ホーム
89フォロー
117フォロワー
![](/images/follow-button-off.48d7f47e.png)
![](/images/follow-button-on.6f2ba81f.png)
世界システム障害、クラウドストライクの検査ツールが欠陥見逃す
安藤 裕紀NewsPicks Engineer, Site Reliability
そもそも品質保証ツールが正常に動いていない場合にリリースをさせない(安全側に倒す)フェイルセーフの考え方で作られていれば問題は起きなかったのではと思いました。ITに限らずものづくりの基本だと思います。
カナリアリリース(石炭鉱山でガス漏れを検知するためにカナリアが使われたことに由来)という少数のユーザーから展開する手法もソフトウェアのリリース方法としては一般的で、NewsPicksでも採用しています。
他の方もコメントされている通り、この規模と社会的責任を持つ企業としては品質保証に対する備えやガバナンスが一般水準から見ても甘いように思います。株価の下落が30%で済んだのは意外でした。
テスト前の一夜漬けに成功した日本、AI活用は正念場へ-松尾豊教授
安藤 裕紀NewsPicks Engineer, Site Reliability
経済産業省の「2025年の崖」は、レガシーシステムをモダナイズしてコントロールできるようにしたりSIerに多額の再構築/保守費用を支払う構造から抜け出しておかないと、デジタルトランスフォーメーションに投資できなくなって事業の競争優位性を維持できず衰退していくという危機感の提示だったと理解しています。
https://www.meti.go.jp/shingikai/mono_info_service/digital_transformation/pdf/20180907_01.pdf
“経済産業省はこれを「2025年の崖」と位置付け、デジタル化への体制が整わなければ25年以降、年間12兆円の経済損失が生じる可能性を指摘している。”
企業のレガシーシステムはモダナイズできたのでしょうか。SIer依存のシステム保守の重いコスト構造からは脱却できたのでしょうか。
AIの活用が進んでいればテスト前の一夜漬けで「2025年の崖」を乗り越えることに成功というのは、よくわかりませんでした。
「2025年の崖」を乗り越える準備ができたかどうかは、既存システムやデータの整備により筋肉質になれたかどうか、デジタルトランスフォーメーションに投資できる準備が整ったかどうかだと思います。AIの活用のような飛び道具だけではなく、「既存システムの手の内化」という泥臭い取り組みも重要です。
東京ガス“個人情報約416万人分流出か 子会社に不正アクセス”
安藤 裕紀NewsPicks Engineer, Site Reliability
「子会社のネットワークに不正アクセス」と聞いてVPN機器からの侵入を想起しました。JAXAも昨年被害を受けていますし、警察庁によるとランサムウェア被害の感染経路の6割以上がVPN機器からの侵入とのことです。
“東京ガスは、子会社のネットワークに不正アクセスがあり、取引先から提供されていた個人情報およそ416万人分が流出した可能性があると発表しました。”
「社内からのアクセスなら認証なし/永続セッションで利用可能」な社内サイトやファイルサーバーを運用している企業は多いと思いますが、マルウェア感染やVPN機器からの侵入に対しては無防備です。
すべての機密情報には社内からのアクセスであってもセッション期限つきの多要素認証を導入するなど、インターネットアクセスを前提としたシステムと同等のセキュリティ対策を行う必要性を感じました。
JAXAにおいて発生した不正アクセスによる情報漏洩について
https://www.jaxa.jp/press/2024/07/20240705-2_j.html
和5年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
KADOKAWAグループ、セキュリティエンジニア募集中 最大年収800万円 「0→1を経験」
安藤 裕紀NewsPicks Engineer, Site Reliability
メンバークラスのエンジニアで592万〜800万なら好待遇だと思いますが、ポジションが「【ISMS】情報セキュリティコンサルタント~役員直下組織/内部監査/情報ガバナンス担当~」ということで、セキュリティ投資や施策に関する合意形成と意思決定支援までを職務に入れているように読み取れました。
私は隣接職種なので業界のセキュリティエンジニアとも交流があり相場感覚もなんとなくありますが、ジュニアレベルと明示されていなければこの条件の募集はかなり厳しいように思います。
グリコのSAPエンジニア募集の時にもSNSでは「経営層のITリテラシーの欠如とシステムの軽視。なるべくして障害になった」といった論調の批判が多く出ていました。有事のタイミングでは、募集ポジションの公開という採用活動も、システム障害やセキュリティインシデントの社外コミュニケーションの一つと捉えて慎重に行う必要があるのではと思いました。
![](/images/loading.99efa390.gif)
NORMAL
投稿したコメント