セキュリティはブレーキではなく"土台"。事業成長を加速させるための共通認識
──事業貢献におけるセキュリティの重要性について伺いたいと思います。事業の成長において、セキュリティはどのような位置づけがあると思いますか。
のみぞう:事業成長においてセキュリティはブレーキ扱いされることが多いのですが、どちらかというと土台と捉えていただきたいですね。
一般的に、開発が終わればできるだけ早くリリースしたいというのは開発に携わった人の本音だと思います。リリース日も決まっているし、できれば脆弱性診断などに時間をかけたくない。だからセキュリティをブレーキだと捉えてしまう。ですが、どんなに良いプロダクトやサービスを作っても、セキュリティ事故が起きると全部止まってしまいます。
最近は開発サイクルの早い段階からセキュリティを考慮してプロダクトやサービスをつくるという「シフトレフト」(開発サイクルの早い段階からセキュリティを組み込む考え方)の考え方を取り入れることが増えています。結果的に遠回りすることなく事業の成長につながるからということが理解されてきているからでしょう。そういうことからも、セキュリティは土台というイメージが合っているかなと思います。
──セキュリティよりも機能開発の方が重視される組織もあると思います。そういう組織の場合、どう折り合いをつけていくとよいでしょうか。
のみぞう:セキュリティは安心してリリースをするための手段だということを、共通認識として捉えていただくとよいと思います。そのためには、お互い、わかり合えるまで対話をすること。機能開発を重視する組織であっても、セキュリティ対策が必要と思っていない人はいないはず。ユーザーが安心して使えるよりよいサービスや機能を届けるという目標は皆、同じはずなので、それを共通認識として必要なセキュリティについて対話してほしいです。
──セキュリティそのものが、事業価値に貢献したり、付加価値になったりするのでしょうか。
のみぞう:先程も言った通り、セキュリティは土台なので、基本的にはどこでも貢献したり価値提供にはなっていると思うのですが……表からは見えにくいことも多いですね。現時点でセキュリティがわかりやすく事業価値や付加価値になっているのは、国の組織や地方自治体などの公共案件や、金融や医療などの高度なセキュリティ対策が求められる業種だと思います。公共であれば、入札要件に入っていたりしますし、業種によってはより高度なセキュリティを達成しないと事業継続が困難になることがありますからね。
とはいえ、これから先は、消費者側のセキュリティに対する目が肥えてくる可能性があります。ですので、企業の側も組織やビジネスの成長に追随できるようなセキュリティの仕組みを考えていく必要があるのではないでしょうか。
明日からできる、セキュリティ学習の始め方
──セキュリティに関心はあるけれども、とっつきにくさを感じている開発者も多いと感じます。そういった方が最初に取り組めることは何でしょうか。
のみぞう:例えば、最初にお話したひよこまめ教習所は、初心者の方でも歓迎なので機会があれば遊びにきてください。
他にも、CTF(Capture The Flag:情報セキュリティの技術を競うコンテスト形式のイベント)をはじめとする、セキュリティの勉強会などに参加してみると良いのではないでしょうか。ちなみにCTFとは、情報セキュリティ分野の専門知識や技術を駆使して、隠されているフラグ(答え)を見つけ出して点数を競い合うイベントです。本来セキュリティに決まった答えがあることは多くありません。ですがCTFは問題の答えを見つけ出せば正解となるので、成果が分かりやすい。だから面白いし、学習がしやすいと思います。
もちろん、ゲーム的な要素も強いので、開発のお仕事に直接的に役立つかは保証できませんが、CTFでは攻撃者の視点も身に付きます。攻撃者の視点が身に付けば、脅威モデリングにも役立つと思うので、使い方次第かなと思います。
──セキュリティに挑戦したいという開発者へ応援のメッセージをお願いします。
のみぞう:セキュリティに興味を持った時点で一歩踏み出せている状態だと思います。セキュリティはチーム戦なので、セキュリティがちょっと気になる、学んでみたいと思ってくれる開発者が増えることで、プロダクトやチームのセキュリティレベルも上がり、ビジネスに貢献していけるようになると思います。
セキュリティエンジニアとして一歩踏み出した後は、一人で抱え込まずに周りを巻き込んでいくことが大事です。エバンジェリスト的な立場で、セキュリティの大切さを浸透させていってほしいですね。
ニーズの高まっている今が、挑戦するチャンス。自分なりのペースで無理なく一歩ずつ一緒にセキュリティを学んでいきましょう。
