セキュリティは空虚で、意味のない活動だ。それは言いすぎだとしても、少なくとも、それはほとんどの大企業の、ほとんどの従業員に教え込まれている戒めである。セキュリティとは、パスワードが数か月ごとに期限切れになることであり、新入社員または外注である場合には重要なサービスにアクセスできないことであり、会ったこともないチームからあなたの新しい役割には権限がないという、つれないメッセージを受け取ることであり、そして本当の理由を説明したくない誰かにとっての、何一つ恥じることのない便利な言い訳である。セキュリティはでたらめだ。
少し思い返すだけで、コンサルタントCTOとしての自分のキャリアから、より多くの例を引っ張り出すことができる。例えば、クラウドサービスは本質的に安全ではないと主張していた、世間でよく知られた会社のセキュリティチームが、AWSに切り替えることが決定した途端に、ローカルサーバーがいかに本質的に安全ではないかということを主張し始めたこととか。また私たちのサーバーのセキュリティに関する詳細なセキュリティアンケートを大量に投げかけてきた、これもまた世間でよく知られた会社が、私たちからの「ええと、すべてのものがGitHubとGSuiteなどで構成されていまして、私たちは自前のサーバーを持っていないのですよ」という回答を、長々とした電話越しの説明の果てに、やっと理解できたとか。
ラスベガスで開催されているBlack Hat(ブラックハット)セキュリティ会議で、今日の午前中に行われた Dino Dai Zovi(ディノ・ダイ・ゾウィ)氏の基調講演が、私にとって新鮮な空気に満ちた素晴らしい息吹のようなものに聞こえたのは、こうした事情からだ。Square(スクエア)のスタッフセキュリティエンジニアである同氏は、実際に開発を行っている人びとを標的にして攻撃するありがちなセキュリティチームモデルは、とてつもなく非生産的なものであると主張した。
このままにしておくのではなく、セキュリティはそのカルチャーを変えなければならないと彼は主張した。カルチャーは戦略よりも遥かに重要で、当然戦術よりもはるかに重要だからだ。セキュリティがサーカスの火の輪くぐりのようなものになる代わりに、チームは自分自身のセキュリティに責任を持つ必要がある。
さらに、セキュリティエンジニアたちは、そのチームを支援するコードを作成する必要がある。ファジングは素晴らしいものだが、同氏が言ったように、「次のレベルは、ソフトウェア開発者にとってファジングが簡単になるようにすること」なのだ。なぜなら「開発者たちは私たちよりも、はるかに人数が多い」のだから。
最も重要で、そして最も革命的なことは、と彼は言う。まずは「ノー」と言って、考えつく限りの多くの面倒を投げかけるのではなく、セキュリティの人びとは常に「はい」で始めて「私たちはこんなお手伝いができます」と言えるようになるべきなのだ。これが現在の慣行とはとても異なっていて、冗談のように聞こえるという事実が、現状を物語っているのだ。状況はよろしくない。
悲しい真実は、今日でも現実のエンタープライズソフトウェアの世界で、ほとんどの従業員やベンダーが遭遇するセキュリティが、米国の空港における「靴を脱いで、液体を取り出して下さい」式のセキュリティと同じくらい役に立たないものでありがちだということだ。怖い話は山のようにある。きっとあなただって、自分の経験として何かを持っているはずだ。それから逃れられている人なんているのだろうか?
もう少し付け加えよう。かつてある映画スタジオが私たちにちょっとしたウェブ開発の作業を依頼してきた、彼らの知的財産とは直接の関係を持たない補助的なサイトである。彼らは私たちに対して、私たちの作業者(ほとんどがリモート作業者)がそのサイトに関しての作業をするコンピューターに対して、継続的なキーカードによるアクセスを行い同時にカメラによる監視を行わない限り、何もしてはならないと要求した。しかし実際に彼らが実際に必要だったのは、そうした誓約書のチェックボックスに印を入れさせることであって、本当にそうせよというわけではないということが、ほのめかされていた。
また別の事例では、ある大企業が私たちがSOC-2準拠でなければならないと主張した。SOC-2は技術ではなく会計で生まれた標準であり、基本的に意味のあるセキュリティ標準やプロセスのためではなく、主に会計士に対する完全雇用を提供することを目的にデザインされているように思えた。とはいえ彼らは、SOC-2の5つの「トラストサービス」のいずれに私たちが準拠しているかは気にすることなく、単に彼らのベンダーリスト上の「SOC-2準拠」というチェックボックスに印をつけたいだけだったのだ。
こんな状況のままである必然性はない。セキュリティ担当者は、門番ではなく貢献者になることができるはずだ。そして、もしそうなれば、誰もがセキュリティに貢献することを、より簡単で、よりやりがいがあり、より直感的だと思うようになるだろう。サイロ化されたセキュリティの官僚主義は、非効率でイライラするだけではない。長い目で見れば、その蔓延が、外部のハッカーやAPT攻撃でさえもしのぐ、企業のセキュリティに対する根本的な脅威となるだろう。私たちはとっくの昔にその教訓を学んでいる。
[原文へ]
(翻訳:sako)