ブログ

前回の記事で「キラキラした専門職」という言葉を使いましたが、世間一般がイメージするセキュリティ対策は、WAFやIDSなどの防御系ツールやウィルス対策ソフトだと思います。確かにこれらは重要ですが、「それだけで十分か？」と問われると、答えは必ずしもイエスではありません。ここで登場するのが、いわゆる「レビュー」というプロセスです。

セキュリティレビューのイメージと現実

多くの人がセキュリティレビューと聞くと、まず思い浮かべるのはセキュアなコーディングとなっているか（コードレビュー）でしょう。しかし、私の仕事は少し違います。私が行うのは「設計書レビュー」です。しかも、技術的な正しさや仕様上の正確さではなく、企業のセキュリティ規程に照らして、準拠しているか、違反していないかを確認することが目的です。言い換えれば、レビュー対象は「システムの安全性」そのものではなく、あくまで「ルールに沿った設計かどうか」に重きがあります。

技術だけでは見えない視点

設計書レビューの面白いところは、技術的に正しくても規程に沿っていなければ指摘される点です。逆に、現場が便利だと思って工夫している部分が、規程とぶつかることも少なくありません。セキュリティと利便性は往々にして反比例するため、「これをやると業務が回らなくなる」「工数が膨大になる」と現場から意見が出るのは自然です。だからこそ、レビューの立場では単なる「正しい・間違っている」の判断ではなく、規程と現場のバランスをどう取るかが問われます。

設計書レビューの価値

こうした視点で設計書を見直すと、単なる防御技術の導入だけでは気づけない課題が浮かび上がります。例えば、パスワード管理の運用やアクセス権限の付与ルールなど、コードには現れないけれどシステム全体の安全性に直結する部分です。これを前もってレビューしておくことで、後になって手戻りが発生するリスクを大幅に減らすことができます。

つまり、セキュリティレビューは「技術的に正しいことを確認する場」ではなく、「規程に沿っているか、違反がないかを確認する場」と理解することが肝心です。コードレビューやツールによる防御ではカバーできない、現場の業務とセキュリティ規程の間にあるギャップを埋めるプロセス――これが設計書レビューの真価だと言えます。

セキュリティレビューとは

私はセキュリティレビューの仕事をしています。

セキュリティというと、最新技術を駆使して攻撃を防ぐ、いわゆる“キラキラした専門職”をイメージする人もいるかもしれません。
しかし私の仕事は少し違います。

システムのインフラやアプリに変更があるたびに設計書を確認し、企業のセキュリティ基準に違反していないかをレビューするのが主な業務です。

---

設計書を読むということ

設計書には、実際に機器へ設定を入れる直前の「最終形」が書かれています。
つまり、出来上がる直前の設計図を見る仕事です。

ただ、単にチェックリストに照らして○×をつけるだけでは不十分です。

• この設定で本当に安全か
• この変更は、想定していない影響を生まないか

といった問いを立てながら読む必要があります。

すべてを未然に防ぐことはできないかもしれませんが、少なくとも見逃さない努力を積み重ねることが、組織のリスクを減らすことにつながります。

---

地味だけど奥が深い仕事

地味に見えるかもしれません。
でも、設計書レビューは組織の土台を支える重要な仕事です。

設計書に書かれた一行の設定やフラグでも、その背景や意味を正しく読み取ることができるかどうかで、システム全体の安全性が変わることがあります。
そこには経験やノウハウが必要で、チェックリストだけでは補えない部分があります。

この地味だけど奥が深い仕事のリアルを、これから少しずつ共有していきたいと思います。

Welcome to WordPress. This is your first post. Edit or delete it, then start writing!