謎のアドベントカレンダー、第 18 話です。
入社前
筆者の職場は、もともと実験目的で
- 128kbps のメタル回線
- クラス C(/24)のアドレス空間
- ファイアーウォールの NAT(非 NAPT)で 10 個ぐらいの IP アドレスを使ってインターネットアクセス可能
- 導入時、NAPT なるものはまだ市販機器やソフトウェアで実用化されておらず、RFC もなかった
な感じでインターネットアクセスできるようになっていました。
社員が 3 桁のところに同時アクセスできるのが 10 程度、ということで広大なアドレス空間を無駄遣いしていたわけですが、そもそもグループ内の 1 社が実験目的で入れていたものを全社解放するのもアレなので、あらためて別の回線を引くことに。
(その際、工事許可を取ってビル前の歩道を掘って光ファイバーを通す等のあれこれがあって面白かったのですが、その話は今回の主題ではないので割愛)
新たな回線には
キャッシュ用のプロキシと、コンテンツフィルタリング機能付きのファイアーウォールが導入されました。
そしてこのコンテンツフィルタリング機能、接続先のドメインや IP アドレス等を内部のブラックリストと突合してアクセス可否を決めるものだったのですが、
とにかく使えない
シロモノでした。
なんといっても海外で作られたブラックリストです。日本の扱いが雑で雑で。
止めて欲しいものがフルオープンな代わりに、たとえば ベッコアメ・インターネットのドメイン全体が「アダルト」カテゴリでブラックリストに入っていたり して。
ひどい。
ホワイトリストに登録すればフィルタリングをパスできるようになるものの、アクセスできずに困ってそれを伝える側もホワイトリストに登録する側もとにかく面倒です。
(筆者の職場の性質上、中小零細企業や個人商店の Web サイトにアクセスできないのは NG)
筆者は下っ端で何の権限も持たない身だったのですが、タイミングを見計らいながら、なし崩し的にしれっと コンテンツフィルタリング機能を無効化 しました。
しれっと。
(悪い情シス担当者だ)
本来なら、上司など周囲に相談して決めるべき話ではありますが、ある程度のコストを掛けて「安全に使えますよ」「遊びじゃなくて仕事用ですよ」アピールした(であろう)上で稟議を通して導入した以上、稟議のルート上に居る当事者が
「ごめん、使い物になりませんでした〜テヘペロ」
では済まないので、仮に相談したとして
諦めずに設定をチューニングしろ(自分でわからないことは業者に相談しろ)
という流れになるのは分かりきっています。
(まあ、一応、無効化直前にさらっと「これ使い物にならないから無効にしますね〜良いですよね?」とは伝えてはいますよ。気づかれない程度にさらっと)
セキュリティは大事だけど
可用性を大きく損ねてまで他を優先すべきものではありません。
可用性大事。
でもって
クラス C の(自社にとっては)広すぎるグローバルアドレス空間は、残念ですがお返ししました。
さよなら。
19 日目の記事に続きます。