フリかな？って勝手に思ったので書く。

p-shirokuma.hatenadiary.com

思い返すと、僕が色々書くときの動機に若干の使命感（特に、仕事や学んできた学問や、身近な社会の問題について、明らかに間違っていることが提示され受容されようとしていることについて反証をするというもの）がないわけではない。むしろ、若い頃は積極的にそういったネタを拾い集めて来ていたけど、今はイベントトリガーでしかそういったものは書かないようになっている感じもする。

歳を取ると（これは年齢を重ねた、というのもあるけど主に立場が変わり、活動範囲が変わり、ということだと思うが）、新しいことのインプットはどうしても減るし、行動様式も保守的になるし（何しろ新しいことに体がついていきづらい）、インプットが減るからアウトプットが減る、ということもあるんだろう。

若いときのように、仕事で直面する理不尽に正論で相対するようなバイタリティーももちろん少なくなっているけど、社会がわかってくると、「最もうまくいく」やり方を選択してしまう（そしてそれは必ずしも正論でぶつかることではない）。そんなやつがブログでだけ正論ぶち上げて説得力あるか？ないよね？とか思うとまあ書くことも少なくなっていく、というのは確かだ。

そして、そういう目線で世の中の間違いをやんわり指摘しようとするとともすれば「老害がなんか言ってる」になってしまうんだよね。アルファブロガーと当時言われていた人の末路（失礼）はそれだと思う。そこで言うとphaさんの「書くことがなくなった」という感覚は非常に鋭く、正しいと思う。

ただ、僕が書いていることは、そういう様々な動機もあるし、今後もITの話を起点に社会の問題を語るだろうけど、うざいおっさんとして若者の反面教師になりつつも、少しは価値のあることを拾ってもらえると幸いだと思っているし、そもそもそういうものじゃない分野についてフレッシュな気分で受容したことについてダラダラと垂れ流していきたい。

書きたいことがあって書くというのは副次的な要素で、こうやって文章を書くこと自体が1つの趣味である、というだけの話ではあるので、自分にとっては書くってことそのものだけで十分意義があるんだよ。

何をもってシステムの脆弱性というのか、というのはしばしば議論になります。セキュリティー診断受けて、指摘されるんだけど、別にそれ要件上は問題ねーし、みたいなのもありますしね。

基本的にシステムの脆弱性ってのはISO27000的には「一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点」であり、脅威とは「システム又は組織に損害を与える可能性がある」ものであると定義されているんですよね。なので、個人のお遊びのシステムがXSS脆弱性をもっていたとしても、それで個人情報が流出したり、レンタルサーバーがダウンして同居している別システムがダウンしたりなどの損害が「発生しないのであれば」それは脅威ではないわけです。

だからといって、そのシステムは欠陥がないシステムか、と言われるとそうとも限らないんですよね。システムが仕様どおりにできていたからと言って、仕様が要件を満たしていなければ意味がないわけで。

「なんだこのクソシステムは」、というのと、「このシステムにはセキュリティ上の脆弱性はありません」っていうのは両立しうるわけです。そのことを理解しないで脆弱性がないからクソであるっていうのもダメだし、クソ仕様だからIPAに通報ってのもダメですよね。それだけの話だと思うんだけど。