ITイノベーションの流れは大体こんな感じではないでしょうか:
1アナログのものをデジタル化、この段階はまだ手動作業が多く、Windows Officeなどの電子ファイルが成果物
2デジタル化された情報をコンピュータシステムにより管理され、大体webアプリ(昔だとクライアント・サーバ系のDOS/WINアプリ)や何らかシステムやDBが導入されるケースが多い。構造化されたデータとの言える
3モバイルインターネットやIoTの普及によりビッグデータを処理しないといけなくなり、パタンマッチングやランキング的なロジックがシステムに導入されるため、一部自動化が普及し始める
4より複雑な計算のため、機械学習が普及し、今まで一部手動操作や人間判断の処理もアルゴリズムによって自動化され、AI自動化と呼ばられる段階に
情報セキュリティマネジメントも似たような進化プロセスが必要で、
1業務や顧客管理やサービス提供にで使われるあらゆる情報が見える化され、電子ファイルの管理台帳が作成される
2一部の情報をwebツールで管理される
3システムや業務端末の監査ログの一部が監視され、パタンマッチングによりアラートができるようになる。場合によって自動化される処理が走り、人間が行う処理がだいぶ減少する
4あらゆる情報をAI自動化され、人間がコンピュータシステムのアルゴリズムチューニングやログ統計の監視に専念する
そういう意味ではこれからやらないといけないことが山ほどあるね。
開発スタイルの変化について
1waterfall的な企画→システム設計→詳細設計→テスト→リリース→運用開発フローに基づくセキュリティ管理が時代遅れ
2アジャイルにしても1−2週間単位のリリースだから、その都度のセキュリティ相談がありえない
3CI/CD/マイクロフォーサーズ化/コンテナー化により、一日複数回リリースが当たり前になる
4ソースコードがコミットされるタイミングでセキュリティ診断が必要(CI)
5情報区分により自動セゲメント、クラスター設定(CD)
があれば理想かもしれないね。
Comments