物理的にセキュアなデザイン

久々に某所の某電算センターに行ってきた。最初にあそこに入ったときからもう何年も経ったなあ。最初は「悪さをすると連行される」と脅されたものです…

システムのセキュリティーにはソフトウェアのセキュリティーも当然必要だけど、こういうデータセンターの物理的なセキュリティーも非常に重要ですね。細かいことは書けないけどね。

ただ、中に入るとこういう悪さもできそうだなあ、といろいろと想像はしてしまうわけです。バレないように何かをやるってのは難しいし、データの持ち出しはできないといって良いけど、テロのつもりでやるのであればできることは結構ある。でもって、比較的小規模なテロであっても業務に大きな支障を及ぼすことが出来れば世の中にも何がしかの影響を与えることができるよね。

というあたりを考えると、物理的にセキュアである、というのはそこにいる人間が信頼に足る、ということに近いです。これが結構難しい。システムの運用なんて正直労働としてはブルーカラーに近い。付加価値はあまりなく、コストでしかないから、給与の水準も大したものにはならない。ギャンブルで身を持ち崩して自棄になった奴が居たりすると怖いという…

自前のデータセンターですらそういうリスクを持っているわけで、いわんやアウトソースをや。いくら問題が起きた時に損害賠償請求できる契約になっていたとしても、そもそもその前に会社が潰れるような被害を受けたら元も子もないわけです。

だからといって自前でかつ全自動化するコストは捻出できないだろうし、仮にそうであってもハードの故障が起きないわけはない。まあ仮に僕がどこかの会社に復讐しようと思ったらハードのエンジニアになって機会を伺うかなあw

とはいえ、例えばクラウドみたいなものは物理的な構成を上手いことやれば、小規模テロの影響を受けないくらいにはできるようになってきているように思えます。

今の社会のIT依存度はどうしようもなく高いので、一昔前に「システム止まると会社が死ぬ」ような状況が多くなってきているように思えるんですよね。その中で、システム屋、特に運用のコストは削減ばっかり意識されているけれども、ここぞという時にきちんとしたコストをかけてない会社は踏ん張りがきかないんですよね。リスク管理も大きく叫ばれる昨今ですが、システムリスクの評価を適正に行うことは重要です。
金融なんかはコストかけすぎなんですけど、それでもかけるポイントがなんか違うんだよなあ。難しい。