column

開発チームはセキュリティが嫌い?

ものづくりの魅力

あなたは、ものづくりに関わっておられる方ですか。もしそうでしたら、以下のどんな人に近いですか。

ものづくりって本当に多面的な魅力をもつ営みですよね。ソフトウェアでものづくりができる時代です。このソフトウェアというものがもつ柔軟かつ自由な特性ゆえに、ソフトウェア開発を通じて、ものづくりの魅力を知る人が大きく拡がっているのはすばらしいことだと思います。

ものづくりにおいては、本来の目的を果たす機能のあり方を考えるだけでなく、安全に利用させる手立ても考えなければなりません。悪用されにくいように、あるいは機能が十分保たれるような強度などを考えます。

それはものの構造そのものに影響するかもしれませんし、あるいは使い方の注意のようなものかもしれません。

大変面倒です。このように、悪用する人たちの存在を意識することや、安全でない環境での利用ケースへの対応は、純粋にものづくりをしていきたい人たちにとっては、邪魔で、面倒で、余分な作業だと感じるのは、無理もないことかなと思います。

セキュリティを啓発していて、一番心が痛むことは、そこでものづくりの意欲が削がれることがある、ということです。「ものづくりを諦めてほしくない」

そしてセキュリティは、ものづくりを諦めさせるための圧力ではない、ということをお伝えしたいと思います。しかし、現実ベースはどうでしょうか。

「プログラマがセキュリティを好きではない理由トップ10」

よくセキュリティ啓発においては、OWASP Top 10や、情報セキュリティ10大脅威など、ベスト10やらトップ25やら、ともかくトップなにがしで啓発を推進することが少なくないですが、これはしてやられました。こちらを見てください!

1- Sec連中は、現場を理解していないし、たぶんコードの書き方も知らない
2- 誰もセキュリティをやる方法を教えてくれない
3- ここまで力を入れ、時間をかけるべき理由がわからない
4- プロセスが難しい、またはちゃんと決まっていない
5- 変化が激しく、いつも言うことが違う
6- 注意を払う時間が足りない
7- 突然現れては、門番のように行く手の邪魔をする
8- 量が多くたいへん
9- どんより、成功を祝われることはない
10- ツールはうるさいし、不愉快だし、しかも正確じゃない
Chris Romeo氏が公開した、「プログラマがセキュリティを好きではない理由トップ10」のタイトル抄訳(2021)

これは鋭い視点のトップ10です。Chris Romeo氏が2021年中の、RSAなどいくつかのカンファレンスで講演した中で紹介したもので、彼自身のリサーチの成果ですが、当人に許諾を得て日本語にしてみたものです。

2021年、これを紹介する機会が何度かありました。話したところ、「同感だ!」「わかりみしかない!」「うへえ、これ言われたことある!」と、Twitterにはわんさと共有されてしまいました。他にバズって欲しいことはあったんですけどね(汗 ただ、この部分はみなさん、同感だったんですね。

正直、あまりの反響に、「返り討ち」にあってしまった感じです。もっとも、開発者のみなさんから、セキュリティのことを大事ではないとは誰も言ってらっしゃいませんでした。また、ものづくりをされる方は、安全や防御の仕組みの実装手法、設定手法について説明すると、知ってよかったとおっしゃられます。

ただ、セキュリティ問題をソフトウェア開発のなかに接点を持つ中での問題がある。ああすべき、こうすべきという話が先行してしまっている。どうしてこうなのか、こうであるべきなのかという部分の説明が不足している。正論だとしても、もっと進め方があるはずだ、という、そういう課題を突きつけられたなと思っています。

OWASP 20周年記念イベントでもこの問題を提起しました。

OWASPの活動は2021年で20年になりましたが、20年前に指摘されていて、未だに撲滅されていないウェブアプリケーションの脆弱性って結構あるんですよね。これはつまり、セキュリティがものづくりの中になじんでいかない原因には、少なからずセキュリティ推進側にもあるということでしょう。それは変えていかなければいけないと思います。

良いものづくりのためのコラボレーションを進めていくことは、関係するみんなが望んでいるはずです。どうすれば協力しあって、良いプロダクト、良いサービスにできるのか。そのような共通目標につながることをディスカッションの中心に置くよう、お勧めしたいと思います。

詳しく話を聞いてみたい

arrow_upward