[読書]「DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録」を読んでみた

この記事は約 3 分で読めます。

DeNA 南波智子さんの「不格好経営」が大好きで、つい先日も読み終えました。(通算3回目)

不格好経営―チームDeNAの挑戦

不格好経営―チームDeNAの挑戦

南場 智子
1,728円(11/12 21:28時点)
発売日: 2013/06/11
Amazonの情報を掲載しています

そうすると、だんだんDeNA社の考え方に興味が湧いてきました。

私こと匠自身は、IT業界でセキュリティを生業とするエンジニアの端くれですから、先進的なユーザー企業の事例には興味津々!というわけで、読んでみました。

今日完読したのはこちらです。

DeNAのサイバーセキュリティ Mobageを守った男の戦 いの記録

DeNAのサイバーセキュリティ Mobageを守った男の戦 いの記録

茂岩 祐樹
2,160円(11/12 21:28時点)
発売日: 2016/09/22
Amazonの情報を掲載しています

良い内容が多かったので紹介してみたいと思います。

ちなみに、別に不格好経営みたいな軽妙な文章を期待してはいけません。。。

読了時間

私は読む速度が遅いのですが、Kindle使って読了まで3時間といった分量です。。

内容の紹介

この本は、筆者が社内のセキュリティ組織「CSIRT」の設立経験で培った考え方についてが主な内容です。

その中で、ちょっと偏ってるかもしれませんが、匠が共感した内容をご紹介します。

スポンサーリンク

ルールは破られるためにある

2-2. 嫌われる「ルール」、愛される「ルール」より抜粋。

「ルールは守るべきものである」と同時に、「破られるためにある」という視点でも考えます。新しい技術、新しいサ ービス、新しい事業、多様な相談と検討を踏まえ、ル ールやポリシーを変え続けることが必要です 。

ともすれば、守ること、守らせることに終始しがちなセキュリティポリシーについて、この考え方はより発展的だなと感じました。

ルールは例外なく陳腐化します。
ITでは、その傾向が顕著です。

落ち着いて考えれば当たり前のことなのですが、その変化を許容することを前提としたルール設計って斬新だな、と感じた次第です。
そうありたいのですが、実践するとなると難しいのです。

一方、うちの会社はどうかな。。。(汗

スポンサーリンク

事業スピ ードを加速させるためのセキュリティ

2-8. 経営層と現場にどう伝えるか?より抜粋。

お薦めできるのは、「事業スピ ードを加速させるためのセキュリティ 」という考え方です 。

大きなセキュリティ事故 → 安全要求 → 過剰投資・保守的 → 事業スピ ードの低下 と負のスパイラルになっていって、セキュリティがウザがられる、事業の足を引っ張ることは多々あります。

そんな中で、何のためのセキュリティなのかについて、本質を捉え、ハッとさせてくれる考え方だなと感じました。

言い換えると「オフェンスのためのディフェンス」ともいえますよね。
もっと普及して欲しい考え方です。

スポンサーリンク

シンプルで強くてわかりやすいセキュリティ

2-3. DeNA が目指すセキュリティの理想より抜粋。

筆者たちの行動規範として、「シンプルで強くてわかりやすいセキュリティ」を挙げています。
(略)
その中でもわかりやすいことは非常に重要で 、わかりやすくするために 、あらゆる場面で工夫しています 。

また別章ではこちら。

緊急時は慌ててしまうため、複雑なルールではなく、できるだけシンプルなルールにすることが大切です

ITに関連するもの、特にセキュリティは、その説明やルールが複雑になりがちで伝わりにくいと感じることが多いです。
だからこそ、「シンプルさ」は特に重要と感じて共感できました。

また、本文では、ルールの理解がブレないためにも必要 とも述べられています。

たしかに、複雑な方が良いことなんて、暗号くらいのもんで、
基本的にはシンプルな方が良いんですけどねー。

この「シンプルで強くてわかりやすいセキュリティ」は、
絶対に業務で使いたいフレーズです(笑)

感想のまとめ

新興企業というイメージからか、メディア批判の憂き目にあいがちですが、
この本を読んで、DeNAは企業セキュリティの先進企業だと感じました。
なんでもチャレンジしてるんですね、あの会社(笑)

なお、「不格好経営」をイメージしてしまうと文体や内容が大違いなのですが、
この本は技術的な専門書では無く、詳しい技術の話はないので、誰でも読みやすいです。
文章としての面白さを楽しむより、実地経験の良い考え方を見習う本だと思います。

CSIRT構築・運営を考える企業の人にはその先進事例として参考になるはずですし、セキュリティの初学者に役立つとも思います。

匠個人としては、業務で話したい金言フレーズがいくつかもあったので良書だな、と感じました。

ITセキュリティを生業とするエンジニアという名の社畜です。妻と子供一人と共に、毎日を楽しく生きてます。このブログを通じて、ただひたすらに共有欲を発散しています。詳しいプロフィールはこちら