな5つの過ち（5/5 ページ）

これほど長い間、さまざまなIT管理者が同じ過ちを繰り返すのを見つづけてくると、その過ちに共通のパターンがあることに否応なく気づかされる。よく見る5つの過ちと、その避け方のヒントを記しておく。

[Joe-'Zonker'-Brockmeier，IT Manager's Journal]

過ち#5：セキュリティは二次的問題

　Linuxにオープンソースと聞くと、それだけで安全と思い込むことは、よく見る過ちである。Linuxとオープンソースの上に安全な環境を築けることは事実だが、サーバとアプリケーションに適切な安全対策が施されていなければ、最初から侵入を覚悟しておいたほうがいい。

　セキュリティを軽視しているIT管理者が多すぎる。セキュリティパッチのインストールやファイアウォール規則の厳格化にはやかましくても、組織全体の包括的セキュリティポリシーはおざなりになっていることが多い。

　建物の玄関からファイアウォールに至るまで、セキュリティはITアーキテクチャ全体に遍在する要素でなければならない。トラステッドユーザーでもないのに、企業VPNを通じてファイアウォールの背後のサーバにまでアクセスできるのでは、いくら強固なファイアウォールを導入しても意味がない。組織のWebサイトを駆動する内製コードの安全性が疑わしいのでは、サーバ上のパッケージの1つ1つにパッチをインストールしても効果はない。通りがかりの人がサーバ室に自由に入り込め、そこのマシンでルートユーザーのセッションが進行中だったというのでは、いくらユーザーアカウントのパスワードを10桁にし、8週間ごとに変更するよう義務づけても、すべては水泡に帰す。

　必要なら、外部に手助けを求めよう。セキュリティ問題の専門家がIT部門のスタッフにいないなら、コンサルタントを呼び、ITインフラのセキュリティについて助言を求めることを躊躇してはならない。