いい記事がZDNet Japanに載っていた。
自分もちょうど今、新しいメンバーを開発チームに迎えて、スキルの差についてどうしようか困っていたところ。そのメンバーにアドバイスしていた主旨とほぼ一致していたので安心になった。
そのメンバーというのはセキュリティとは畑違いの分野から来た。セキュリティというすごく難しく捉われがちで、すぐに『セキュリティの技術ないからわからない。まだまだ勉強したい。』と言われてしまう。まあ、言い訳なわけである。しかし、そうではないだろう。技術なんて日々進化しているものであり、そんなことを言っているといつまで経っても仕事にならない。どんな技術(アルゴリズムや規約など)を使うかということよりも、どんな要件があってそれをどういう考え方で実装するかが重要。実装するときに、具体的な技術を調べればいいのである。
例えば、ISO15408的な考え方。脅威分析をして、それぞれの脅威に対する対策方針を考え、それぞれの対策をどういう技術で実装するか。これまでセキュリティの色々な技術の勉強をした。例えば、暗号アルゴリズムの実装というコアな部分、PKIのコアな部分など。しかし、一番自分の勉強になったのは、ISO15408を勉強してSecurity Targetを作成するということだった。これをしっかりと勉強したことによって、セキュリティの体系的で一貫した考え方を身につけることができた。対策の方針を考えることが重要であって、その対策をどういう技術で実装するかはそのシステムや時代に依存するだろう。
ということで、細かな技術の習得なんて二の次でよくって、その前にISO15408などセキュリティの体系的な考え方を勉強してもらいたい。
と偉そうなことを書きながらも、自分も昔はそうだった。暗号アルゴリズムとか細かいところまで理解しないと頭がスッキリしなかった。でも今はあまり細かいことは気にならなくなってきた。どうしてだろう。
