これは企業レベルでセキュリティをどう捉えるべきなのかではなく、主にセキュリティに携わる個人ついての話。そして、これはただの学生が勝手に書いている文章である。
先日この記事を読んだ:“Knowing where your engineer salary comes from”
レイオフされたり、クビになりたくなければ、エンジニアでも自分が勤める企業にどれほどの利益をもたらしているのかを考えるべきだというのが主旨だ。主にアメリカのエンジニアについて語っているため、レイオフやクビが日常茶飯事な環境ならではの視点もあったが、日本の企業でも適用できるはず。レイオフやクビが無くとも、所謂「窓際族」になってしまったり、昇給がない、プロジェクトがないため転職する際に語ることがないなど、クビほどのものではないが、それなりに困ることだ。
制裁を受けたくなければ、勤める会社がどのように利益を生み出していて、それに自分はどう貢献しているのかを考えましょうとのこと。インターンをしているときにも考えていたことだが、セキュリティは利益を生まないコストセンターとして捉えられがちではないだろうか。多くの場合、セキュリティが直接利益を生み出すことはない。主に雇われる理由は、マイナスを喰らわないように、あるいは喰らったときに被害を最小限にするためだということ。平常時は何もないため、仮想敵と戦っているようで、外から見れば何の為に雇われているのかがいまいちわからない。それでもインシデントを完璧に防げるわけではないのだから、本当に何の為にいるのか。
そう考えた末、セキュリティがただのコストにはならない3つのシナリオを考えてみた。
セキュリティ not as a コストセンター
- 一番に浮かび上がるのがセキュリティをそもそも売りにしている企業だろう。セキュリティ製品を開発、販売している企業や、脆弱性診断やコンサルティングなどのサービスを提供する場合。このような企業ではセキュリティに携わっている人間が会社の利益に直接貢献していることが明確だ。
- 製品の販売やサービスの提供ができる範囲を広げるためのセキュリティ。規制が多い産業でのビジネスはそもそもセキュリティを担う人がいなければ成り立たない場合もあるだろう。別の国や地域での規制に対応するのも一つの例だ。GDPR に対応していなければそもそも EU でビジネスができない。これは4億5千万人の人口と18兆ドルの GDP を保有する EU でビジネスができないということを意味する。
- “It makes us look good, or at least avoids us looking bad” ←これは記事からそのままの引用だが、このような側面も必ずあるだろう。セキュリティインシデントは株価の下落、顧客の離れ、イメージダウンなど、直接的な損益から、測れないものまである。でもインシデント発生時に、対策はちゃんとしていたのですが、今回は高度な APT 攻撃に合ったため、どうしようもできませんでしたと言い訳ができる。
セキュリティ as a “コストセンター”で働くということ
セキュリティがプロフィットセンターとして扱われるベンダー、脆弱性診断などを行うサービス提供会社、コンサルティングではいずれも自らデータやインフラストラクチャを守ることはない。あくまでもそれらを実行する企業へのプロダクトやサービスへの提供が業務の範囲。これにももちろん、影響の範囲の広さなどの魅力はある。だけど自分は実際に守る側に行ってみたいと思うので、PSIRT チームなどがいるような企業さんに就職したいと考えている。
セキュリティに携わる者としては常に、自分がどのように会社の利益へ貢献しているのかを考えて、明示することが開発エンジニアより必要だろう。また、そもそもセキュリティを大切にしている企業でなければ、どうしても価値をもたらしていないお荷物として捉えられやすいだろうから、そもそもの企業選びからも注意しなければいけない。