SST連載・解説記事

  1. HOMEHOME
  2. SSTコラムSSTコラム
  3. セキュリティ業界コラム 乗口の視点
  4. 15 もう一人の視点対談 乗口雅充 X 波田野裕一  後編

セキュリティ業界コラム 乗口の視点



今回は運用設計をテーマにゲストをお招きし対談を行いました。前後編に分けてご紹介いたします。(前編はこちらです。)

運用改善とセキュリティ

SST前回の「運用価値の最大化」のお話を伺って、運用改善はセキュリティにも関係してくると感じました。波田野さんから見て、運用改善はセキュリティにどのような影響を及ぼすとお考えですか?

hatano運用改善はセキュリティ向上の前提になります。

日本では、「運用でカバー」という言葉が日常的に聞かれます。 「運用でカバー」は融通無碍で便利なように見えますが、これは依頼内容や依頼の経緯などが残りにくく、「運用の見えない化」を促進します。
セキュリティを確保するには、業務の客観化などの適切な見える化が必要なのに、運用でカバーでそこを覆い隠してしまうわけです。

運用改善で、合理的かつ柔軟に対応できる業務設計を実現できれば「運用でカバー」を最低限にし、セキュリティの強化につながります。

乗口雅充

SST運用業務の客観化は、セキュリティの確保にもつながるという事ですね。

hatanoはい。自分たちの運用が提供している価値が不明確であれば、どの程度のリスクまでなら許容できるか、という判断をすることもできません。結局リスクを抱えたまま運用せざるを得ないというのが、現在よく見られる運用です。

きちんと価値が提供できているのであれば、価値とリスクのバランスを見て、リスクの方が高いのであればやめるべきですし、価値が高くてリスクもそこそこあるのであれば、リスクコントロールの予算と自分たちの価値を客観化できているのかどうかが重要になってきます。
運用業務の客観化は、このようなリスク判断をするための前提となるわけです。

業務フローをきちんと整備すると、本来は工場の生産ラインのように、どこで事故がおきやすいかどこに作業者防護機構を入れればミスしても致命傷を負わないようにできるか、などセーフティネットを前提とした業務フローが構築できるはずです。

現実には、外側からの悪意ある攻撃に対して防御を固める傾向にあるために、内部事故で被害が大きくなったり、標的型攻撃でスカスカの内部へ入られていいようにやられてしまったりしているわけですね。
これを回避するためには、まずビジネスに即した運用設計を行い、リスク評価に従ってリスクコントロールの一環として作業者防護機構を実装していくべきだと思います。

SST安全な運用を実現するためには、運用業務の客観化を行って、運用の価値とリスクの評価を行えることが重要となってくるわけですね。

生き残っていく企業とは

波田野裕一

SST波田野さんのおっしゃる様に、運用の価値を客観化するとなると、現場での重要性やお客さんのニーズが見えにくくなる大規模な会社では実現が難しく小規模な会社しか生き残りにくいのではと感じました。

hatanoそうですね...経営者の顔が現場の人間に見えていて、気軽に意見が言える環境を保てる規模であることがまず重要だと思います。 個人的には400人が一つの目安だと思います。

これ以上の規模になると、経営者の顔が見えなくなり、お客さんに対して興味を持つことが難しくなる、と思います。

SST人が増えると社内組織のために動く人が増え、お客さんのために仕事をする人が減っていくという事ですね。

hatanoその結果、会社の持つ全てのリソースのうち、お客さんに向けられるリソースの比率が下がっていき、その会社自体のビジネス価値がどんどん下がっていきます。

知識集約型の企業においては、社員のほとんど全員がお客さんのために仕事することができる規模として、やはり400人くらいが限界ではないかと思います。
これ以上の規模の企業では、間接部門や間接工数が肥大化していき、新しい価値を生みながら生き残ることは難しくなっていくのではないかと考えています。

対談風景

SSTしかし、小規模な会社ではセキュリティ専任が難しいですよね。そういった会社はどうしたらいいと思いますか。

hatanoまず発想として、本来の業務とセキュリティを別のものとして独立して考えるから、セキュリティ専任者が必要になります。

今後は、セキュリティをビジネス設計の一部と考え、日常業務に普通にセキュリティ観点を埋め込んでいくべきでしょう。ビジネス観点で業務プロセスや情報資産をリスク評価し、売上や利益に見合う設計になっているかどうかを判断するなど、一般業務とセキュリティを一体化して考える必要があります。

このときに、セキュリティを「外部からの攻撃に対する防御」という観点よりも、ミスや事故を防止するための「作業者防護観点」を重視することが有効だと思います。

最後に

SSTそれでは最後に、今後の活動についてお聞かせください。

hatano現在の事業範囲は、運用現場における「三種の神器」である、ドキュメント、スキル、ツールのうち、1つ目の「ドキュメント」が中心となっています。
今後は2つ目の「スキル」の向上を支援する活動として教育事業も展開していく予定です。

パブリッククラウドの普及により、何かを学び続ける人は生き残り、学ぶことを止めた人は生き残れない、という強烈な時代が到来したと感じています。
学ぶべき領域は技術領域だけではなくビジネス領域も含み、学ぶべき人はエンジニアだけでなくあらゆるビジネスマンを含むと思います。

ビジネスやそれを支える運用現場に関わる人々に、座学と実地のギャップを埋められるような教育コンテンツを提供したいと考えています。

2016年7月21日更新


プロフィール

乗口 雅充(のりぐち まさみつ)

株式会社セキュアスカイ・テクノロジー
代表取締役 乗口 雅充(のりぐち まさみつ)
Facebook

1962年、福岡県生まれ。1986年鹿児島大学工学部卒業後、株式会社リクルート入社。1997年某ネットワーク・インテグレーターのセキュリティ事業を担当し、2006年株式会社セキュアスカイ・テクノロジーを設立し、代表取締役を務める。同社にて、2018年3月より取締役会長に就任。

波田野 裕一(はたの ひろかず)

運用設計ラボ合同会社
シニアアーキテクト  波田野  裕一(はたの  ひろかず)
Facebook

ADSLキャリア/ISPにてネットワーク運用管理、監視設計を担当後、ASPにてサーバ構築運用、ジョブスケジューリング基盤および障害監視基盤のシステム設計・構築・運用設計に従事。2009年夏より有志と共同で運用研究を開始。2013年に独立して、運用設計ラボ合同会社を設立。

今までのコラム

Webセキュリティをざっくり理解するための3つのMAP

Page Top