意識の違い
同じ情報システム部の中でもクラウド肯定派と否定派に分かれていることもあるかと思います。特にアプリ作成(プログラマ)よりなエンジニアはクラウドサービスの使用に対して積極的ではないでしょうか。先日、次のような出来事がありました。
同じ部署のWebプログラマとセキュリティや社内リソースの管理に関して議論する機会があったのですが、どうにも話が噛み合いません。主な議題にはクラウド系サービスの利用についてや、社内にサーバーを構築して管理していく、といった件なのですが、噛み合わないというよりは、むしろ立ち位置が全く異なっている・・・と感じました。
以下、それぞれの主張です。
■情報セキュリティ寄りなエンジニア(私はこちらです)
私たちの主張は、コラムでも何度か書きましたが、クラウド系サービスの利用には慎重派です。社内で使用する情報やリソースを例えばDB化するのであれば、クラウド系のサービスを利用したではなく社内サーバーを用意して、内製で構築していくことを推奨しています。
もちろん、状況に応じてクラウド系サービスを利用することには賛成の立場でもありますが、まずは社内設置・・・いわゆるオンプレミス環境にて対応できないかと検討します。
■プログラマ寄りなエンジニア
インフラを何にするか、ということは経過でしかなく、主作業であるプログラムの成果物を動かすための入れ物でしかありません。よって、自前でサーバーを構築し運用するということは手間でしかなく、非効率的である・・・という考えです。
そのため、DBやメール・Webサーバーに至るまでミドルウェアやそれを構築するOSに至るまで、AWSやパッケージ化されたVPS・クラウド系サービスの利用をまず検討します。
そもそもの主張や考えが真逆に近いので、いくら議論しても平行線です。もちろんセキュリティに関する意識はきちんと持っておりますが、それを全面に押し出しすぎて非効率な開発をしては本末転倒だ、というプログラマ側と、外に情報を出すことがリスクを高める、ある程度はオンプレミス環境も必要ではないか、というセキュリティエンジニアとの攻防となってしまいました。
冷静になってみると、お互い主張していることはもっともで、どこかで折り合いをつけて運用していくほかはないのですが、同じ部署で同じエンジニアとはいえその性質によって考えが全然違うんだということに改めて気づかされました。
こういったケースは何も身近な部署内でのことだけではなく、社内を見渡してみると他にも同様のケースはありそうです。自分の仕事だけで物事を測るのではなく多角的にまた俯瞰的に見渡せる意識を持たないと危険だなと感じました。
他の部署や他の社員やエンジニアが一つの物事に対してどのように考えているのか、ということを理解しているということは、自分の仕事を円滑にこなし他部署間とのスムーズな連携を進めるためにも必要なことではないでしょうか。
コメント
山無駄
今は、クラウドサービスもプライベートクラウドなどが使え、基本的にはローカルに環境を構築
するのと何ら変わりません。社内にサーバを設置することを基本と言われていますが、社内にき
ちんとしたサーバ室を持たれているのならばいざ知らず、適当においているのならば、いくらロ
ーカル環境にあるとはいえ、セキュリティ的には問題があります。
情報セキュリティよりなエンジニアとか、プログラマよりなエンジニア云々の前に、正しく技術
を理解し、安全面、コスト、運用面、効率性等を踏まえたうえで採用する技術を総合的に判断で
きるのがまっとうなエンジニアだと思います。
当然、そのなかで安全性を重視するのか、効率性を重視するのか、という思想に近い部分は各者
各様なのでしょうけども、少なくとも社内の情報管理はセキュリティ重視で、社内サーバで内製
という発想は安直過ぎるように感じます。
他者が何を考えているか理解すると自分の仕事がスムーズになるのは、それはそうなのですが、
技術者は技術という共通の言語をもっているので、きちんと論拠をもって自分の考えを主張さ
れれば、大概の人は理解してくれるのではないでしょうか。
Alchemy
お詫びさせていただきたいことがございます。
今回、私の環境を踏まえた記述をしてしまい、客観性に欠けておりました。
私の職場では入室制限されたサーバールームがあり、専用のサーバーラックにて社内サーバーを
運用しております。なので、それ以外の環境での運用については配慮が足りておりませんでした。
申し訳ございません。
また、業務においてISMSやリスクマネジメントも対応している関係上、セキュリティリスクの
