りおパパの日記

徒然なるままに。ドトールのコーヒーが好きです。

情報セキュリティセミナー

夕方から、SAAJの月例研究会に参加。ISACAとSAAJ。CPE稼ぎだといえばそれまでですが、折角毎月それなりの時間とお金を掛けているので、今日から真面目に記録を残すことにします。

本日のタイトルは「IoT時代のセキュリティを実現する3つの視点とシフトレフト」です。3つの視点っていうのは、1)セキュリティ投資、2)オープンソフトウェア、3)脆弱性対応のタイミング、かな。シフトレフトは主に3)に対応すると思うのだけど、早期発見早期対応ということです。がんをアナロジーしているところが、個人的にはタイムリーでした。1)のセキュリティ投資は、投資の重点を間違えていませんか?というとソフトなのですが、ソリューションを構築するとき、セキュリティにきちんとお金を掛けていますか?というのがポイントです。要件定義の中に、きちんとセキュリティ要件をつけておかないと、SIerはわざわざコストを掛けて、セキュリティ対策なんてしませんよ。というのが主旨でしょうか。特に、素人さんだと業務要件を決めるだけで一杯一杯なので、そこまできちんと気が回らないのが現実なんでしょう。2)は当たり前のように使っているオープンソースは、実は脆弱性の塊であるという話。アップデートは新たに発見されたものに対応というより、全体の中で必要に迫られて重要度の高いものからやっていますというのが現実。故に妄信しないこと、そしてアップデートは必ずやりましょうということ。最後のタイミングは、設計の段階から対応すればコストや影響度は小さくて済みますよというお話。これは、セキュリティの分野に限らない話だけど、なかなかそうならないのが現実。心掛けたいと思います。

今日の話で面白いなと思ったのは、製造業の場合は、1)何をつくるか(開発?)、2)どう作るか(生産技術)があって、初めて3)製造ということになるのだけど、ソリューションの場合は開発=製造(構築)だというお話。もっと生産技術というものがあって良いという話なのだけど、それがシフトレフトにつながるのですね。昔々、1980年代ですが、ホンダがF1に復帰して、すごーく強さを発揮していた時に、フェラーリは図面の段階でよくよく検討して製造するけど、ホンダはとにかく作ってみて、一番いいのをレースに持ってくるという話を聴いたことがあります。スピード重視ということなんですね。でも、その方法はお金が掛かるし、ノウハウが個人にしか溜まらない・・・ような気がする。やっぱり設計の段階でよくよく考えることが重要なんじゃないかなと思っていたら、その後、フェラーリが勝つようになって確信しました。そんなことを思い出しました。

帰宅したのが、22時を回っていました。別に忘れていたわけではないけど、今日は奥さんの誕生日。遅くなるので、ケーキは別の日と話していたのだけど、やっぱり気になってティラミスを買って帰ると、里緒ちゃんがもっと立派なケーキを買って帰っていました。結局、ケーキをふたつ食べることに。さすがにこの時間にケーキ2つはまずいよな。

奥さんに頼まれていたトーリーバーチのハンドバッグ。楽天に頼んだら9日しか届かない・・・はずだったのに、何かの手違いでちゃんと今日届いていた。これも、忘れていたわけではないのだけど、リクエストが遅かったんだよな。でも、届いて良かった。