美白のポイント

「ブラックリスト」が原理上完成しないのは明らかです。『石川や 浜の真砂は 尽くるとも 世に盗人の 種は尽くまじ』by石川五右衛門＠三条河原％釜茹でなう、なのですから。

一方、きちんと考え抜けば「ホワイトリスト」は必ず完成します。できることをリストアップし、それらのみを許可するので、数は多くとも、有限で閉じています。許可していないことはすべて禁止なので、想定外の行動を取られたとしても、未然に防ぐことができるわけです。

白黒つけよう

Webの担当者として、セキュリティの話に首を突っ込まなきゃならなくなった場合、この「黒い考え方」「白い考え方」を思い出してください。そして、もしもその打ち合わせが「黒い考え方」に染まろうとし始めたら、鼻息荒く、毅然と鉄槌を振り下ろすのです。

「ブラックリストが役に立つとでもお思いか？」

例えば「××だけ禁止」が黒く、「〇〇だけ許可」が白いのは、ここまで読んだ方なら明らかでしょう。basic認証は、id/passの組み合わせを知っているヒトだけが見れるのだから「〇〇だけ許可」、すなわち「白い考え方」です。
公開用Webサーバーの管理アカウントを攻撃から守るために、リストにマッチしたIPアドレスからのアクセスを遮断する方法は、基本許可・悪者だけ禁止ですから、黒い考え方です。白くするには「特定のIPアドレスからのみ許可」にすべきですね。

サーバのアクセス権のように、「どうすれば白い考え方にできるか」には個別具体の知識が必要です。一方で、そもそも今考えているポリシーが黒なのか、白なのかについては、ものごとの詳細を知らずとも判断できると思います。

もしもセキュリティの話がややこしくて判断ができないなら、判断できるまで質問攻めにすりゃいいのです。ポイントは「××だけ禁止」なのか「〇〇だけ許可」なのかですから、明快なはず。相手がプロならちゃんと答えてくれるでしょうし、答えないようならそもそも信用するに足る相手ではありません。素人さんに関わってる暇はないのですから、さっさと他をあたりましょう。

どうか自信を持って、セキュリティの打ち合わせに臨み、白黒つけちゃってください。