ちょっと唖然としたのでエントリーを上げてみる

まあぶっちゃけ
Amebaのセキュリティ対策について

そもそも脆弱性を意識しているエンジニアがいないから、第三者に頼ってるだけじゃん？ってのが大体の感想だろう。このアメーバのコメントでも「第三者検証まで導入している」というのが免罪符のように語られているのが印象的だ。
これには奥深い物も感じていて、そういう第三者検証を導入するからこそ、現場エンジニアの脆弱性に対する意識や主体性、責任感を欠如させている側面があるのでは？と感じる。

ちゃんと金を払って第三者検証を導入しているアメーバ自体は偉いと思う。上がそれなりには脆弱性に対してプレッシャーを感じている証ではあるだろう。
けれど得てしてそういうプロセスを入れることで現場での「どうせ第三者検証プロセスが入るし」「テストチームがチェックしてくれるし」という意識にも繋がりやすい。更に言えばマネージメント層においても「金を払って検証させているのだから問題が発生したら第三者検証業者の問題だ」とのエクスキューズにも繋がりやすい。

テスト全般では当然のことなのだけど、現場のプログラミングチームが主体性と責任を持てないとバグとか脆弱性は減らないんじゃないかな。だいたい、第三者がコードも見ずに脆弱性なんてまず評価できないと僕は思っている。ブラックボックス・テストでホワイトボックス・テストは兼ねられないはずだから。
はまちちゃんも言っているように、どこが悪いだとかどこを直すではなく全体として脆弱性対策が取られていないというのは、現場が全く意識していなくて、第三者検証部隊はブラックボックステストで分かる範囲しか試して無くて、マネージメントは金を払って責任転嫁できると安心している証左だろう。

この辺のモチベーション維持はまさしくマネージメントの範疇であって、いろいろな方法はあると思うけど例えば、バグや脆弱性などの問題は開発チームの責任であって理由は何であれそのチームが確実に対処すること、問題を少なくするのが開発チームの評価であること、一方テストチームの評価はバグ発見率で行うが一方でバグを見逃したとしても何ら責任を取らなくてよい、という体制でチーム運営したことがある。当たり前のことではあるんだけど、意外にここを明快に出来ていないチームも多い。
結果としてどうだったかはちゃんと効果検証できていない(難しい)ので何とも言えないのだけど、そうした主体性を持たせるチーム作りという発想がないんじゃないかな。
せっかく予算も十分にあるだろうに、もったいない。
方向性のない過保護は結局主体性を腐らせてしまうのだと思う。

一方で経営層とかは、テストチームや脆弱性専門業者も入れて金を使ってるのに何で？？とか思って下に当たったりしてるんだろうね。ご愁傷様です。
そういう会社や組織を変えるにはどうするべきなんだろう？と以前考えたことがあるけど、今でもよくわからないです。

あまりこういう会には行かないんですが、ブロードバンド推進協議会が主催する「オープンプラットフォームの進展で期待したいモバイル・ブロードバンドビジネスの将来展望」(長い！)というパネルディスカッションを見てきました。
参加してみたくなったのはメンバーがなかなか面白そうだったから。

オープンプラットフォームの進展で期待したいモバイル・ブロードバンドビジネスの将来展望

■日時

2009年1月9日(金) 16:30開始

■会場

笹川記念会館

■主催

有限責任中間法人ブロードバンド推進協議会

■パネリスト

谷脇康彦(総務省情報通信国際戦略局　情報通信政策課長)

松本徹三(ソフトバンクモバイル株式会社　取締役副社長)

夏野剛(慶応義塾大学　特別招聘教授)

山根康宏(携帯電話研究家／ジャーナリスト)

ね、面白そうでしょう？
夏野氏はdocomoは退職済みですが、あの「iモードの生みの親」です。本人は「前職のことなので」とは言ってましたが発言自体はキャリアの立ち位置そのままでした。
山根さんは言わずと知れたあの山根さんです。初めて生山根さんを見て、ちょっとだけミーハー視線を浴びせてしまったのは内緒です。
このように官僚代表とキャリア代表と携帯研究家(笑)が一堂に会するパネルディスカッションもそうそうは無いでしょう。
パネリストはかなり豪華でしたが思いもよらずまさかあのようにぐだぐだな経過を辿り、そしてあんなまさかのどんでん返しがあろうとは。
時系列で簡単ですが内容を紹介してみます。

Continue reading →