直近のコラム（世間の認識と脅威レベルのギャップ――XSSは本当に危ないか？：川口洋のセキュリティ・プライベート・アイズ（13） - ＠IT）で話題をさらった JSOC の川口さんの話が聞けたのは、非常に良かった。

自分もはてブを付けた一人だけど、セキュリティ原理主義的な事に対して、「でも、現実に考えなきゃいけないのは、それだけじゃないよ」ということを、最前線に立っている人からの言葉として言ってもらえるのは、市井のエンジニアとしてはうれしい。

そういえば、LAC 設立当初の中心メンバーだった三輪さんも、コラム（セキュリティ、そろそろ本音で語らないか 連載インデックス - ＠IT）に、似たような論調、というか、「現実的な落としどころがあるんじゃないの？」といった内容の事が多くて、こういった「現場主義」なところは LAC の伝統なのかな、などと勝手に思ったり。

自分も、15 年ぐらい前から市井のエンジニアとして、セキュリティ対策を考えてきた一人して、特に個人情報保護法施行以降の、過剰なまでのセキュリティ至上主義に対して疑問に思うことが多い。技術者としては、防げる物は防ぐべき、というのは間違いないし、技術者にもっとセキュリティに対する意識を高くしてほしい、というのは正しいと思うのだが、それが一般の人や企業のレベルに降りてくる時には、現実的な落としどころをちゃんと考えないと、「過剰」か「無関心」かの、両極端になりがち。

でも、LAC にコンサルタントを頼めるぐらいの企業でもいろいろあるのに、とてもじゃないけどそんな事にお金をかけられないような中小企業だと...。

たかだか P マークを取得する時ですら、何とかコンサルタントを頼まずに済ませられないか、というレベルですから...。

実際に起きているインシデントの傾向など、技術者としても参考になるお話が多かったですが、一番印象に残っているのは「誠意のある対応」の重要性。うちの社長にそれが出来るか、かなり疑問(^^;