究極的なセキュリティの目標は遮断することです。また、すでに完成されたネットワークにセキュリティ対策を施すことも多いかと思います。対策をすればするほど、ネットワークの可用性は失われていく事が多く、エンジニアは悩まなくてはならないのです。

luminさんの所に『きちんとやろうとすると、柔軟なところのほうが難しいルールになる。』って書かれていますが、まさに、そのとおりだと。何をどう守りたいか？って意識がないと、設定にまでたどり着けないんだけどね。ヒアリングしてもユーザさんでそこまで意識持ってるひとって、うちの場合は...居ないなぁ、まぁ、そこらへんをどう情報システム部門がわかるように説明してかつ意識付けを持っていけるかってことなんだと思うけど。で、そこで決まったことは、運用ルールにきちんと反映していかないと意味が無いものになっちゃう。まぁ、単発のものだとそう言うレベルでない場合が多いですけど。
実際、ファイアーウォールにしても、鯖のアクセス権にしても、記事中にある通り、ぜーんぶカットアウト！が完全でしょう？って話は出ますよねぇ。ただ、それだと、仕事にならない場合も出てくるわけで...というか、仕事になんない場合が多すぎかもです。でもって、じゃぁどうするの？って聞かれても判断基準が明確じゃないと、結局は担当者の個人的主観・意見とかユーザの望むままって感じに左右されちゃう。実務に携わる担当者レベルでセキュリティ意識をもったとしても、判断基準が曖昧な方針や上長の意識次第では、そうもいっていられないわけで。
まぁ、じゃぁ、どうするのがベストなの？って聞き返されるんですけどねぃ。で、続く...みたいな。