データ分析とインテリジェンス

DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録

■書評・感想・・・現場で実務を行っているセキュリティ担当者には良書。一方で、おそらく日本でもサイバーセキュリティの最先端を行っている企業の現状を知り恐ろしくなる。

本書はDeNAでインフラエンジニアでの活動をきっかけにセキュリティの重要性に気づき、現在はセキュリティ部の部長を務める著者がどのようにしてサイバーセキュリティに携わるようになったかの物語であり、また実務で学んだことをまとめた記録である。

理論や概要については書籍が多くあるのでそれで勉強はしたものの、それだけ読んでも現場では何が起きていてどうしなければいけないのかは何も書いていないため、実務上でおきる様々な問題に対応できず仕事ができないというのはよくある話であるが、サイバーセキュリティ・情報セキュリティについても同様。そんな中で本書は実務で経験したことや得られた教訓が書かれてセキュリティ担当者には特に有益だろう。この分野では同様の書籍を見たことがないので、だとすれば当面この書籍がスタンダードになるのかもしれない。

読んでいて驚いたのは、DeNAといえばデータサイエンティストを(日本基準ですれば)かなり高額な給与で集めていたりとデータ分析にはかなり力を入れている企業であることは有名であるが、本書を読む限りそのDeNAですらサイバーセキュリティに対する意識が低く、たまたま気づいた個人の働きがきっかけで取り組み始めたものの、最初に組織としてサイバーセキュリティに取り組んでいたわけではないらしいことだ。

それもここ数年の話でありセキュリティ部ができたのがなんと2014年とごく最近であることについては驚きを通り越して溜息しか出てこない。それでも何もしないのとは雲泥の差ではあるが、これほど新しく、そしてインターネットを当然に使っている企業ですらこの状況なので、古い大企業では情報の価値もわからず、当然興味もない人が担当に任命されて、訳も分からずやる気もないまま外資系ベンダーに丸投げするなどということになるものやむを得ないのかもしれない。

その弊害はあちこちに出るが、特に困るのは担当としては何か起きたときに責任を取らされたくないので業務への影響なんてそっちのけでとにかく規制に走る。かくして情報を守るための手段が生産性を極端に落とすのだが、担当者からは問題がないことだけが経営者に伝わり現場には怨嗟の声が・・・などという話はまた別の機会にしよう。

さて、筆者は米国で開催されたセキュリティ関連のイベントに出て、日本の遅れについて以下のように言う。

一般的なITの分野と同様サイバーセキュリテイ分野に関しても米国が日本の数年先を歩んでいると感じました。

これは誤解で、日本の遅れは数年どころでなく数十年。ついでに言うと、米国が全力で走っているのに対して日本はゆっくりと、時には長い時間休みながら一応進んでいる、という表現の方が正しいだろう。これは情報軽視の一面で、そもそも情報に価値を見出さなければ守る必要性が出てくるわけもない。防諜意識の低さは昔から変わっておらず、盗む側にとってこれほど都合の良いことは無い。

もう1つ、イベントでは見慣れない光景に驚く話がある。

ピッキング用のツールを販売したり、ピッキングのトレーニングを行ったりしているコーナーもあります。(中略)そのほか、電波を傍受するアンテナや、今でいうIoTに相当するような電子機器を組み立てるキットなども販売されており、質・量双方の観点で圧倒された記憶があります。

なぜセキュリティ関連のイベントでそのような道具が売られているかといえば、守る立場からすれば相手の手口を学ぶ必要があるからで、盗もうとする側にとっては別にサイバー空間だけが方法ではなく物理的に盗もうが、盗聴しようが情報が取れれば良い。このあたり、情報セキュリティといえばシステムをハッキングしてデータを取ることぐらいにしか話題にならない日本との意識の違いが出ているように思える。そういえば本書には出てきていないが、イベントやDeNAでのヒューミント(産業スパイや情報漏えいなど)対策はどうしているのかも気になる。

おそらく日本でもサイバーセキュリティの最先端を行っている企業だろうと思われるが、それでもこの状況を見ると今後より高度化・自動化されたサイバー攻撃が行われた際にまともに対応できずに大きな被害がでるのではないかと想像するととても恐ろしい。どのように情報を守るか、攻撃が起きたときにどのように対応するかなどは専門的知識が必要で、インテリジェンスそのもの。今後はセキュリティのためのデータ分析の方が、マーケティングやましてや経営戦略ためのデータ分析よりも需要は出るだろうが、エンジニアではなく情報分析担当者としての仕事はあまり期待できなさそうだ。もし興味があるならベンダーやコンサルに入り、そこから事業会社に関わるというのが近道だろう。セキュリティ担当はデータサイエンティストのごとく2・3年後には下火になって細々と残るだけということにはならないだろうが、主流になれるとも思わない。参入するか難しいところだ。

このエントリーをはてなブックマークに追加

タグ:書籍 サイバーセキュリティ 情報セキュリティ


最新の書籍5件

バルチック艦隊ヲ捕捉セヨ - 海軍情報部の日露戦争
ゼロから作るDeep Learning Pythonで学ぶディープラーニングの理論と実装
敗北の理由 日本軍エリートはなぜ迷走したのか
情報の捨て方-企業情報のための情報
シリコンバレー発 アルゴリズム革命の衝撃

ブログトップ > DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録