検索検索
English

OSSとセキュリティのスペシャリストが考えるITインフラの未来〔後編〕

【OSSのプロフェッショナルたち #1】情報セキュリティの啓発に向けた情報発信などに努めるサイオス OSS&セキュリティエバンジェリストの面和毅(おも かずき)へのインタビュー記事の後編です。情報セキュリティに関わる組織の文化や個人の働き方、OSSコミュニティの今後などを話しました。

ピープル2017年4月26日

OSSとセキュリティのスペシャリストが考えるITインフラの未来〔前編〕 からの続き

あいまいな責任分界点がセキュリティリスクを高める

― 米国では、政府がリスクベースセキュリティ対策の自動化・標準化を促すSCAP(Security Content Automation Protocol - セキュリティ設定共通化手順)の適用を2009年以降、主要企業に事実上義務付けました。日本でも同様の動きになるのでしょうか。(関連記事:「ユーザー同士の交流深まる 〜SOY倶楽部が活動開始」)
面:SCAPは米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様ですが、SCAPを実装したOSSプロジェクトであるOpenSCAPおよび、それと連携するパッチ管理ツールも普及しつつあります。こうした流れが趨勢になると見られます。

ただ、日本ではそう簡単な話でもなく、実際にはパッチを1つ当てるのも1カ月でできれば、まだ早いほう、ということもあります。

― そんなに時間を要するものなんですか!?
面:私は過去に日本の金融機関のシステム運用をしていた経験があるのですが、あるシステムにパッチを当てようと部長に決裁をもらいにいくと、先にあちらの部長にまずは了解をもらって、次にあの人に......と一刻も早く判明している脆弱性を塞ぐ必要があるにもかかわらず、稟議承認の作業に多大な時間と労力を費やすことが少なからずありました。

他にも、Linuxなどに搭載された強制アクセス制御の機能(SELinux)は普通に考えるとONが当たり前なのですが、日本ではなぜかOFFにする風潮が多く不可解です。WindowsクライアントだとWindows FirewallをわざわざOFFにしないですよね。これをONにするだけのことに、やはり多大な時間と労力を費やすことがあります。

どうしてこういうことになるかを考えてみましたが、日本の企業システムはLinuxの標準的なプラットフォームからやや外れた独自のアーキテクチャーと実装となっているため、パッチ1つが及ぼす影響の範囲が誰もわからないこと、組織のトップも全体を把握しておらず、何かを修正して別の問題が起きるリスクを避けたいのではないかと見ています。


セキュリティの情報は米国時間の夕方(日本時間の深夜2時ころ)に発信されることが多い。生活スタイルはかなり朝方だとか。「重大な脆弱性もあるため、なかなか気が抜けませんね」(面)

そうしたところが対応の遅れとなり、最悪の場合は乗っ取りにあってDDoS攻撃の踏み台にされて他のサイトを攻撃するという状況を生じ、結果的に社会全体のセキュリティレベルを低下させてしまうことになりかねません。

― 残念な話ですね......。情報セキュリティはどこか一社だけが頑張って取り組んでも、他の企業のセキュリティレベルが低いとそこが抜け穴になってしまうと。
面:一方、海外、主に米国企業では組織のあり方や役割が日本とは異なり、CIOやCISOに軍隊勤務の経験者がいることも珍しくありません。行動しない場合のリスクを正確にトップが判断してパッチを当てろ、という明確な指示を出して現場はすぐに対応する。責任分界点も明確です。情報セキュリティの分野ではこうしたアプローチが主流になっていくことは避けられないと思いますので、日本も組織、役割のあり方も含めて見直し、適応していかないと取り残されていくことになるかもしれません。

OSSコミュニティへの貢献と人材育成

― 日本人も少し「会社」というものを引いて見るようにして、組織・役割を合理的に捉えた方がよさそうですね。では、話題を少し変えて、面さんが逆に良い刺激を受ける場面はどういうところでしょうか。
面:たとえば、オープンなOSSコミュニティなどにいくと、社内ではまずいない情報発信力が強いすごく尖った人と会ったりしてとても良い刺激を受けます。そういう人たちが複数集まると、ものすごいエネルギーがうまれる。そういうコミュニティが企業を逆に引き寄せて、さらに人材や資金が集まってくるといったことを実際に経験しました。そういうコミュニティの先輩たちの積み重ねが今日、OSSの文化が育まれてきた大きな要因だと思います。

― 同じ会社内での閉じた人付き合いしかしない人や、上司の顔色を伺うだけの内向きの人ばかりだとそういうコミュニティは確かに生まれてこないですよね。
面:give & take ではなく、あわよくば労せず何かもらおう、という人もコミュニティには少なからずいますよ。でも、それではコミュニティは大きくならない。お互いの強みを組み合わせ、弱いところを補完し合いながら、皆がハッピーになるにはどうすればよいか、を考えて行動することがオープンソースの底流にある考え方だと思います。

その意味で、黎明期からOSSコミュニティを引っ張ってきた先輩達は功労者ですからリスペクトしています。

ただ、コミュニティを立ち上げてこられた人たちも次第に年を取っていくのは避けられない。若いころのような起爆力や柔軟性はさすがに落ちてきますし。ですから、好奇心にあふれた若い人たちが新しい発想や技術を示して活性化してくれることが大切です。余談ですが、うちの子供はPCの画面を見せるとスワイプするようなしぐさをする。そういう世代が成長して、また世の中に新しい地平を開いていくのだろうと思います。

