情報セキュリティの専門家インタビュー:Coinbase Zak氏
Quantstampは新しい取り組みとして、情報セキュリティ分野の専門家にインタビューを行い、キャリアパスや、情報セキュリティ分野がどのように発展しているのか、専門家がどのように自分たち知識をブロックチェーン技術の世界へ適用しようとしているのかについて学びたいと思います。
楽しんでください!
こんにちはザック!あなた自身についてもう少し詳しく教えてください。
ザックと言います。私はCoinbaseのセキュリティチームのソフトウェアエンジニアで、過去5年間、中規模から大規模の企業のセキュリティおよびインフラストラクチャチームに携わってきました。
出身はどちらですか?
私はカナダの中くらいの町出身ですが、ここ西海岸でキャリアを過ごしました。私はいつも「育つ」というのは選択自由なものだったと思っています。
セキュリティ業界に入ったきっかけは何でしたか?
子供の頃、私は暇な時は地元の図書館のSF小説の棚の本を読み漁っていました。Isaac Asimov作の「I, Robot」という本に出会い、その本が私の人生を変えました。他のメディアは、常にコンピュータを複雑な文明やより人間に近づきたいエイリアンやピノキオのような存在として描いていましたが、この本は「ロボティクスの3つの法則」という、プログラムに従った行動とる3つの簡単な法則について書いており、その続きは、これらのルールが互いに矛盾するシナリオかシチュエーションに当てはまらないなくなるというものでした。
この本がきっかけでした。私は、私たちが書いていると思っていることと実際に書いたことの違いにつけこむような、コンピューターセキュリティに常に魅了されてきました。コンピューターは、多かれ少なかれ、意図していたことにかかわらず、言われたとおり正確に実行するので、どこが間違っているのかを見つけることが楽しいです。
なぜCoinbaseにジョインしたのですか?
正直なところ、この会社は私がこれまで働いてきた中で初めてとても真剣にセキュリティについて考えており、製品とアーキテクチャーの意思決定において一番に考えています。
解決すべき興味深い問題が彼らにあることは言うまでもありません。
今の状況に到達するまでに、克服しなければならなかった最も難しいことは何ですか?
セキュリティス分野に足を踏み入れるのは難しかったです。初めて、大学に向かうとき、 “セキュリティの専門”は、特定のブランドのネットワークハードウェアを構成する方法や、実際のコンピュータセキュリティではなく、特定のツールを習得することなどを重視していました。
私が大学院を修了する頃には、ゼロからの開発やOWASPトップ10の開発から、コンプライアンスまで、全く新しいセキュリティ教育産業が始まっていました。私はプライバシーと暗号技術を学びましたが、最初は自分に合うものを見つけるのがとても難しかったです。
面白いことに、私がこの業界にいてよかったと思うのは、この業界で様々な人生を歩んできた人と出会うことです。私はこれまで、ポスドクの物理学者、高校のドロップアウト、法学部の学生、メカニックなどに会いました。私がこの分野で成功を収めた最大の要因は、教育ではなく、好奇心でした。
最初に見つけたセキュリティ上の脆弱性は何でしたか?
私は10代の頃、後にローカルな映画館の報酬ポイントシステムとわかる、TOCTOUの脆弱性を見つけました。映画を観るたびに100ポイントがもらえ、1000ポイントで無料のチケットやスナックを購入することができます。このシステムは、カードをスワイプしたときは残高を確認しましたが、特典を利用したときにもう一度チェックしなかったため、複数のキオスクで数回購入してから一度に交換することができました。
これは技術的に複雑なバグではなく、設計上の失敗でした。彼らのシステムは、構築した通りに機能しましたが、意図した通りではありませんでした。
これから先5〜10年のセキュリティの脆弱性はどこにあると思いますか?
