はじめてのにき

_ セキュリティの人

大学の時、「セキュリティの人は変わった、気難しい方が多い。やっぱり攻撃とかを考えてると性格が悪い考えかたをしていくことになるのかな」などと先生が言っているのを聞いて、そんなもんかな、と思っていた

会社で働くようになって、多くはないけど、関わったセキュリティ専業の人は、全て良い人だった。グーグルは押しなべて平均より性格の良い人が多い集団だったと思うけど(おかげで僕は「貧すれば鈍する傾向が強い」の確信度を高めた)、その中で見ても良い人達だったように思った。

まあ偶然いい人ばかりと会ってたのかもしれない。実際、プロダクトを作っている人の「セキュリティレビューが厳しくて〜」みたいな愚痴だかなんだかを聞いた記憶も結構ある

けど、僕としては、ローンチを止める強い権限を持つだけに、好ましくないコミュニケーションをしていると仕事にならない、て感じなんじゃないかなあ、と思っていた。というのは、セキュリティというのはどこまでいってもトレードオフで、「薄い確率でセキュリティやばいからローンチできない！」て言い続けると永遠にローンチできないことになるので、そのあたりをちゃんと理解している人は、かなり丁寧に、問題点を整理しつつ、お互いの妥協点を探ってくれる印象があった。

たとえば、このシステムは A と B が良くなくて、 A は簡単だからなおしてほしい、 B は本当は X を使うのがスジなのだけど、それは結構大変でローンチが遅れてしまうから、とりあえず現状でいいけどハック Y を入れてゴマかえば attack surface はだいぶ減るから、ローンチ後に全力で X に置き変えてね、みたいな

逆に、セキュリティ本職でないけど詳しい人がセキュリティのアドバイスをしてくれてたこともあって、まあその人個人の資質が大きいのだろうけど、その人は原則論的な主張が強くて、やりにくいこともあった。その人はとても優秀なのにも関わらず、なかなか昇進できなかったのだけど、まあそのコミュニケーションスタイルのせいだろうなあ……と思っていた

なんだろうな、個人的には、実際のプロダクトに密接に関わる、完璧ではないが、費用対効果のうまい落としどころを探す……みたいなセキュリティが結構好き

(11:47)