標準化とかチェックの強化とか
ANA の件。問題点自体については、いろんな所で語られてるからあえて僕が言いたいことは特にないけど、ちょっと気になったこと。
ANAのシステム障害、原因は「認証機能の有効期限切れ」 - ITmedia News
再発防止に向け、有効期限が設定されている全システムの使用状況を調査する。システム開発プロセスの標準化を進め、マニュアルを充実させ、チェック体制を強化する。社外の第三者による開発プロセス審査体制も築く。
現状の有効期限をチェックするのはいい。あとがね。標準化とチェック体制の強化ってところ。これがねぇ...。
標準化
標準化って悪いことではないのだろうけど、あんまりいい印象がないんだよねぇ。アジャイル系の比較的軽量なプロセスならそんなことないのだろうけど、こういうところで「標準化」っていうと ISO みたいに文書大量に作って...みたいなやつなんだろうな。
うちの会社も ISO 関連いくつか取ってる。比較的大きな企業ならどこでもそうなんだと思う。で、読みきれない文書が大量にあるのよ。開発系だけで、広辞苑よりでっかいファイル1冊分の文書。で、これが環境関連とセキュリティ関連と...あと何があるんだっけ?みたいな感じ。
で、何が問題かというと、「誰も覚えきれない」ってこと。広辞苑よりでっかいファイルの中身を概略だけでも暗記できるやつなんていない。マニュアルが無いよりは、マニュアル作ったほうがいいけど、あんまり大量だと結局「誰も読まない」という事態になるからねぇ。意味が無いわけよ。
チェック体制の強化
ま、これも ISO に関わるところでもあるのだけど、監査とかのチェックね。これもあんまり意味無かったりする。
セキュリティの監査とか「ログを出せ」とか言われたって、ログ取らないよりは取ったほうがいいけど。中見て大事なファイルが持ち出されてるのが発覚して、でどうするの?もう手遅れだぜ。
そのわりに、サーバ管理とかネットワーク管理とか、手順がちゃんと決まってなかったりするんだよね。。。これはウチだけの問題なのかもしれんけどさ。
なんというか、監査すると、「見やすいところを見る」ことにとらわれがちで、本質的な問題がそっくり抜け落ちてたりするんだよね。セキュリティ監査なら、セキュリティが強化されずに、ただただ窮屈になるばかり。。。
で、本当の対策ってどうすればいいのだろうか
ここからが難問。
どうしたらソフトウェアの品質を上げられるでしょうか?どうしたらセキュリティを強化できるでしょうか?
「標準化とチェックの強化」っていうのは、一つの回答だけど、なんというか「成績の良くない学級委員長の回答」みたいな、そんな感じがする。間違っては無いけど、あんまり能率良くないと思う。
今のところ僕は明確な答えを持ってはいないのだけど、多分、「いくつかの原則と人間の直感に反しない手順」みたいなやり方できるんじゃないかな、という気がする。開発系で言えば、XP とかは回答の一つだと思う。
いずれにせよ、もうちょいうまくやっていきたいなぁ、と思う今日この頃でした。
# 以上、最近セキュリティ関連の ISO でひどい目にあったので半分愚痴でした...。さて、今日も Ruby 勉強するかな。