セキュリティポリシーの違い

８月にはいって、仕事でシドニーに来ている。当地の二つの組織のそれぞれのネットワークに、仕事の関係で双方を移動しては接続するのだが、対照的なセキュリティポリシーの違いが興味深く思える。

まず、ひとつ目、Aネットワークとしよう。これは、こんな具合である。ネットワークへの接続は、簡単につながる。DHCPサーバから自動でIPを拾ってくるように設定してあれば、簡単にネットワークに接続できる。しかし、じつは、何もできない。プロクシ経由でウェブの８０番ポートのみが公開されている。また、プロクシサーバをつかって特定のポートを経由したキャッシュサーバがサービスされている。ネットワークの構成としては、詳しくはわからないが、どうやら、大まかに、ネットワークが内部と外部に分けられていて、アクセスに関する許容度が違うらしい。内部では、ポートは比較的自由にVPNやP2P関連のポートにもアクセスできるようだ。一方、外部では、ウェブをブラウズする以外に、一切何もできない。管理者からは、アクセス方法とIDとパスワードが、紙面で知らされる。担当者が顔を見せることはない。

一方のBネットワークは、こんな具合だ。こちらは、Aネットワーク以上に何もできない。さらに、情報も、通常では知らされない。例えば、ネットワークにつながっているPCの固定IPほかの設定を移行しても、つながらない。おそらく、MACアドレスをつかっているようである。だから、通常の手段では、自分では何もできない。部門管理者がサービスデスクに連絡して、テクニシャンを呼ばなくてはならない。固定IPの設定やプリンタドライバなど、一切ユーザに触らせない。何もユーザがやらせてくれないから、せっかく設定をしにきてくれたテクニシャンについでに頼むというのもだめである。すべて、管理情報を登録してからでないと、今来ているんだから、ついでにやってよ、というのは一切通用しない。テクニシャンへの教育も徹底していて、ついでやってという話には、一切乗ってくれない。決して不親切ではなく、こうすればいい（つまり、誰に頼む）と言った情報は、すぐにくれる。さらに、いったん登録されてしまうと、外部へのVPNのポートやP2Pのポートであれ、問題なく接続できるようになる。

これら、二つのポリシーの違いは、結果はおなじ、つまり、外部から紛れ込んだユーザは何もできないという点では、おなじだが、Aネットワークの方は、物理的にいったん内部にはいると寛容である。プロクシ設定は一緒ではあるが、ほかのサービスは、自動的に自由になる。一方、Bネットワークでは、内部にはいれば、一切エンドユーザには手を出させることなく、サービスはオープンにする。つまり、内部と外部の区別はなく、サービス可能なところと、それ以外（つまり、サービスしない）にわかれるだけである。
もちろん、どっちがいい、という訳ではないが、また、どっちも好まないが（つまり、もっとオープンであるべきだと思うのだが）、いったいどちらが、リスクが少ないのであろうか。リスクについては、一概にいえないように思える。
もちろん条件が一様でないから、細かい比較はできないのだが、Aネットワークは、管理のコストがかからないし、外部ユーザはウェブ以外に何もできないが、いったん内部にはいると、何でもできてしまう。Bネットワークの方は、管理コストは相当かかるが、外部ユーザは、ウェブも含めて何もできないが、いったん内部にはいると、何でもできる。とすると、Aネットワークの方が、コストがかからないだけ、まだましのように思えるのだが、どうだろう。よほどのトラブル以外に担当者が出場って来ることはない。