POTTIRI'S AUTOBIOGRAPHY

工作やダイエットやITで遊ぶアラフォーエンジニアの自伝ブログです。

【SEあるある】セキュリティ事故が絶えないのは仕事が面白くないから

f:id:pottiri:20200910181353j:plain

セキュリティ事故は耐えませんがこれでもSEは一生懸命鍵をかけてるつもりです

 

お疲れさまです。POTTIRIです。
ドコモ口座のトラブルが世間を騒がせていますね。
ドコモからの発表がないため詳しいことはわかりませんが、
システムの開発時にこういった事態は予測できないのかと思ってしまいます。
今回は何故セキュリティ事故は多発するのか私自身の考えを書いてみたいと思います。

www.nttdocomo.co.jp

悪い人の方が何枚の上手

セキュリティ事故はシステムの穴を突かれることでおきますが、
当然開発者も穴を作らないように努力はしています。
しかし、悪い人は穴を突くことをずーっと考えてるので、
はっきり言って開発者より何枚も上手だと思います。
だから対応が後手後手になるんですね。

じゃあセキュリティのことをずーっと考えてる人はいないのか?というと、
ぶっちゃけ私が属するような中堅レベルの企業ではセキュリティ専門の人は見たことがありません。
大企業になると存在するのかもしれませんが、
比率としてはかなり少ないと思われます。
ほとんどは普通の開発者が片手間にセキュリティ対策をしているのではないでしょうか?
セキュリティはシステムを作るのと同等、もしくはそれ以上に奥が深い分野なので片手間でやるにはちょっと無理があります。

セキュリティ専門の人がいないのは儲からないしつまらないから

じゃあ専門の人材を育てればいいじゃない!という話にはなります。
実際セキュリティ人材の不足はずっと前から認識されています。

www.ipa.go.jp

なのになぜセキュリティ人材は増えないのでしょうか?
それは・・・儲からないからです。
セキュリティに力を入れてもぶっちゃけお客さんは増えません。
見積においてもセキュリティ対策の費用は計算がしづらく、
そして通りにくいという難点があります。
セキュリティ対策しても業務効率化などのわかりやすいメリットがないからです。
(ノウハウが少ないので見積もアピールも下手というのもあります。)
なので、セキュリティ対策の予算がまともに取れず、
専門の人材を雇えないので普通のSEが手探りで片手間にやる羽目になります。
システムができあがった後のサポートでも、
セキュリティ対策「だけ」だと費用が取れないので他の作業と混ぜて取ったりしてるのが実情ですね。

また、技術的にもセキュリティは何かができあがるわけではないので、
やってて面白くないです。
面白くないのにどんどんアップデートされるので、
全力で避けたい分野です。
少なくとも私の周りでは進んでセキュリティの専門家になりたがる人は見たことがないです。

人材はいなくともせめて予算があれば外部に投げるとかできるんですが、
炎上するとそのセキュリティ対策の予算を食いつぶしちゃったり・・・。

対岸の火事ではない

以上が私の周りでのセキュリティ対策の現状ですが、

どこもこんなもんじゃないでしょうか?

つまり・・・ドコモで起きたことは他でも起き得ます。
セキュリティ事故のニュースを見かけたら対岸の火事と思わず、
常に自分のことのように思って身の回りをチェックしましょう。

そして、セキュリティ事故が起きても過度なバッシングは辞めてあげてください。

世間が厳しすぎると余計にセキュリティ人材は減ります。

日夜みんなの情報を守る人の地位があがり、
結果的にセキュリティ人材が増えてみんな幸せになる未来を願い、
今日も微力ながら頑張っていきます。

便乗詐欺も出始めてます

ドコモ口座のトラブルに便乗した詐欺も出始めています。
お気をつけください。


最後まで読んでいただきありがとうございます。

アフィリエイト