凄く面白かった。それと同時に非常に危機感を覚える内容だった。
わかっちゃいるけど、ついついサボってしまう所を突かれるってこともわかっちゃいるけど…ってな内容で、ここまでカバーするには本当に何人か専任でやらないと廻らないことだと思う。

あと、逆にそこまでの攻撃に負けないまでセキュリティを固めることの出来る企業は、プロジェクト管理もバッチリで、技術に対する理解もあり、リソースを割く余力もあるんだろうなとか。

もちろん、余力だなんて言ってはいけなくって、本気で取り組んで行くべき問題なんだけど、リソースが足りない状態だと後回しにしてしまいがちという現実がある。
なんでそうなるかというと、出来る限りの対策まで練るのは当たり前にみんなやっているだろうけど、それから振り返る余裕がないってことなのかなと思う。

ソフトウェア開発でいうと、ユニットテストする余裕しかないというか。

セキュリティ維持で難しいのは、日々発見される脆弱性の検証と、各ソフトウェアアップデートの影響の検証を両立しながら業務を廻して、更にはシステム間の整合性をソフトウェア面、セキュリティ面で保って行くことが必要だからだと思う。しかもこの作業はデイリービルド的に必要だ。
更に、このような作業は簡単には自動化出来ない上に運用、開発両方のエンジニアの協調が必要だ。もちろん両方を兼任している企業も多いだろうが。
その上、更にソーシャル系の攻撃も対策していかなくてはいけない。
トータルマネジメントが非常に重要だ。

組織としてのリスクに対するコンセンサスを確立しつつ、企業としての発展速度を失わないようにするということは、非常に難しいことではあるが、逆にそういう部分を高めようとする道程で、エンジニアの地位向上のチャンスがあるのてはと思ったりもする。

ただ、現実問題として、どうやってそれをやって行けばいいか自分には全く見えない。今はまだ手を動かして、目を配りながら考えていくしかないと思うけれども、本来、対人的なものであるセキュリティというものはそういうものなのかもしれない。

ハッカーズは脆弱性の本質を突いている。わかっているはずの脅威を改めて具体的に述べている。
セキュリティにもやっぱり銀の弾丸などなど無い。
仕事の本質はbestの解などなく、よりbetterな解を探すことだと改めて思った。