サイバーセキュリティ月間

2015年2月3日
 

運用から得られる教訓を大切に

 

新日本有限責任監査法人
マネージャー
青波 久恵

 

「後は運用で」
運用の現場では比較的ネガティブなイメージを持たれているフレーズです。

 10年以上前、転職活動中の私は、ある企業様の面接で志望動機を「運用の現場に深く携わりたいと考えているから」と返答していたところ、「珍しい」とおっしゃられたことがありました。当時の私は、SIerの立場で情報セキュリティ対策の導入やセキュリティオペレーションセンターの立ち上げなどにかかわっており、「きちんと運用しなければ、セキュリティ製品を導入しても小さな効果が得られるだけか、最悪はただの箱になってしまう」と考えていたために、「運用は人気がないのだな」と感じたことを鮮明に覚えております。その後、さまざまな経歴を経た今でも、「運用は情報セキュリティの重要な要の一つなのに」と思うことを見る一方で、失敗が許されない、評価されないなどの様々な理由から運用から離れたいという方の方が多いようだ、と感じております。

 さて、2014年はHeatbleed、ShellShock、POODLEなどの技術的な脆弱性が、マスメディアで大きく取り上げられ、さまざまな役割の方の協力のもと対応する必要に迫られた年でした。過去、私が感じていた以上に、現在は運用における対応力、いわば運用力ともいえるものが企業のセキュリティ対策の強度を左右する時代となったということでしょう。情報システムの現場の企画、開発、運用の三つの役割のなかでも、サポートメンバー色の強かった運用にスポットライトを向けるときが来たとも言えます。運用の方がスポットライトのセンターに立つ機会を増やし、これまで培った知見を共有し、それを活かすことでよい良いセキュリティ運用環境を築くことができるのではないでしょうか。

 世の中の環境も変わりつつあります。以前から、セキュリティの技術を競う競技会は海外も含めさまざまありましたが、WASForumが主催するHardening Projectといった運用力を競う競技会の出現は、運用力が着目しようという動きの表れかもしれません。この種の取組みが広まることで、運用力に対する見方が変わる可能性を競技者として参加し、肌で感じております。自身の経験でも、競技の中での失敗や疑問は大きな学びを得たと実感しております。許されない失敗がある一方、「失敗は成功の母」と申します。かつて少なからず運用の現場に携わった者として、このような意図的に失敗から学び、教訓を得る機会を作る取組みを大切に、そして応援してまいりたい、と考えております。

「後は運用で」

 この言葉がよい意味となるよう、日々サービスを提供してくださる運用をはじめとして支えてくださる皆さまへの感謝の気持ちをもちつつ、様々な立場の方々のコミュニケーションが活発になればよいと考えております。

 さて、私が属する監査法人という組織も運用にとってあまり前向きにはなれない存在のようです。私個人としては、監査手続を通じて情報システムの運用力を表現するお手伝いをいたいと考えてお伺いしておりますが、必ずしも出来の良い通訳とは言えない時があるのでしょう。

 出来の良い通訳には程遠いかもしれませんが、日々努力しつつ、よき隣人としてみなさまと歩む存在として認知いただければなと考えております。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
 






 

 

 

 
NISC SNS一覧 
セキュリティ情報
Twitter
 活動情報
Twitter
Facebook

LINE
※ SNS運用ポリシーはこちら


 
NISCサイバーセキュリティ意識啓発動画ポータルへ 
ご注意 上記リンクをクリックすると別サイトに移動します。