私たちはすでに、脆弱性発見と利用プロセスのコモディティ化と自動化を見かけるようになりました。コミットを評価したり、コードベースを評価するような自動化されたコードスキャナツールや、脆弱性の検出・評価・トリアージのアウトソーシングや専門化を行う企業などがどんどん登場しています。
私は次の5年から10年の間に、セキュリティに関するより一般的な開発者教育と、より安全なコードを書くための多くの言語という2つのものが出てくると思います。後者は、CからのGoとRustへの移行(メモリー管理に関連する問題)、SparkやMichelsonのような完全に検証された言語(問題の改善を助けるため)などですでに見受けられます。
開発者教育に関しては、「セキュリティエンジニア」の役割が消えてなくなっていっているような気がいつもしています。私たちは以前は「マージマスター」や「インテグレーションリード」を職種としていましたが、現在は連続したな統合システムがあり、開発者はgit / svn / mercurialの使い方を知り、統合テストを書くことが期待されています。サイト信頼性エンジニアリングは、インフラストラクチャとディプロイパイプラインのコード化において、DevOpsの道を進んでいます。この移行をうまく考察しているペット対牛という記事があります。その記事のコンセプトは、かつてはスタンドアロンやタスク特有のものとして考えられていた概念は、開発プロセス全体に不可欠なものとして考えるようになったというものです。あなたはソフトウェアを書かないが、「グロースエンジニア」がそれをスケーラブルにします。同様に、コードはかけないが、「セキュリティ」というものを上に振りかけます。これは全て設計の側面の一部であり、もう開発者が見過ごすことが起きるようなものではないのです。
専門家には常に居場所があると言われています。
スマートコントラクトの開発プロセスを進めている企業へアドバイスはありますか?
現代のソフトウェアエンジニアリングとスマートコントラクト開発の間には、このような切り離しがあります。ソフトウェアでは、スマートコントラクトの開発環境では再現できない反復開発アプローチがあります。
コンピュータを使ったことがある人は、おそらく「パッチ」、「バグ」、「ベータ」という用語に馴染みがあり、新しくリリースされたソフトウェアとの間には曖昧な関係がありますが、それはスマートコントラクトの開発では起こり得ません。
スマートコントラクトは変えることができません。パッチをスマートコントラクトにプッシュすることはできません。ここにはベータはありません。これは、あなたが最初に正しく取り組まなければならないことで、人々が期待するよりはるかに難しい問題です。
なぜあなたは今やっていることに取り組んでいるのですか?
私は自分がやっていることが好きなので、やっているだけです。私は仕事の幅と多様性が完全に魅力的であることを発見したので、夜に仕事を一緒に家に持ち帰らないと気が済みません。会社以外では、我々は共通の目標に向かって努力しているような気がします。
ブロックチェーン技術は財政的な影響に関わらず、とてもクールだと思います。私はこのことを証明するようなサイドプロジェクトをいくつか使っています。
世界のデジタルマネーの未来のセキュリティを守っていないときは、何をするのが好きですか?
私はジャズ音楽、料理、カクテル、ブランチが大好きです。サンフランシスコはこれらすべての事が揃っている信じられない程素晴らしい街。私は将来、より多くの場所で仮想通貨を受け入れることを願っています。
この業界にこれから足を踏み入れるセキュリティの専門家へのアドバイスはありますか?
すべてのことのマスターになることはできません。あなたの興味を見つけ、それらを開発する。学ぶことをやめることは絶対にしないでください。
なぜあなたはQuantstampにワクワクしているのですか?
彼らは興味深い問題を解決しています。 イーサリアムは人気がありますが、Solidityはミスを犯しやすいです。これまでの回答のいくつかの繰り返しになりますが、「コードの意図」は実際にツールの多くが構築するものとは異なります。
仮想通貨愛好家が最もよく陥るセキュリティミスは何ですか?
FOMOと誇大広告です。これはエキサイティングな分野であり、クリエイターと投資家の両方で、たくさんのお金が生み出されようとしています。出来すぎた話や、あまりにも容易であると思われるものであれば、おそらくそれは真実とは異なります。気をつけてください。
このミスを避ける最良の方法は何ですか?
パーソナルデジタルセキュリティのベストプラクティスについて学んでください。あなたがコントロールしていないことにあなたの信頼のすべてを置かないでください。リスクを管理しましょう。ホワイトペーパーを疑い深く読んでください。それらのインプリメンテーションがどのように異なるかを確認しましょう。
Zak インタビューをありがとう
著者 Quantstamp ライター Julian Martinez
執筆日 2017年2月19日
原文 https://medium.com/quantstamp/infosecurity-expert-interviews-zak-from-coinbase-b375eeab961c
