DevSecOps / CARTA は、OSS 時代のサイバーセキュリティ対策の組織論に言及が可能か否か（散文）

タイトルは派手だけど言わんとしてる事はシンプルで、こりゃ日本だと大変じゃの的な。

ガートナーさんが最近伝えてるメッセージの、 DevSecOps と CARTA continuous adaptive risk and trust assessment アプローチ、Run / Build / Plan のプロセスに象徴されるトレンドの話（の入り口、エッセンス）を今更ですが聞きましたと。

聞いていて最初に、マイクロソフトが Windows XP で苦労し改善してきた歴史としての SDL Security Development Lifecycle を思い出し、そのあと、OSS 時代のアジャイルスクラムな開発サイクルでの情報セキュリティ、サイバーセキュリティ、非機能要件を意識したアーキテクチャをどこで担保するかを思い出し、そして、あぁ、Trust は Assurance でよねえ、となり。

つまりは少なくともガートナーさんは、ITでモノを造るという事はそういう事だと認識してメッセージを発してる。これそのものは、大変同意するメッセージだ。

広義の意味でのセキュリティでいいのだけど、大半のセキュリティ対策の現実は、まず何かを作り出そうとした時点の組織構造で、概ね決まってしまう。正確にはそれは、組織の構造ではなく「誰がどのフェーズで何をどの程度言えて合意形成していけるか」に尽きる。

んなもん全ての話においてそうだろ。

そうなんす。

だから課題であって、既存のサービスや製品、何かの体制維持で成功したからといって、今我々が抱えている課題の解決に、それが役立つとはまるで言えないのよ、という当たり前の話を、今一度我々は声に出して理解しなきゃならんフェーズにきてる。

残念ながら相手は、サイバーセキュリティである。情報セキュリティである。DOHC16バルブ+ダブルウィッシュボーンだから速いなんて牧歌的なノリの世界ではないのであるよ。

そもそもでセキュリティ人材派遣などと銘打って勉強させれば出来る話でもなく、有効で妥当で低コストな対策は、開発工程のありとあらゆる所にチャンスがあり、そして少なくともエクセル仕様書では表現は困難で、見積という行為の意味さえ難しい。

その中で、チームとして知恵を出し合い、直すことに変えることに怯えず、ベターとベストの間で模索を続ける CI なアジャイルスクラムなDevOpsなサイクルの上で、恒常的なプロセスとして普通にセキュリティを考えていきましょう、という事を、そんなことに慣れてない人材を軸足として、組織戦でこなせるだろうか。それで成功するほどのプラクティスなんてあるのか。Googleには、マイクロソフトには、ありそうだけど、国内の業界のモデルで、成立するだろうか。

知らない間に三途の川の向こう側にいて、気がついたので戻ろうとしたのだけと、あれ、三途の川って、こんなに深くて広かったっけ？あぁ、そういや活動してる地溝帯だったっけか、って感じ。

DevSecOps 的な事も CARTA なアプローチも、マイクロSIで程よく丸投げしてくれている方が楽に着地する。船頭少ないので。ウチではそう感じる。

なんか、大変よね。だからエンジニアは経営視点を持てという話になるし（情報セキュリティ対策なんて経営課題なんすよ？）、コード書けないSEなんて、という話だし、社員全員にプログラミングとは、を教える訳で、なのにそれに現場から小言もでて勘違いするわ茶化し合うわ経営や管理は率先してコード書かないわ（挙げ句COBOLなら書いてたとか言い出すわけ）で、そりゃー、難しいですわよ。

解決には、言うこと。話すこと。言葉で表明し、認識がずれてることに双方気が付いて、言葉を交わし続けながら、実践し続けるしかない。