Scribble at 2023-06-21 10:59:15 Last modified: 2023-06-21 11:44:45

B.K. Sarthak Das と Virginia Chu が "DevSecOps" を coined する、短い解説書だ。Google のエンジニアである B. K. が AWS の実務について Amazon の Chu と本を書くのは妙な気もするが、それだけ割り切って（AWS という状況せってはありながらも）情報セキュリティについて焦点を合わせているということなのだろう。

それにしても、実質的に100ページの本なのだが、アマゾンでも6,000円弱、紀伊国屋のオンライン・ストアに至っては9,000円くらいするのは、インフレでもなかなか給料が上がらない中小零細の人間にとっては閉口するような値段だ。

なお、最近はエンジニアを中心に英語そのものの国際化やグローバル化が進んでいて、当サイトで紹介した Plain English Movement とは別のアプローチで英語を平易に、つまりは共通かつシンプルに使えるような動きがあって、こういう技術書でも非常に読みやすい。論旨もつかみやすいし、単語もたぶん英検で言えば準２級くらいで読めるようになると思う（辞書を使うなら、文法だけで言えば高一でも読めるだろう）。

中身をなにも紹介しないのはもったいないので、少しだけ書いておく。まず、この書名にも使われている "code" という言葉だが、あまりにもプログラミングの脈絡でソフトウェアの一部分だと理解している人が多いので、「プログラムとして書かれたセキュリティ」などと誤解する人がいるかもしれない。しかし、本書で言う "security as code" という表現は、殆ど "security by design" と同じ意味で使われている。よって、この "code" とは「規則」であり、企業の倫理規則（"moral code"）などと同じ意味である。で、実際に AWS の環境においてアクセス制限とかモニタリングとか特権管理とかの具体的な運用の話が大半を占める。

こういう本を読んでいて、あらためて感じるのは、所定の理屈や方針に従って準備したり機器やサービスを揃えて運用体制も整えるには、それが建前であろうとなかろうとコストが必ずかかる。そして、コストがかかるからこそ、われわれ情報セキュリティや個人情報保護管理者は一定の予算や投資や責任を組織に求める。そして、そこには組織の長をはじめとして会社の全員を可能な限り納得させられるような理屈なりパフォーマンスも求められるわけである。僕の場合は、広告代理店案件で大企業のキャンペーンに使うシステム開発やサーバ構築や運用の実績があったうえでセキュリティの担当者をしているし、実際にいまでも電通案件で AWS での運用業務を担っているからこそ、あるていどの説得力がある（そうでなければ、50代のオッサンが自ら distinguished developer だなんて、言うわけないだろう）。しかし、そういう案件に関わる機会が少なくなってくると、新入社員の多くは「偉そうなことを言ってる事務屋のおじさん」だとしか思わないわけである。すると、昔の実績で説得できていた人々だけではなく、そういうことに訴えなくても納得できるような理屈とかパフォーマンスが必要になろう。そして、それは単に「原則が大切だ」とか「先に不安を取り除こう」などとお題目を声高に語っているだけではいけない。そういう一般論は、たぶん多くの人が常に見聞きしているだろうし、それでも事故は起きるということも知っているだろう。

そこで、本書では DevOps として自社のシステムなりサイトを運用している人々と連携して、どのようにセキュアな作業環境を構築したり実装したり、あるいは少しずつ分割されたサービス群を利用して、少しずつ強化していくかという、色々な手順なりテクニックを紹介している。しかし、そういうことだけを AWS という特殊な環境に依存して議論しているだけではなく、たとえば第7章では職能ごとにエージェントを設定して、業務プロセスやコミュニケーションの方針についても・・・あれ？ これで終わりなのか・・・ともあれ、１時間もかからずに読了できるので、値段はともかく一読の価値はあると思う。

一点だけ難点を挙げておくと、やはり情報セキュリティの実務家として眺めると、方針とか原理原則の話は体系的でもなければ議論の底が深いわけでもないので、やはりこの分野に配属された新人向けの本かなと思う。AWS で利用できる自動化ツールの情報は参考になったが、それにしても詳細かつ幅広いケースを想定しているわけでもないので、やはり入門の域である。