面白い現象としてはここ数年、物理的なサーバー、ネットワーク機器の配線やそれを組み合わせた環境設定ができないエンジニア世代が増えていることです。若い世代はAWSなどのパブリッククラウドで環境を用意するのが当たり前になっていて、もう数年するとサーバー環境でハードウェアを扱うことはレガシーになりそうです。

― 一部にはまだ自作のPCを組んでOSを入れて、という人もいますよね。
面:もちろんです。ただ、マジョリティではない。なので、同じエンジニアといってもジェネレーションギャップが大きくて話が全然かみ合わないかもしれません。しかしだからといってお互い敬遠しては、自分の世界が広がらないし、若い人も入りづらい。長年そこにいる中堅の人は居心地よいかもしれないですけど、ぬるま湯になってしまう。その結果、刺激も失われていくんですよね。

一方で若い人には、摩擦を恐れず、興味をもったコミュニティには飛び込んできてほしいと思います。私は、摩擦は嫌いじゃないです。海外の人とやりとりするとガンガンやるのは普通ですし、私は自分の意見を持っている人が好きです。先日も、「運用管理についてあなたの意見は僕と違う!」という日本人の若者がいたんですけど話を聞いて非常に面白く、刺激を受けた。そのままOSSセキュリティ技術の会に誘いました。

― 話してみて、だめだな、と思ったら無理しないで出ていいけばいいですしね。
面:ええ。これはコミュニティだけでなく、会社での働き方にも通じると思います。私はIT企業を中心に外資系企業も含めて数社で働いてきました。一つの企業にずっと長く所属する、というよりも企業で求められるゴールやビジネス的な課題に対して自分がいかに貢献できるか、という視点で働いてきました。スキルアップのために取得したCISSP(Certified Information Systems Security Professional)の資格も会社の指示ではなく、自分の費用で受験したものです。私の妻は「そんな高い受験料がかかるの!」と目を丸くしてましたが(笑)

― CISSPの試験は英語で受験されたとか。CVEの情報も英語で発信されていますが、面さんは抵抗ないですか? 英語が苦手というエンジニアも多いですよね。
面:私も高校時代の英語の成績はボロボロ。でも、Linuxのコミュニティや仕事で英語圏の人とやりとりしながら我流で身に付けていったという感じです。CVEの情報にしても情報ソースは米国ですから英語で入ってきます。また、日本側から海外のコミュニティなどに対して主張・提案する場合や、セキュリティに関して日本は諸外国とはどのように異なるのか、背景にある商習慣や文化を相手に伝え、理解してもらう場面も出てきます。ちなみにOSSセキュリティ技術の会ブログも英語と日本語を併記して発信していますが、英語が苦手だという人もサポートしますのでそこは気兼ねせず参加してください。

ところで先ほど述べた「どの上司にどういえば判子をもらえて仕事を進めやすいか」といった知識はその会社のみでしか役立ちませんが、セキュリティ的な穴のない業務フローに変えるなど仕事のやり方そのものを見直して業務の生産性や全社のセキュリティレベルを高める、というコンサルティング能力は業種業態を問わずどこでも通用し、求められます。結果として、自分が貢献する会社の生産性やセキュリティの向上につながれば、経営の目的に適うからです。身に付けた理論や経験はそこで武器になります。

日系企業と外資系企業のどちらの働き方がいいか、一概にどちらがいいとはいいませんが、今いる国内企業の働き方がすべて、と思わず、世の中にはいろいろな働き方があるということを知っていてほしいですね。ちなみに、サイオスの喜多社長の考え方は外資系っぽいところがあるな、と思います。

― ITエンジニアに対する社会的な地位が欧米に比べて日本は相対的に低い、という指摘もあります。そういうイメージをどうやっていけば変えられると思いますか?
面:それに関連するかもしれませんが、気になっていることがあります。海外のエンジニアなどから「なぜ、日本ではDevOpsが浸透しないのか」と尋ねられます。私はITインフラの運用管理を行うエンジニアですが、新たなビジネスを広げていく新規の開発と安定稼働を目指す運用は矛盾するものではないと考えています。運用を視野に入れたアジャイル的な開発をしつつ、セキュリティの高い安定した運用は可能になるはずです。それを阻む一因は、いまだに日本に多い人月工数文化的な商売の仕方が根強くあることだと考えています。クラウドサービスやコンテナ技術を利用すれば開発生産性はあがりユーザーのためになりますが、その分、ベンダーは工数が減ってお金儲けが難しくなる。ベンダーのビジネスを頭から否定する気はありません。ただ、そろそろユーザーのニーズに合わせたビジネスモデルや仕事の仕方に変えていくことも考えないといけないのでは、と思います。そうしないと若い人もこの業界に興味を持ってもらえないかもしれません。

私の役割の一つは、この業界の未来に向けて今あるさまざまな垣根を取り払い、国内外のさまざまな関係者が話す場を作っていくことだと考えています。サイオスのOSSよろずユーザー会やOSSセキュリティ技術の会などの場を通じて、業界に風を吹き込めればよいと思います。

記事の関連情報