しかし、攻撃と防御に関する技術や仕組みが進歩する一方で、大きな変化がなく、
ある意味で制御不能、
ある意味で最弱、
ある意味で最大のセキュリティホール
……そんな存在に心当たりはないだろうか？
それは「あなた」であり、「家族」であり、「恋人」「友人」「同僚」「知人」である。つまり「人」だ。
仕組みや技術の進化によって、攻撃できるポイントを極力減らすことにより、システムではある程度の防御力を担保できるようになった。一方で「人」は、そのシステムに頼っており、防御力を担保しきれておらず、攻めやすく、その数だけ攻撃のポイントとなり得る。この「人」に、昨今、攻撃側が着目してきていると筆者は考えている。

このような実験結果を踏まえてなお、教育さえ行っていれば攻撃を防ぐことができると思えるだろうか。訓練を行えば本当に防ぐことができるのだろうか？
残念ながら答えは「No」だろう。「人」はコンピュータのように0か1かではない。攻撃を防ぐことができる場面もあれば、防げない場面もあるだろう。もし一度は攻撃を防ぐことができても、次も防げるという保証もない。その逆も然りだろう。
10年近くコンピュータセキュリティに携わっている筆者も、このような攻撃に引っ掛からないといい切れるほどの自信はない。

攻撃はまるでレーザービーム (2/3)：セキュリティ・ダークナイト（8） - ＠IT

昨今のはやり言葉を挙げるとすれば、「出口対策」がそれに当たるだろうか。
「出口対策」が不要というつもりはない。もちろん、必要なものである。だがこれは、前述したネットワークセグメンテーションや「入口対策」などができた後に行うべきことだと筆者は考えている（同時に着手できるリソースがあれば別だが……）。
当たり前といえば当たり前だ。侵害されることを前提とした対策を講じる必要があるとしても、まずは、侵害されないための対策をしっかりと講じるべきである。
連日、各種メディアで報じられるほど、大きなセキュリティ事故が世界中で起きている。ご存じの通り、日本も例外ではない。目に見えないものがいつ襲ってくるかも分からない状況の中、焦る気持ちも分かるのだが、大きな変化を見せているこのタイミングは、セキュリティ対策を根本から見つめ直すチャンスであると考えてほしい。

攻撃はまるでレーザービーム (3/3)：セキュリティ・ダークナイト（8） - ＠IT