セキュリティの最後尾から

今宵はセキュリティ最後尾から現場の状況をお伝えします！

・・・なんて。

あなたの会社のセキュリティ責任者の顔を思い浮かべてください。
それで企業の色がある程度見えるかと思います。
思いま～す。

さて。

ごく稀にこういう場面に遭遇します。ごく稀です。

「え～、それ俺が運用するのかよ・・・めんどくせえ」

いや、あなたに運用してくれなど頼んでいませんって。

ついでに言うと「めんどくさい」ならセキュリティ対策などやめちまえばいいと思います。さらに余計なことを言うと経営者や部門責任者はこのようなメンバーは担当から外したほうがいいと思いますけどね。もし存在するのであればの話ですが。セキュリティ対策をやるのであれば、その前に組織・体制の整備、権限の委譲や、責任の明確化をしたほうがよいと想像します。

まあ、こういうのセキュリティだけじゃないですけどね。

脆弱性リスク管理とか、セキュリティ・リスクへの対応とか、リスクという言葉がいろいろな場面で使われますが、結局、リスクなんてものは、最終的に「お金」でしかヘッジできないと思うのです。対策をしないことで浮くコストが、実際にインシデント起きて被る損害より大きければ、対策なんてしなくてよいのかもしれません。リスクが正しくアセスできているというのが前提ですが。

言葉は悪いですが、警察と泥棒が同じ状態というのはよくないわけです。例えば、ソフトウェア開発の世界なら、開発チームとQAのチームが同じ、さらにそのメンバーがCertificationまでやってしまうのと同じですね。つまり、設計してインフラを構築したチームにセキュリティを維持しろと言って、抜け漏れなくそれができるか、それは懐疑的なところもあります。

情報系のインフラを業者さんに丸投げしていた場合、どうやってセキュリティのリスクを管理することができるのでしょうか。まあ、契約でなんとかする、そういう形もあるかもしれませんが、インフラが存在する以上、セキュリティ対策は永久に続きます。

セキュリティ強度というのは日々低下（劣化）するというお話はこれまで幾度かしてきました。インフラは都度、必要に応じて、構成の変更を行い、装置の追加がされるなど姿を変えていきます。そして、日々、新しい脆弱性が発見され、それに対応するパッチがメーカーから提供され、一方、攻撃側からは新しい手法を編み出してきます。故障管理や性能管理より厄介なのは、攻撃者という第三者の存在ですかね。

ま、シッシッとか、仕事が増えるようなものを持ってきやがって、的なことは言われたことがありませんが、それに近い話は過去にありました 涙。これまたセキュリティに限ったことではないですけどね。まあ、新しいモノ≒異物なので、最初は拒否されるのがフツーですし、その辺、辛抱強くやらないと世界からキワモノ集めて、それらを鍛えて世に送り出していくような仕事はできません。

セキュリティ対策を採用する方々も、先ほどのリスクアセスの話ではないですが、ビジネスのネットワークやITインフラへの依存度であるとか、採用している技術に危ないものはないか、とか、リスクを洗い出して、目的を定めて妥当な投資をしないと、ITベンダに食い物にされてしまいます。

仕事が増える云々についてですが、仕事というのは、手間×複雑性でボリュームが決まりますから、複雑なことはコンピュータに任せ、手間の部分については自動化であるとか、サービスであるとか、業務負荷の増えない方向でご提案ができるよう考えないといけないと思っています。この仕事をしているとホントに生々しい話が耳に入ってきますが、我々もより知見を深め、セキュリティ事故が減るよう、微々たる力でありますが技術部隊として社会貢献できればと思います。

今日は侵入防止装置のチームが頑張ってたなあ...。乙！！