技書博読書感想文_02 大事なセキュリティの話をしよう
"#技書博" 読書感想文第二弾です。
今回は @yuki476 さんの「大事なセキュリティの話をしよう」です。
◆BOOTHでの紹介はこちら
本の概要とか所感
セキュリティガチ勢向けのゴリゴリの技術書ではありません。
「セキュリティ」というものを考えるための導入として、可能な限り技術的な要素をカットしたうえで、検討すべき要素とその考え方を、満遍なく、わかりやすく記載していただいていました。
「セキュリティって難しいんでしょう?」という方にとって、包括的に必要性や検討事項を知るには非常に有用な本だと思います。
ご本人のコメントにも「セキュリティは技術や仕組みでなく文化(BOOTHサイトより引用)」という内容があります。
平成29年にIPAから「サイバーセキュリティ経営ガイドライン Ver2.0」が公開され、また世の中のセキュリティに関する需要もどんどん高まっています。
サイバーセキュリティ経営ガイドライン(METI/経済産業省)
ガイドラインの中にも「セキュリティ対策はコストではなく投資である」と記載があります。 でも、結局お金はかかるのは事実です。 でも、セキュリティインシデントを起こしたら一大事なので、失敗は許されない!なんていう風潮もあったりします。
そんな中、「セキュリティ対策」を突然任された、などの場合にお手に取ってみるのもいいのではないでしょうか。
私のとっての「セキュリティ」
私はセキュリティ関係のITシステムの設計構築運用保守などをやったりします。 ただ、CTFに出たりなどのガチ勢ではなく、ゆるふわ勢くらいなもんです。
そんな私にとっての「セキュリティ」とは…
沼です。
それに尽きます。
いくらでもコストがかけられます。でも、完璧なんてありません。 とはいえ、何かあると怒られます。
そのためには、どこかでボーダーラインを引いて、その状態でのリスクをアセスメントしたうえで、導き出されたスコアをもとに、そのリスクを「受容」するのか「回避」するのか、という合意形成が必要です。そうしなければ、ひたすら沼になります。
ここで、悪魔のフレーズとして「運用でカバーする」とかが出てくるともう最悪です。それやるための運用コストちゃんと見積もってますかといいたくなります。
このあたりの話を冒頭にしっかりと記載いただいていたため、とても共感できました。
沼の一例
例えば、以下のような非機能要件があったとします。
- 監査ログを取得すること
- 運用作業は、必ず個人が識別できる状況で実施し、関係者以外が操作できないことを担保すること
1個目は、Linuxで言えばsudo運用している場合のauditだったり、システムへのログインのログやコマンド実行履歴を取ったりと、なんとなくイメージがつきます。
問題は2つ目です。
これ、見方によってはどこまでも広がります。
- 運用環境への入退室をIDカードで識別しているから、システム操作アカウントは共有でもいいのでは?
- いやいや、操作アカウントまで全部分けなきゃダメでしょ
- でもそうすると、担当変更によるアカウント追加削除とかPW変更とかいろいろな運用オペレーションが増えるんだけど…
- 「関係者以外が操作できない」ってことは、運用ルームも専用にしなきゃいけないのか?
- え?この運用金額で別室作るなんて無理ゲーなんだけど…
- 個人識別ってIDカードだけでいいの?生体認証とかいらないの?
などなど。
こういうのに「できる限り安全な方法で!」とか言われてしまうと困ってしまいます。 なので、ちゃんとボーダーラインを引いて、そのボーダーでのリスクを明示したうえでジャッジ、合意形成する必要があるわけです。
アカウント共用はどうかなーと思いますが、でもそういう妥協をするケースもあると思います。
例を終えて
運用シーンをベースにセキュリティ関連の沼の例を書きましたが、こういう点だけでも材料がいっぱい出てきます。
なので、そういう要素を全く書かずにここまできれいな形でまとめられたのは、すごいと思いました。
結局、一つ例を出したとしても「それってうちの環境だと無理なんだよな…」という場合多いと思います。だからこそ、その組織や環境に応じて具体化するためにも、共通事項としての考え方を身につけるのは非常に重要で、そこをうまく表している本だなと思いました。
ISOごっこをやっている方々への啓蒙もかねて、会社で回し読みしてもらおうと思ってます。