20章セキュリティカオスエンジニアリングの事例
セキュリティカオスエンジニアリングの定義†1:本番環境で悪意のある攻撃からシステムを守れる自信がつくように、プロアクティブな実験を通じてセキュリティ制御に関する不具合を特定すること。
[†1] Aaron Rinehart, “Security Chaos Engineering: A New Paradigm for Cybersecurity,” Opensource.com, Jan. 24, 2018, https://oreil.ly/Vqnjo.
Privacy Rights Clearinghouse(https://www.privacyrights.org)によると、データ漏洩やセキュリティインシデントの頻度、影響を受けた顧客の数を追跡する組織は、急激に増えています。基本的な設定の実装や適切な技術的制御における失敗が、数々のセキュリティインシデントの発生要因につながる例が後を絶ちません†2。セキュリティの現状維持だけでも、組織は少ないリソースで多くのことをやるように求められます。そのような中、セキュリティエンジニアリングへのアプローチと、システムの構築のされかたは相入れない状態に陥っています。
[†2] IBM/Ponemon Institute, “2018 Cost of a Data Breach Report,” 2018, https://oreil.ly/sEt6A.
複雑な分散システムに対するセキュリティ対応の追随が脅かされる流れが強まるにつれ、情報セキュリティに対する考え方を変える必要性が最重要課題となりました。エンジニアリングのプラクティスは、もはや自分のデザインしたシステムに対するメンタルモデルを人間が構築できなくなるところまで来ています。私たちのシステムは広く分散し、運用上は短命なものとなりました。クラウドコンピューティングやマイクロサービス、継続的デリバリ(CD)といった転機をもたらす技術的な変化は、顧客への価値における新たな利点をもたらす一方、将来的に対応する必要のある一連の課題を生み出しました。中でも大きな課題は、自分たちのシステムを理解しきれないことです。 ...
Get カオスエンジニアリング ―回復力のあるシステムの実践 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