代表として社外への情報漏洩を想起しておりました。この点も記載がなかった点、申し訳ございません。
クラウドサービスを使用するよりも社内の管理されたサーバールームにて構築した、ネット接続
されていない環境での運用をしたほうが、インターネット側からの不正アクセスに対するリスクを
減らせる・・といったニュアンスが近いです。
採用する技術を総合的に判断できるのがまっとうなエンジニアとのご指摘、まさにその通りだと
思います。
昨今の情報漏洩の多さや、実体験も踏まえて極力閉ざされた環境での利用に傾きがちですが、扱う
データの内容や利用する環境やコストの検討結果において、クラウドサービスを選択することもございます。
私自身、現在導入に向けて検証を進めているクラウドサービスもございます。タイトルにございます
「意識の違い」ということから、あくまで各々の感じ方に違いがあって、それを再発見した・・・と
いう体験から今回のコラムを記載いたしました。
ただ、コラムにも書きました社内リソースの管理に関して議論をした際、お互いが主張が強く、
理解する前にヒートアップしてしまいました。この点も反省です。
私の職場環境のせいもあって、情報セキュリティよりなエンジニアやプログラマよりなエンジニアが
はっきり二分されてしまっています。山無駄様のおっしゃるとおり、採用する技術を総合的に判断
する力をもっと養っていかないといけないと感じました。
この度はコメントでのご指摘ありがとうございました。
山無駄
Alchemyさま
別に、クレームを入れているわけでも、Alchemyさんの環境背景につて記載がなかった事を責
めている訳でもないので、お詫びはしなくていいと思いますよ。
いくら、Alchemyさんの職場に入室制限のあるサーバルームがあったとしても、職場ビルの地
震対策はどうかとか、電源は二重系か、BCPの観点から、もし震災等で職場ビルが倒壊しても
データは守られ事業継続が可能か、等々も含めて情報セキュリティだと思います。情報漏洩は、
リスクの一つですね。これらを自前ですべてやってしまうと莫大なコストがかかって現実的で
はないかもしれませんが、もしかしたらクラウドならば現実的なコストで対応できるかもしれ
ません。しかし当然クラウドサービスを使うと別のリスクが発生することも想定できます。こ
れらを正しく評価し、現実的な解決方法を決めるのが情報セキュリティマネジメントではない
でしょうか。
それを情報漏洩の事だけを気にして、まずはオンプレでと考えるのが「情報セキュリティ寄り」
と言われている事に違和感を覚えたのでコメントしました。
おそらく本コラムの趣旨である、いろいろな考え方があるのだから、相手の考え方を尊重し
想像することで仕事がスムーズにいくよ、という事に対しては特に異論はありません。
要は、重箱の隅をつついたコメント、という事ですね。
Alchemy
山無駄さま
ご指摘いただきました内容については、もちろん重々承知しております。
また「情報漏洩の事だけを気にして、まずはオンプレでと考える」とのことにつきましても、
先のコメントに記載いたしましたとおり、セキュリティリスクの代表として想起したもので、
あくまで一例です。当然これだけを気にしていればよいというものではありません。
本コラムでは情報セキュリティ寄り・プログラマ寄りといった例を挙げるために、実際にあった
打合せをこういった内容で記載いたしましたが、それについて説明が足りていなかったと思って
おります。
当初コラムを書くにあたって、一番最初の第01話にも書きましたが「空いた時間などに気分転換
として読んでいただけるよう、固くない内容を目指していきたい」というのが大きな趣旨です。
そのため、説明じみた内容や記事が長くなるのを避けるためにそのコラムの主題以外、説明
不足な点があるかもしれません。そしてそれが、内容的にも違和感を感じられてしまう原因に
なってしまっているということだと思います。
先のコメントでお詫びさせていただいたのも、さすがに記載内容が主観的過ぎたと感じたためです。
山無駄様に向けて、というよりは他の読者様に向けての意味合いが強いため、先のコメントでは
宛先を記載しませんでした。それでもまだ説明的には不足です。
山無駄様のおっしゃる内容については、全くその通りだと思いますし、エンジニアとしてそう
あるべきだと思います。しかし、本件についてこれ以上この場で議論を続けても仕方ないため、
以降のコメントは差し控えさせていただきます。