セキュリティ対策ってあまりにもたくさんあって何をどこまでやればいいのかよーわからん、という話を聞きますが、ほんとにそーなんですかねえ？テンプレートやらガイドラインが欲しいという話も良く聞きますけど。
いろいろ話を聞いていると、これとこれとこれをやっておけばとりあえず大丈夫、というモノを期待する方々が多いような気がしますねー。
でもそういうモノが存在したとしてですね、悪い人がそれを読んで「ははーん、じゃあこういうところが弱いんだな（ニヤリ」とか思って（笑）、攻撃してきたりしてね。そういうことはありつつも、それでもやはり有った方がいいんだろうなあ＞指針のひな形？今は何も無いので何もやらない、できない、というのも多いんだろうしねえ。
しかし、ちょっと困惑するのは、そうしたひな形、テンプレート、ガイドラインがあったとして、それに準拠してることでお墨付きが欲しい、という話なんだよねー。お墨付きって言えばISMS認証もお墨付きだけど、あのお墨付きはかなり厳しいじゃないですか。なんで厳しいのかって言えば、セキュリティなんて一つ小さな穴が開いていたらそれでだめだめあぼーんになるからで。だからけっこう厳しくしとかないと、とてもじゃないとお墨付きなんていう話にゃならないんすよねー。
たかだかガイドライン、テンプレート、ひな形に準じて対策してるからっていって、それをお墨付きにしようというのはちょっと虫が良すぎる気がするなあ。