水深1024m

技術的なメモとか日記的なもの

「セキュリティとトレードオフ」について思うこと

「セキュリティと利便性はトレードオフだ」って半分本当で半分ウソだと思う。
少なくともセキュリティ技術を学ぶ上で教わるべき話じゃない。
エンジニアとしてセキュリティに携わるなら、はじめからこっちを立てればあっちが立たないという思考をしちゃいけなくて、
本当に必要なセキュリティレベルを考えながら限界まで利便性を向上させようとするのが正しい考え方じゃないのかな。そういった手段がないなら作るっていうことも当然選択肢には入る。トレードオフ思考が先頭に来てると、いつの間にか内部でコンセンサスをとったり、実装したり、監査したり、そういったコストばかりとのバランスを考えてしまう気がする。
「本当に必要なセキュリティレベルを考え」っていうのが実は一番難しいところだと思うけど。

たまにセキュリティに関わってる人で「僕らの仕事は足を引っ張ること」みたいなギャグみたいなこと言う人いるんだけど絶対違うよね。
適切なセキュリティレベルが保たれていて、必要に応じてちゃんとアクセスできるっていうのは、
情報を預ける側からすれば安心できるのはきっとそうだと思うんだけど、同時にそれを扱う側も安心して扱えるってことだと思う。
例えば顧客情報が流出したとして、「少なくとも内部から持ちだされたものじゃない」みたいなことが
すぐに明確に分かることって、扱う側からすると(もちろん外部からだからオッケーみたいな話じゃなく)「自分はやってない!」っていう悪魔の証明みたいなことしなくて済むからそれなりに安心できるはず。
もちろん扱う側の意識とか知識もとても重要だと思う。だから、そこも含めて。
難しいと思うけどやりがいはすごく感じる。

足を引っ張るんじゃなくて、むしろ僕らが見てるから、できることは安心してなんでもやっていいよ、って後押しするくらいの仕事がしたいよね、という話です。