上原先生のところから。
監査「する」リスク

この件についてコメントはしませんが、これですぐ連想されるのは、じゃあセキュリティ監査も同じようなことが発生しうるの？ってこと。ペネストレーションした時に穴を見抜けなかったじゃないかって、事件発生後に訴えられたりしたらそれは大変だなぁ。憂鬱だ。

会社の新卒採用で学生の質問を受けることがよくある。そんな時に必ずと言っていいほど聞かれるのがこの質問。「今まで仕事をしてきて一番の失敗って何ですか?」これ答えるのが意外に難しい。なぜかと言うと、苦労したことやうまくいかずに困ったことでも「失敗」とは考えない性格なので、「一番の失敗」と言われても、「そんな大きな失敗あったかなぁ??」と考えてしまう。

そこで、この質問が出たときはこう答えることにしている。
(学生)「今まで仕事をしてきて一番の失敗って何ですか?」
(私)「今まではあまり大きな失敗はなかったけど、これだけは絶対にしたくない失敗というのはあるよ。」
(学生)「それは何ですか」
(私)「自分で脆弱性の検査(あるいはペネトレーションテスト)を実施したお客さんのWebサイトに実は穴があったのに、検査でそれを見抜けず、あとで外部から侵入されてしまうこと。」

幸いにして今のところは起きていない。でもこの先も起きないという保証はない。