My Tracking

My Tracking

記憶力の低下が気になるアラフォー男の備忘録

【書評】DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録

セキュリティに関する下記の書籍が発売されていたので、Amazon電子書籍版を購入。

DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録

DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録

筆者については、下記の書籍などで元IBMの優秀なインフラエンジニアであることなどを以前から知っていたことと、

下記の記事などでも、『1人CSIRT』を実践していたことなども紹介されていたため、活動を読んでみたかったのが、購入の動機。

itpro.nikkeibp.co.jp

以下、本書内で、気になった箇所等。

 セキュリティ分野はコンピュータサイエンス総合格闘技

サイバーセキュリティ分野では、幅広い要素技術に関する知識をもっていることの 重要性が再三言及されており、筆者は、それを「コンピュータサイエンス総合格闘技」と 表現している。

その幅広さゆえ、純粋にエンジニアとして、技術的に興味を掻き立てられていいた経緯が 下記のように述べられている。

(本書「P325」)より

学びをすすめていくうちに、サイバーセキュリティの分野は
コンピュータサイエンスの集合体であり、
網羅的に理解するには難易度は高いが、それを実現できた暁には、
技術的にとても面白い地平線が広がっているはすだ。

 エンジニアとしてより長く”食っていける”

(本書「P581」)より

セキュリティの分野は関係する要素技術がとても広く、
かといって浅い知識でよいわけではありません。
半面、得られる充実感や達成感は大きい分野です。

また、セキュリティ対策の潜在ニーズは非常に大きく、
今後すべての企業や組織で必要とされるはずです。

それはつまり、高いセキュリティ技術を身につければ、多くの場面で必要とされる、
要するにエンジニアとして、より長く食っていけるということも同時感じました。

 脆弱性に対応するかどうかの最終判断は事業部で意思決定

筆者の所属するDeNAでは、CSIRT発足にあたり、以下の注文がついたとのこと。

・脆弱性を発見しても”鬼の首”を取ったような態度は取らないこと。
・リスクテークはありえる。発見された脆弱性に対応するかどうかの
 最終判断は事業部で意思決定する。

セキュリティの業務に近いところで仕事をしていると、 脆弱性やそれらが潜在的に抱えるリスクについて、 事業部門や上層部に説明しても、十分に理解してもらえないことを 日々痛感することがある。対応しようとしている脆弱性の問題についても、事業部門側に十分に 理解されないことがあるため、結局リスク分析や対応の要否の意思決定まで、システム部門側で 主体的に行われるというのが、私の所属する会社の実態となるため、脆弱性の対応の意思決定が、 事業部門側で主体的に行われることが個人的には凄いと感じたところ。

 孤独になりやすいからこそ、コミュニティへの参加を

セキュリティ業務に日々、従事していると扱う題材が非常に難解で、 理解されづらいことも多いため、説明をしてもうまく理解されなかったり、 相談できる人が周りにあまりいなかったりと、ある種の「孤独感」を感じることがある。

そんな時は、同じ境遇にいる人たちが集まるコミュニティへの参加が有益であると本書では述べられている。

 「セキュリティ原理主義者」にならない

セキュリティのゴールは、事業スピードを高めることと定義づけ、 人間の意識の向上や協力を全く必要とせず、システム的要素、 仕組化だけで、セキュリティを担保することの難しさについても、 述べられている。セキュリティレベルが高まることだけを追求する 「セキュリティ原理主義者」にならないことが大事であり、 多くの人が納得し、無理なく守れるルール作りの重要性について言及されている。

 挑戦を続け、組織内に変化を浸透させる。

個人的に、最も共鳴したのが、以下の個所。

(本書「P2722」)より

筆者が実践していることは、組織内に変化を浸透させるために、
まずは、自分自身が変化することです。
新しいことへの挑戦を積極的に行うようにしています。

また、過去の慣例や過去に自分自身が下した決断にとらわれることなく、
現時点での最適解を冷静に見極めることを心がけています。

積極的な変化が仮にネガティブな結果をもたらしたとしても、
挑戦したことに対しては、ポジティブな評価をすることが重要です。

多くの挑戦とそれに伴う失敗なくして、新たな成功を得るのは難しいものです。

セキュリティという不確かで成果の見えにくい分野だからこそ、数多くの
挑戦が必要であり、チーム全体が自律的に挑戦を繰り返して変化を
起こす文化を作っていきたいと思っています。

どんなレベルであれ、セキュリティ分野の業務を行い、 日々苦闘している人たちにとっては、救いとなる良書であると思う。