はじめに
こんにちは、Snyk Japan の Staff Solutions Engineer, SokoP こと浦底です。
これから Snyk ならびにその周辺に関わるトピックを幅広く取り扱っていきたいと思いますので、よろしくお願いいたします。
サイトリライアビリティエンジニアリングとセキュリティ
このたび縁あって「サイトリライアビリティエンジニアリング(以降SREと記載:サイトリライアビリティエンジニアを指す際には明記します)とセキュリティ」について触れる機会をいただきました。
まずは SRE といえば SRE Books ということで、名著である第1弾を読んで以来、ひさびさにサイトを覗いてみたところ、Building Secure and Reliable Systems(和訳:セキュアで信頼性のあるシステム構築 - O'Reilly Japan)が目に留まりましたので、簡単に抜粋してご紹介したいと思います。
なお今回抜粋していない章についても SRE に関わる有益な内容が多岐にわたり凝縮されています。例によって SRE 本お約束の Google におけるケーススタディや技術詳細もあります。
和訳版は目次が公開されていますが、本文に関しては原文がオンラインに公開されています。ただし、やはり技術知見のある方の訳を第一言語で読むのが、時と質の双方に効果的に習得できると思いますので、みなさんこれを機に和訳版を購入のうえ読んでみましょう。
私も EBook で購入いたしました。
目次(抜粋)
前段に記載の観点で私が着目した章を抜粋しました。個人的感想を加えてご紹介します。
1章 セキュリティと信頼性が交わるところ
冒頭から双方の視点より共通する要素を挙げられています。こう列挙されるとなるほどお互いの目的は同質であることが再認識されます。
4章 設計におけるトレードオフ
単に機能要件を極める場合でも Too Much になる事象はみなさんもご経験されたことがあるかもしれません。そこに非機能要件や予算や性能などの制約も伴うトレードオフは、いかなる場合にも発生し得、想定しなければなりません。
6章 理解しやすさに配慮した設計
広義にセキュアであることを定義し、それを担保するには、様々な先進技術を駆使することもさることながら、それを有効に用い続けるためのデザインに行き着きます。逆にどんなに高機能なものであっても、誤って用いられてしまっては、無用どころか大きなリスクとなります。
12章 コードの記述
ここは Snyk Code が担う SAST 機能と密に関わる部分となります。ただ単にセキュリティの観点だけでなく、先の6章に挙げられた点も含め、良いコードを書くうえで重要な点に触れられています。
13章 コードのテスト
コードをテストする手法についてはテストコードやテストツールも含め様々なものがあります。この中で 動的プログラム解析 に触れられています。本書内ではプログラムの低レイヤーに対する観点ですが、一方 Web アプリならびに API を外部から動的にテストするものとして Snyk API & Web がございます。ご興味のある方はご覧ください。
14章 コードのデプロイ
この章はデプロイ自体の手法というより、デプロイプロセスにて抑えておくべき観点に触れています。レビュー、自動化、IaCなど。これらを継続的に実現する CI/CD パイプラインにおいて、合わせてセキュリティも担保するため Snyk CLI を用いることが可能です。
20章 役割と責任の理解
旧来から開発や運用と言われた役割と責任の解釈については皆さんもご存知かと思いますが、そこにセキュリティが加わると、その境界はさらに隔たれる印象があるかもしれません。普段から私もお客様にお話していますが、役割と責務の分解は組織においては当然存在し得るもので、そのうえでどう理解し合い、効果的にそれぞれの専門性を活かしていくか。これは何事においても原則なんだと再認識させられます。
21章 セキュリティと信頼性の文化の構築
そして前章を実現するうえで最も大切な要素の一つ、文化に行き着きます。ここまでくるとセキュリティ(≒安全)と信頼(性)というシステムに掛かっていた2つの言葉が、実はプロジェクト全体にも掛かるものでもある。そんな気にもさせてくれます。
まとめ
当たり前ながら、セキュリティだけの文脈では成し得ない信頼性の高いシステムに対する視点と、一方で相反するような印象のあるセキュリティと信頼性の双方において、共通する原則ともいえる要素も再確認でき、異なる2つの視点だからこそ見える新たな気づきも得られました。
そしてあらゆるプロジェクト運用にも求められる、人、チーム、文化。それらを具体的に活かしていくうえでも、多角的視点を備えることは有益なのであると、自身にも言い聞かせる良い機会となりました。
最後に
間際の告知となりますが。今週 2025/06/27(金) 19:00より開催される Road to SRE NEXT@名古屋 において、本件と同様の題目でセッションいたします。
オンライン聴講枠もございますので、魅力的なセッションならびにリアルなQAセッションを、ぜひお楽しみいただければ幸いです。みなさまお気軽にご登録ください。
P.S. 私の発表概要が VTRyoさんのショートセション に火を付けてしまったかもしれません…