Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

2017年に感銘を受けたワード「高い壷は買うな」「Take the Red Pill」「Door Stepmile」

2017年を振り返った時、セキュリティ関係だけという訳ではないのですが、心に残ったワードが3つあります。それが標題の3つなのですが、啓蒙的な言葉というのは伝わりにくいものではありますが、年の初めという事もあり、少し書いてみます。

 

まず1つ目ですが、「高い壷は買うな」厳密には「高い壷は買う必要ないですからね」という感じだったかも知れませんが、会社に出させて欲しいとお願いして出席した日本シーサート協議会の10周年カンファレンスで、日本シーサート協議会の山賀さんが言っていた言葉になります。丁度、この裏セッションが偉い大学の先生のセッションだった気がしますが、このセッション聞いて良かったな、と思った去年の(私的)ベスト講演でした。Internet Watchさんが記事を書かれているので、雰囲気はこちらをご覧頂ければと思いますが、

internet.watch.impress.co.jp

 CSIRTという言葉が注目を集める中で、そこに付け入る“怪しい商売”が近年増えている。例えば、CSIRTについて知識の浅い地方企業などに対し、不必要な機器をベンダーやコンサルティング会社が売りつけるケースが横行していると山賀氏は指摘する。

 

 山賀氏も、専門家の言うことは決して間違っていないし、嘘でもないと補足する。ただし、「その発言がすべての企業や組織に当てはまるかは別の話。(専門家の話は)あくまで考えの1つ。あえて極端に言うが『100%正しいセキュリティは存在しない』と考えるべきではないか」と山賀氏は訴えた。法律やガイドラインといったミニマムラインは当然あるが、それを超える部分については各組織がそれぞれの実態に合わせて運用スタイルを策定すべきという。

山賀氏の話を聞いていたときに、セキュリティに関わる仕事をしていると、本来必要ではない機器やソリューション(高い壷)をお客に買わせることの意識が強すぎないか?と問われた気がしました。良い機器やソリューションを導入させる事によって、顧客企業のセキュリティは確かに向上するのでしょうが、これで絶対大丈夫ですとも言うべきではないし(ITベンダーさんの地方営業に多いと講演では指摘されていました)、高い予算をつぎ込んで導入した機器があっても事件が発生した際は、更に良い機器を買いましょう・・・と宗教じみた営業が横行している状況があることに対しては、自分が何が出来るのか、何をすべきなのか、と考えさせられました。

 

2つ目は、Brian Krebs氏のセミナー(実際に参加している訳ではありませんが)での内容。映画マトリックスでの有名な台詞「Take te Red Pill」です。IT mediaさんが記事を書かれている内容(及び11月21日にこのブログでも記事を上げています)になりますが、

 

冒頭でハッカーのモーフィアスが、いま見えている現実は全て虚構で、その真実を知りたいのなら「赤い薬」を飲め、その事実から目をそらし、今の現実を受け入れたいのならば「青い薬」を飲めと判断を迫る。(IT media記事より引用)

 

foxsecurity.hatenablog.com

www.youtube.com

を引用し、

「今のセキュリティも同じこと。侵害されていないと思うということは、その組織が“青い薬”を飲み続けているのだ。『自分のキャリアが失われるから、侵害が起きているという戦略は採りたくない』とトップが考えている。勇気を持って“赤い薬”を飲むべきだ」(クレブス氏)

 同氏は続けて、サイバーセキュリティを理解している企業の考え方として、「そもそも安全であるという状態はない。リスクを許容できるレベルで運用できているという状態にあるということだけ」という発言を引用し、侵害を想定することが重要だと述べた。

IT media記事より引用)

Krebs氏は企業は侵害されている前提でセキュリティを考えるべきだ(Take the red pill)と言っていた点。この前提が違うだけで、予算が無い・・・という問題もクリアになるでしょうし、この記事で多く取り上げるような事件対応でウロウロする(インシデント対応計画の不備)事も少なくなるでしょう。

「セキュリティ(事件)の現実を知れ」という意味では、とても含蓄のある表現だと思います。

 

最後3つ目が、イギリスの冒険家で作家のアラステア・ハンフリーズ(Alastair Humphreys)氏の講演内容(8月に聴講)から、「Door Stepmile」(最初の冒険の第一歩)です。セキュリティに関係したという事ではないのですが、実際に聞く講演は誰よりも言葉に重みがあった気がします。つたないメモが残っていましたので、簡単に記載しておきます。

f:id:foxcafelate:20180104175124j:plain

 

冒険の本を読んでいつか冒険したいと考えていたが、自転車を買って冒険しようと、いざスタートしたら友達にもガールフレンドにも同行を断られた。ちょっと英国を走ってみよう、・・・と気がついたら、世界一周の旅が始まっており、南アフリカに行ったら道が無いので終わり・・・と思ったら、船のヒッチハイクができた・・と4年の大冒険になったいた。お金、才能、スキル、すべて自分には無い、だけど挑戦が好き。

 

f:id:foxcafelate:20180104175127j:plain

f:id:foxcafelate:20180104175130j:plain

f:id:foxcafelate:20180104175133j:plain

f:id:foxcafelate:20180104175136j:plain

たくさんの人が冒険をしたいと言うが、実際にやる人は少ない

やりたい事は難しい、時間がかかる、結局はリスクを取ってやらない。

でも冒険は小さなことからでもできる。

その最初の一歩(Door Stepmile)が出来てしまえば、冒険は簡単な事かも知れない

 

 

 黒服にサングラスの集団のイラスト

 

更新履歴

  • 2018年1月4日 PM(予約投稿)