セキュリティレビューという仕事のリアル

セキュリティレビューとは

私はセキュリティレビューの仕事をしています。

セキュリティというと、最新技術を駆使して攻撃を防ぐ、いわゆる“キラキラした専門職”をイメージする人もいるかもしれません。
しかし私の仕事は少し違います。

システムのインフラやアプリに変更があるたびに設計書を確認し、企業のセキュリティ基準に違反していないかをレビューするのが主な業務です。

設計書には、実際に機器へ設定を入れる直前の「最終形」が書かれています。
つまり、出来上がる直前の設計図を見る仕事です。

ただ、単にチェックリストに照らして○×をつけるだけでは不十分です。

といった問いを立てながら読む必要があります。

すべてを未然に防ぐことはできないかもしれませんが、少なくとも見逃さない努力を積み重ねることが、組織のリスクを減らすことにつながります。

地味に見えるかもしれません。
でも、設計書レビューは組織の土台を支える重要な仕事です。

設計書に書かれた一行の設定やフラグでも、その背景や意味を正しく読み取ることができるかどうかで、システム全体の安全性が変わることがあります。
そこには経験やノウハウが必要で、チェックリストだけでは補えない部分があります。

この地味だけど奥が深い仕事のリアルを、これから少しずつ共有していきたいと思います。