wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

よくわからない点:脱Struts宣言を出したものの、リスク含みの既存システムへの対応が不十分なあたり

新規開発でStrutsを使わない宣言を出したのは評価出来るけど、既存システムへの対応がない(ように見える)のが不可解。
報告書では「既存のStruts 2使用システムの再構築には至らなかった」とあるが、これは正直「システム運用の現場」を理解していない(理解していたとしても、現場の努力に報いない)文言とも取れる。Struts 2で構築されたシステムを別フレームワークを使って再構築ってのは、ほぼゼロからシステム構築するのに等しい。再構築に至らないまでも、「既存システムの監視強化」なり「保有リスクと認識し、セキュリティ強化」となるのが(個人的には)正しいと考えてたり。

ヤバさを認識するまでが遅いのがBad

ヤバさを知覚してから対応に入るまでの速度が高速なのはいいのだけど、脆弱性が公開された時刻からGMO-PG側で脆弱性情報を確認し、ヤバさを知覚するまでの時刻に開きがありすぎというのがヤバい。

簡単に脆弱性公開からGMO-PGさん対応までの話を図に起こしてみた。図の上部がGMO-PGさんの対応、図の下部が(攻撃者も含めた)外部の動き。絵心なくてすんません…。

インシデント発覚から公表までの期間の短さはGood

3/10 2:15にインシデントが発覚し、公表が同日18:22に行われている。
関係各所の調整も含めて16時間で公表というのは、個人的な所感では超高速だと感じる。

再発防止委員会の構成

専門家アドバイザーが少し偏り気味でないかい?と思ってたり。
実は結論が少々偏ってたりするなぁ(間違ってるわけではないけど、方向性が偏ってるという意味)…と思っていたのだけど、再発防止委員会の構成を見て納得。

オレが期待している「過去のセキュリティ・キャンプの応募用紙を見ることの効能」

過去の応募用紙を見ることで、当然ですが「何を問うてきたか」を見ることはできます。
でも、それに対して自分が答えられないということは、少なくともその応募用紙と格闘して参加した人と比べると、前提知識ややる気、熱意(興味といってもいいかもしれないです)の面で劣る部分がある、ということに等しいです。

セキュリティに限りませんが、何らかの強烈な興味を抱いている人は、その後爆発的な成長を遂げる可能性が高まります。
単なる興味が強烈な興味にクラスチェンジするトリガは、オレにもよくわかりませんが、育成なり発掘なりする際には、何らかの分野に目を向けて取り組んでもらうことが大事というのはなんとなくわかっています。

ある人が応募用紙を見て「自分にとって未知の領域がある」&「これに興味をもって取り組んだ人がいる」事実と「その興味を講師陣に認めてもらえた人がいる」という事実、そして「自分にはまだ理解できるだけの力がない」というのをわかった時点で、どのようなアクションを取るか?てのは大きく2つ3つ考えられます。

  1. 無理と思ってスルーする
  2. なんとかして問題を解くようにがんばる
  3. わからないことに対する興味を抱く

多分、最初が一番多くて、次がわりとありがちなパターンですが、最後の「(自分が)わからないことに対して興味を抱く」というように行ってくれればいいのかなと考えてます。

参加するために頑張るんじゃなくって、興味を持ったことを突き詰めて調べて試してまとめて、ということをひたすらやっていたら、キャンプの参加をするに足るようになっていた、というのが、(あくまでオレの私見ではありますが)理想かなと考えてたりします。