「セキュリティって、正解がわからなくてモヤモヤする😶🌫️」
「難しそうで、頭のいい人しかできない気がする😣」
そんな風に感じたり、言われたりすることが多い。
そう言われた時にどう返せばいいのか、セキュリティを知らなかった数年前の自分にどうやって説明するか、悩んでみた。
(十分な推敲は全くできてないけど、一旦Outputしてしまうぞ…)
🙌 「それ、当たり前!」
- セキュリティは「正解がない」世界
- 完璧な防御は存在しない
- 状況や組織によって最適解が変わる
- 新しい攻撃手法も毎日のように生まれる
「これさえやれば安心」は存在しない!だから難しいと感じる。
なぜ、完璧な防御はできないのか?
「リリース後の不具合は、ひとつも許さない!」
そう言われたら、どう思うだろう?
「そんな無茶な〜!」「ご冗談を😅」という感じでは?
セキュリティも同じである。
💡 完璧な防御ができない理由
- 攻撃は日々進化し続ける(ゼロデイ、AI悪用、サプライチェーン攻撃)
- セキュリティは、UXや開発スピードとのトレードオフ
→ SQCD(Safety・Quality・Cost・Delivery)という考え方もあり、この Safety は Security と切り離せない存在 とされている。
セキュリティは、開発の現実とバランスを取るもの
なぜ、セキュリティは難しいのか?
守る範囲が広い
- DevSecOpsが示すように、開発〜運用〜監視すべてが関係
- 「自分の担当じゃない」は通用しない
知識領域が広い
- Web、クラウド、IoT、OS、ネットワーク、暗号、法務、心理学
- 暗号プロトコルは数学・情報理論の世界
- 新しい技術が増え続ける(AI、生成モデルなど)
変化が速い
- 攻撃は日々進化し続ける
→ つまり守りも日々進化している
難しいのは、「勉強不足」ではなく「領域が広すぎる」だけ!
例えば、パスワードポリシーも、時代とともに進化している
| 時期 | ポリシー例 | |
|---|---|---|
| 🕰️ 〜2010年代前半 | 定期変更・複雑な組み合わせを強制 | 「推測されにくさ」重視 |
| 🔄 2017年(NIST SP 800-63B Rev.3) | 定期変更は不要 | 「人が守れないルールは逆効果」 |
| 🚀 2025年(Rev.4 Draft) | 文字組み合わせの強制も禁止 | 「覚えやすいパスフレーズ+漏えい検知」を推奨 |
攻撃が進化するたびに、守りもアップデートされていく。
「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新(ITmedia エンタープライズ)
💥 セキュリティは「コンピューターサイエンスの総合格闘技」
ネットワーク、OS、クラウド、暗号、法令、心理戦――
あらゆる技術と人が交差する領域。National Cyber Security Centre(英国)は
「Cyber security is a team sport」と述べています。
一人の天才が守るのではなく、チームで支え合う競技。
セキュリティで大切なこと
広い範囲、速い変化、セキュリティのすべてを理解することは不可能。
大切なのは、
- 「セキュリティのコンセプトを理解すること」
- 「隣の専門家と一緒に考えること」
セキュリティの基本コンセプト
現在の主流の考え方
-
Assume Breach(侵害前提)
→ 完全防御は不可能だから、侵害されることを前提に設計する。 -
Defense in Depth(多層防御)
→ 1つ突破されても次の防御層で被害を抑える。 -
Incident Response First(インシデント対応優先)
→ 検知・封じ込め・復旧を最速で行う体制を重視。 -
Cyber Resilience(サイバー耐性)
→ 攻撃を受けても事業継続できる柔軟性・回復力を確保。
💬 「全部やる」「全部理解する」ではなく、どんな状況でも考え方の軸になるコンセプトを理解する。
💭 まとめ
- セキュリティは正解がない
- 完璧な防御は存在しない(“バグゼロ”と同じ構造)
- 守る範囲・知識領域が広すぎる
- だから、分からなくて当たり前!
“完璧な理解”より、“共通の考え方”と“隣の専門家との対話”