高木浩光氏のBLOGより
高木浩光@自宅の日記:「セキュリティ屋」がセキュリティを駄目にした
「とりあえずActiveXは切っておけ」みたいな解説は巷に氾濫している。そういう半可通な人が増えてしまった原因は、一時期のセキュリティ屋の言動にあるのではないか。
高木氏の言う「セキュリティ屋」がどのような人種を指すのかは分からないが、たしかに、「セキュリティ向上のためには」そうすべき、というトーンで「ActiveXコントロールやスクリプト関連をオフにする」ことを薦める内容の記事が多い時期があったように思う。
(というか、「セキュリティ向上のためには」という切り口で、その意味を十分に説明しない記事はいまだに見受けられるような気もするが)
我が身を振り返れば、説明不十分のまま「セキュリティのために~しろ」というトーンで家人に指示することもしばしば。
私のは「説明するのが面倒だから」だが、「セキュリティ屋」の説明不十分は怠慢によるものか、それとも言っても分からないだろうと決め付ける傲慢によるものなのか。
いずれにせよ反省が必要なのは間違いなさそうだ。
それはオマエだけだ。
CNET Japan : トレンドマイクロ、パターンファイル配布問題で「嵐を乗り越え虹が見えた」
「これまでウイルス対策企業は、いかにして競合企業より早くパターンファイルを配布できるかを考えていたが、競合ではなく顧客にフォーカスすることが大切だと痛感した」と語った。
一読して、「競合企業より早くパターンファイルを配布することに注力した」のはオマエの会社だけだ、というツッコミを入れたのは私だけではないはずだ。
シマンテックだってウイルス定義ファイルを毎日更新しているのだから、トレンドマイクロだけ、というのは言い過ぎかもしれない。
しかし、LiveUpdateでの配布を原則週一としているシマンテックならともかく、パターンファイルの毎日配布を売りにしたトレンドマイクロが「ウイルス対策企業は~」などと業界共通のような言い草をするのには抵抗がある。
私がたまたま「Norton AntiVirusが誤検出」という話題を目にしていないだけなのかもしれないが、「ウィルス対策ソフトが誤検出」というとウィルスバスターという印象が非常に強いのも、「他社に先駆けて」を優先するあまりに確実性を犠牲にしてきた結果だろう。
トップが、自社が引き起こした不始末を「業界の不始末」であるかのような物言いをするということは、確実性よりも「他社よりも早く」を優先した経営判断に問題があったとは思っていない、ということではなかろうか。
であれば、現場だって十分なテストよりも時間を優先せざるを得なくなり、結局設備を整えただけ...ということも想像できそうだ。
Mozilla Foundation セキュリティアドバイザリ 2005-42 :: 「javascript:」形式の iconURL を通じたコードの実行
/.Jでも話題になっていた件。
深刻度が高いホールが有るのは困ったものだけど、こうしてコードが「枯れて」いくのは良いことかも。
