有錢銀行對面的便利商店，是我想要在工作時打發時間的一個好選擇，這邊生意好到...有一次我在這便利商店坐了六個小時，想著「亞里斯多德」說的，「人因為是人，所以閒蝦比工作更重要」，我一直很難理解，「閒蝦」是什麼意思，在古希臘那個年代的蝦都很閒嗎? 這個問題，困擾了我那一天的六個小時，等我走出這間便利商店時，又發現那天我沒申請加班，也已經晚上五點了，再工作算是超時，為了不給公司和Anderson困擾，就只能委屈的下班了。

在那六個小時裡，除了我之外，就只看到兩個人，一個是準備下班的店員，一個是準備上班的店員。很奇怪，第一次看到有這麼讓人不想進來的便利商店，是因為那個自動門開門時的聲音嗎? 一般常聽到的都是「叮咚」，這家的自動門打開時，傳出來的是「客戶不是上帝，請有善交談，客戶不是上帝，請有善交談，客戶不是上帝，請有善交談......」，可能這邊離有錢銀行特別近，所以生意都不太好...

這年頭，誰想一進到便利商店就聽到...客戶不是上帝這六個字呢?

『我就說，我們兩個人談公事，就非得用什麼Line、遠端會議軟體或是到你們大樓裡的會議室嗎? 你們銀行樓下對面，不就有便利商店，就是我跟你現在坐在這裡啊，在這聊不好嗎?」

「王小四，這是公事...我們要注意保密...」

『你少舉著保密的大旗跟我說這個，你都沒有看新聞的嗎? 人家洩密交付資料，都可以約在咖啡店，為什麼我談正經公事，就不能坐在便利商店，你是嫌這邊檔次不夠高嗎?』

「沒有哦，你少來哦，千萬不要我只是提出我的想法，就亂扣我帽子哦。」

又來，又說我亂扣帽子，每次跟他討論事情都很累的原因就在這，我就已經跟他說結果了，他還要一直問一直問，幹嘛這樣。

「我今天要問你的是，我們那套Splunk，你總共建了多少個index? 我要怎麼查資料?」

Index? Index是Splunk用來儲存相同資料地方，比如所有的Windows日誌在Splunk裡可以建一個Index，名稱為idx_win或idx_windows啦，那需要搜尋Windows日誌時，只要在這個Index裡找就可以了，這也是我覺得奇怪的地方，我也打算要問小路。

『我應該建了300多個index吧? 我要回去登入Splunk確認一下。』

我發現小路呆滯的看著我...

『怎麼? 300多個太少嗎? 還是應該要建超過1000個，你的KPI才能達標?』

「王小四...你......為什麼會有300多個? 我們一開始怎麼討論規劃的?」

『一開始嗎? 你說Windows一個、Linux/Unix一個、防火牆一個、IPS一個、防毒一個、WAF一個...沒有了，剛開始是說先建這幾個Index。』

「那300多個是怎麼來的? 你剛唸的那些加起來才6個Index啊。」

『這就是我問你的啊，你們不是說要去識別化? 我照做了啊，可是這樣很難耶，我是人不是機器耶。』

「去..去識別化? 你又做了什麼?」

『原來不是說要去識別化嗎? 所以一開始講好的 idx_windows，我在設定的時候就變成 idx_01，WAF 應該是idx_waf，我設定成idx_09吧，我是人啊，我不是機器，我沒有辦法這樣很直觀的對照啊，所以我全部設定完後，我忘了IPS是idx 多少號了，就又建了一個新的編號，可是全部又建完後，我發現我又搞不清楚防火牆的編號是多少，所以...300多個。』

我也是好幾個晚上沒睡好，認認真真的在處理這些設定啊，怎麼感覺他又要開始怪我了?

「我們上次開會討論Splunk時，是有說到關於去識別化的議題，但是指的是，你在系統設定完成，要交付文件時，文件裡面有一些敏感資訊要去識別化，不是......天啊，這什麼世界啊...」

我無奈的看著小路...難道我照甲方說的做，也錯了嗎? 上次開會是他一直提醒我，要去識別化哦，要去識別化哦...

「你除了index做了去識別化...還有別的也這樣設定嗎?」

『你在開什麼玩笑，當然有啊，還有欄位名稱啊。』

「欄...欄位名稱? source ip 也變成數字了?」

『小路啊，就說你以前在學校不好好學，source ip 可能變成數字嗎? 你知道有多少欄位要去識別化嗎? 再說也不專業啊，所以我用了base64編碼，把所有欄位名稱都改成base64格式，這樣別人就看不出來了。』

看他那臉聽不懂我在說什麼的樣子...現在便利商店應該放「你的樣子」來聽一下。

『我解釋給你聽啦，你是不是沒睡飽?
原來不是應該是 index=idx_windows sourceip="192.168.0.1"
去識別化後會變成
index=idx_29 "c291cmNlaXA=" = "192.168.0.1"
這樣了解了吧?』

「你們公司還的還有缺人嗎? 我感覺你是上帝耶，我要先離開了，今天就當我沒來過，你想一下要怎麼都復原。」

要復原? 不要去識別化了?

『那我們是不是要有一場正式的專案會議，然後甲方代表的你要提出系統變更申請書? 你沒有照正常專案變更SOP，我自己變更這些設定，應該不好吧?』

小路沒理我，離開的時候，我只聽到自動門打開的聲音「客戶不是上帝，請有善交談」

(待)

2025/08/30 SunAllen

註：CISSP對照

*Asset Security（資產安全）
去識別化（De-identification）的正確使用場景，是在交付/分享文件時去除敏感資訊，不是直接在系統內部亂動。

錯誤的去識別化導致系統可用性受影響。

*Security Architecture and Engineering（安全架構與工程）
把欄位名稱改成 Base64 → 屬於「Security by Obscurity」的不當作法，會破壞完整性（Integrity）與可用性（Availability）。

*Security Operations（安全營運）
300 多個 Index 沒有經過正式規劃與文件紀錄，屬於 配置管理（Configuration Management） 失敗。
沒有走專案變更流程（Change Management），反而事後要求甲方出變更申請，完全本末倒置。

*Communication & Trust（跨域共性）
在便利商店談公事，觸犯「敏感資訊應在受控環境下處理」的原則。
這是典型的 不安全通訊管道 問題。