仕事でサーバをちょこちょこ発注しています(自分でも作れるけど会社の方針で外注)。

いわゆる大手メーカーのSI屋に発注するのですが、 設定が緩いよ。
こっちも機能に関する要求はきめ細かく書くし、 ちゃんとチェックするけど、セキュリティ周りや準正常系の 動作って要求しにくいんですよね。そのせいかSI屋も めっちゃ適当に作るし、こっちもちゃんと評価やチェックできる 人材が少ない。もちろん上司なんかは、そういう周りの細かいのを 知っているはずもない。

正直、SI屋もデフォルトの設定より変更するのをいやがるし、知らない。solarisなんて沢山変更が必要だし(変更すれば幾らでもセキュアに出来るのがsolarisの良いところ)、各種デーモンのchrootとか必要だよね。FWなどパケットフィルタなんか全てのサーバに入れると思うのだけど、上位のL3SW or LBの一点入れただけで何で良いとするかなぁ。こっちの運用方針を聞き取りもしないでよく決めるよな。

2004年にもなって新規作成のサイトでXSS対策すると工数がかかるとか言う所はどうにかなりませんかね。そこの会社はお金によってはXSSを考慮しないサイトを今でも構築しているんですかね。

そういうSI屋が納品するサーバをチェックする要員がいなそうな公共団体。そういうところにもシステムを収めているかと思うと恐いです。

正直、この業界は急成長しすぎちゃっていますね。分かる人材が貴重過ぎるし、そういう人材を正当に評価できていない。

自分も資料作って周りの人に迫ることをあまりしていないので、それについては反省しつつ、改善することが今年度の目標です。
三菱マテリアルのような、恥ずかしいことが減りますように、がんばりましょう。