編集可能
2012年8月6日

セキュリティと専門家と初心者と

1
A K @a_kotani

何でもかんでもセキュリティって言えば専門家ぶれる文化がどこかにある気がするなぁ。

2012-08-05 22:07:11
A K @a_kotani

だってそもそも脆弱性と呼ばれるものの多くは、安全と考えられているものの仕組みを理解していない人の勘違いを正しているだけに過ぎない。でもっていざ脆弱性があるといわれるやはり仕組みや背景を理解せずに安全じゃないという短絡した思い込みに突っ走って勘違いが広がるという繰り返し。

2012-08-05 22:28:41
A K @a_kotani

ちゃんと説明しようとしても「じゃぁ安全なのかどうなのか」という事だけしか求めず、「安全かどうかはお前の使い方次第だ」と言うと技術の怠慢だとかなんとか。まぁそうなのかもしれないけど、だったらそもそも枯れてない技術に答えを求めようとするなよ。

2012-08-05 22:31:26
SAKIYAMA Nobuo/崎山伸夫 @sakichan

そういう人達はいますね。私は「セキュリティの専門家」「プライバシーの専門家」ではありませんが、それぞれわりと言うことにしてます。というか私は何の専門家だろう? RT @a_kotani: 何でもかんでもセキュリティって言えば専門家ぶれる文化がどこかにある気がするなぁ。

2012-08-05 22:34:38
A K @a_kotani

個人的にセキュリティ(ビジネス)やその自称専門家を信用していないのは、それ自体がマッチポンプで成り立っているようにしか私には見えないし、きちんとした技術的根拠よりも社会的動揺ばかりを持ち出す傾向が強いからで、本当に技術的背景が述べられる人は別の専門を持つ人ばかりなんだよね。

2012-08-05 22:39:45
SAKIYAMA Nobuo/崎山伸夫 @sakichan

「セキュリティ」というジャンルが成り立ってる害悪があるとしたら、「専門家」がそこにいるということじゃなくて、「私セキュリティは専門じゃないんで」という逃げを打つエンジニアや部門・会社が多すぎることのほうだと思う @a_kotani

2012-08-05 22:42:02
SAKIYAMA Nobuo/崎山伸夫 @sakichan

あと、不幸だと思うのは、暗号の専門家が「セキュリティ」のラベルを貼られることで、それ以外のセキュリティの仕事を振られてしまうとか。もちろん、システムを守るような話は暗号実装でも存在しているので、そういうことが分からなくはないだろうけど、ね。

2012-08-05 22:48:16
A K @a_kotani

@sakichan なんかだとすると "セキュリティ" と言う言葉が緩いバズワードになっている感じがとてもします。専門家かどうかは別として、どういった事象を "セキュリティの問題" とし、そこにどういったアプローチでの解決方法があるかを様々な方向の専門を持つ人が考えるとかが

2012-08-05 22:48:21
SAKIYAMA Nobuo/崎山伸夫 @sakichan

@a_kotani セキュリティというのがシステムのどの技術領域でも必要とされる一方で全能の人はいない、というところにバズワード化の問題がありますね。

2012-08-05 22:50:54
A K @a_kotani

認証のメカニズム、例えば OAuth とかだってそれがあらゆるセキュリティの解になるわけではなく、仕組みを考えて使わないととんでもない脆弱性どころかそれ以前の問題を引き起こす可能性だって十分にあるわけで。じゃぁその問題に対して認証技術を専門にする人が対処可能かと言われたら無理かな

2012-08-05 22:52:12
A K @a_kotani

@sakichan 過去にはネットワークの専門家なんて言葉もあったわけで、それが多様化する以前であれば存在しえたのかもしれないけど、現状のように多種多様になってしまうとその言葉は本質的に意味を成さず、文字列としての言葉だけが生き残って出鱈目に使われているのと同じような感じがします

2012-08-05 22:55:24
SAKIYAMA Nobuo/崎山伸夫 @sakichan

@a_kotani ただ、「セキュリティ」はもともと分野に直交して存在しているから、細分化といっても難しいですよねぇ、というあたりが問題かな。細分化・モジュール化とは逆方向の目線が求められるところはある。

2012-08-05 22:58:04
A K @a_kotani

@sakichan その問題を解決すべき立場でありながら専門家ではないから出来なくても良いと言うのは、初心者だから自分の問いに相手の時間を使っても良いというくらい下らない理屈だと私は思うので、それはそんな言い訳を許す/許されると考えてるほうがゆとり過ぎるような気がします。

2012-08-05 23:00:32
A K @a_kotani

@sakichan その辺をきちんと整理されてバランスが保たれている議論であればまだましだと思うのですが、論点が絞られたり偏ったりしがちなように感じます。まぁ私の見えている範囲ではという印象ですが。

2012-08-05 23:03:34
SAKIYAMA Nobuo/崎山伸夫 @sakichan

@a_kotani 現実には「ゆとり過ぎ」のほうが圧倒的多数ですね。

2012-08-05 23:06:26
A K @a_kotani

@sakichan そうなんですかね。シチュエーションにもよるとは思うのですけど、例えばそういう言い訳が成立しうる状況って何があります ? 質問の意図は、ある目的達成に責任があるのであればそこにある問題解決に対して同時に責任が発生し、それらに対する専門性の有無は関係無いと思います

2012-08-05 23:11:03
A K @a_kotani

理解に努力をしたくない人達に短絡した答らしきものを提供し誤解を振りまくのが専門家なのであれば、それは詐欺の専門家と言ったほうが正しいと思うし、まずそれにだまされる奴の人間的なセキュリティを何とかして欲しいもんだ。

2012-08-05 23:15:38
SAKIYAMA Nobuo/崎山伸夫 @sakichan

@a_kotani 責任を負う立場にならないようにというのが「逃げ」です。そして、誰も火中の栗を拾わず大穴が開くことは、まぁ、世の中あるわけですが。

2012-08-05 23:16:37
A K @a_kotani

@sakichan なんか MDIS の騒動とかを思い浮かべるのですが、それを逃がさないようにすると言う責任もまた発生すると思うし、そもそもどういった責任が発生しうるのかと言う認識が *相互に* 足りていないようにも感じます。

2012-08-05 23:21:17
SAKIYAMA Nobuo/崎山伸夫 @sakichan

@a_kotani 認識がないのもそうだし、プロジェクト管理の人がものすごく優秀でないと、たぶんダメ。技術的な理解だけではなくて政治力的なものも含めて。

2012-08-05 23:23:16
A K @a_kotani

あぁそうか成る程ね。原発の話を当ててみれば世の中に対して自分がどれだけ高望みしてるのかわかるだろうと言う話かな。原発の安全性を仕組みから理解して対応した政治家なんていないし、どれだけの自称専門化がマスコミを賑わせたかみたいな。

2012-08-05 23:41:36

コメント

コメントがまだありません。感想を最初に伝えてみませんか?