Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ちょうどよい塩梅が難しい

リクルートのCSIRTの記事が出ていました。残念ながらこのセミナーには出られませんでしたが、記事を読むと直接聞きたかったと思える内容でした。

japan.zdnet.com

 

投資額とリスクのちょうどいい“あんばい”を決める
 鴨志田氏は、CSIRTの行動指針を3つ定めた。(1)Reality「現実性」、(2)Responsibility「責任感」、(3)Specialty「専門性」――の3つだ。これは、CSIRTが人材を採用する上での指針でもある。

 (1)のReality(現実性)は大切だ。「少しでもリスクがあったら禁止するとか、セキュリティチームが責任を取りたくないとかいう人がいるが、これはだめ」と鴨志田氏。「セキュリティへの投資額と、それでも残るリスクの、ちょうどいい“あんばい”を決めるのが、専門家の仕事(同)だ。

 (2)Responsibility(責任感)については、各社に対して感謝の気持ちを持つことが大切だ。「やらせる」立場ではなく「支援する」立場だということを忘れてはならない。「ガバナンスはしない。各社にお願いして、支援して、一丸となって対応する」(鴨志田氏)

 (3)Specialty(専門性)も重要だ。「身に付けている技術は、磨き続けないと陳腐化する」(鴨志田氏)

 (ZDnet記事より引用)

 

 

 

◆キタきつねの所感

前半(1P目)がCSIRT立ち上げに関するお話で、MVV(ミッション、ビジョン、バリュー)の定義や、実際のミッションを”セキュリティエンジニアの幸せを重視すること”とした辺りのお話は大変興味深いものがありましたが、コンサルの領域とも相通じるものがある・・と感じたのが、リクルートCSIRTの行動指針の部分です。

鴨志田さんが挙げている、Reality「現実性」、Responsibility「責任感」、Specialty「専門性」は全て、(自分の)コンサルワークに置き換えても腑に落ちる部分が多い気がします。

Reality「現実性」に関しては、『ちょうどいい塩梅』・・・自分がもやっとして定義できなかった言葉はこれだったんだと思いました。リスクアセスメントをやっている方であれば『清濁併せ飲む』事が必要になる場面に遭遇した方は多いかと思います。それをCSIRTあるいはコンサルとして、一定の根拠(アセスメント結果)を元に『ちょうどいい塩梅』の落としどころに落ち着ける、自分がやっている作業はこういう事だったんだと、目から鱗でした。

 

Responsibility「責任感」については内部(CSIRT)でやられている方と、コンサルの立場(外部から協力をする)ではちょっと捉え方に違いがありますが、これやれ、あれやれ、やらなければならない・・・そうした強制的な事を言えるのは、経理監査か、認定取得が(短期間に)必要な場合くらいな気がします。ですが、中には強制的なモノの言い方をするセキュリティの専門家・・・たまにお見掛けします。やはりここも鴨志田さんの表現が自分なりにしっくりくる所で、パートナー(顧客)と対等な目線で、支援させて頂いている仕事なんだと改めて思いました。 ※ここには、上でも下でも無いという意味が鴨志田さんの表現には含まれている気がしています。(コンサルは下=業者的な位置でも無いと思っています)

 

Specialty「専門性」、ここはその通りですね。セキュリティ(攻撃側)の手口は日進月歩ですし、今までの常識でない所から脆弱性が出てくる、あるいは狙われる訳ですから、専門性を高めたり、私の場合は特に海外の攻撃事例について知見を深める事が重要だと思っています。

 

『ちょうどよい塩梅』に関連する部分でもありますが、2P目後半で、判断基準と、その判断基準を導き出す「サイエンス」(数的根拠)と「アート」(美意識)の重要性を離されています。ここも大変刺激を受ける内容でした。

何をどこまでやるのかをアート(美意識)で判断せよ

 一般的なユーザー企業の問題点として鴨志田氏は、「セキュリティポリシーが総花的な分厚いルールになっている」ことを挙げる。要は、守りたいことが広すぎる。何かセキュリティ上の事故が起こると、さらにルールが分厚くなる。

 多くのユーザー企業では、総論(セキュリティ強化の必要性)については賛成するが、各論(個別のセキュリティ施策)については反対する、という現象が起こっている。「現場は、ルール集が降ってきても予算が不足していたり、時間がなかったりするとかの理由で、ルールを守ることができない」(鴨志田氏)

 何をどこまでやるのかについては、判断基準が必要になる「セキュリティと利便性のバランスという言葉が大嫌い。バランスは思考停止の用語」と鴨志田氏は指摘する。バランスではなく判断基準が必要だと強調する。「判断基準こそがセキュリティのファンダメンタル(原理原則)だ」(鴨志田氏)

 鴨志田氏は、仕事への取り組み方の参考になる書籍として、『世界のエリートはなぜ「美意識」を鍛えるのか?経営における「アート」と「サイエンス」』(光文社新書)を紹介した。

 近代は、サイエンス(科学)の重視によって、経営のコモディティー化が進んだ。サイエンスとアート(美意識)が組織内で争うと、必ずサイエンスが勝つ状況だ。アート側が、数値的な根拠を示すことなくなく「売れると思う」と自分の思いを述べても、必ず負けてしまう。

 こうしたサイエンスの時代にもリーダーにはアートが求められると鴨志田氏は指摘する。「どのようなセキュリティポリシーにするのか。判断軸を基に、優先順位を付ける。正解は無く、リーダーのアート(美意識)が問われる」(鴨志田氏)

 (ZDnet記事より引用)

 

「セキュリティ」(機密性)と「利便性」のバランスという言葉に対して鴨志田さんは否定的でしたが、私はバランスを取る事は必要だと思っています。しかし、鴨志田さんの後述の文章から「何も考えなしに」バランスに逃げるのは良く無い、という意味が含まった上で、そう書かれている事がわかり、腑に落ちました。

バランスを考える上では判断基準が重要であり、それにはサイエンス(数的根拠)と、セキュリティの世界ではサイエンスだけでは判断ができない部分もあるからだと思いますが、最後はアート(美意識:私は自分の中の確固たるポリシーと租借しました)が重要であると話されています。

 

自ら(関わってきた仕事)を振り返ってみると何となくアートを持って判断してきたか?と言われると、そこまで自信はない事に気づきます。推薦図書もありましたので、もう少し精進しなければならないかなと思っています。

 

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

æ¢éã®ã¤ã©ã¹ããæä½ãç¶è©°ãæ¢éã


 

更新履歴

  • 2019年8月31日PM(予約投稿)