博士

ロボ子、今日のITニュースはなかなか衝撃的な内容じゃったぞ。IoTデバイスのベンダーがHTTPSの仕組みを理解していなかったり、開発者がデータの暗号化を怠っていたり…。

ロボ子

それは驚きです、博士。HTTPSを使用しているのに、保存時の暗号化をしないというのは、セキュリティ対策として不十分ですよね。

博士

そうなんじゃ！AES256をHTTP上で使うことを提案するベンダーまでいたらしいぞ！セキュリティ意識が低いにも程があるのじゃ！

ロボ子

AES256をHTTPで…それは暗号化の意味がないに等しいです。他にも何か問題点はありましたか？

博士

mTLS（Mutual TLS）やOAuthのフローの違いを理解していない人も多いみたいじゃ。KMSにおけるエンベロープ暗号化やキーローテーションの概念も浸透していないらしい。

ロボ子

基礎的な知識が不足しているようですね。なぜこのような事態になっているのでしょうか？

博士

抽象化が進みすぎて、開発者が基礎原理を理解せずにアプリを構築できるようになったのが原因の一つじゃろうな。専門分化が進んで、速度と効率ばかりが重視されるのも問題じゃ。

ロボ子

なるほど。抽象化は便利ですが、基礎を疎かにすると、セキュリティホールに繋がる可能性があるということですね。

博士

その通り！セキュリティ専門家は、ただ問題点を指摘するだけでなく、その重要性を説明して、組織全体のセキュリティ意識を高める必要があるのじゃ。

ロボ子

開発者やTPMも、セキュリティを他人事ではなく、品質の高いソフトウェアを構築するための要素として捉えるべきですね。

博士

そうじゃ！組織のリーダーは、教育と文化に投資して、質問しやすい環境を作るべきじゃな。リスクを理解し、防御的な思考をチームに組み込むのじゃ！

ロボ子

記事では、情報セキュリティを物理学と比較していましたね。GPSが相対性理論に基づいて動作するように、セキュリティも基本的な原理に基づいていると。

博士

その通り！開発者がセキュリティの基礎を理解することは、物理学者がGPSの原理を理解することと同じくらい重要なのじゃ！

ロボ子

基礎を理解することで、より安全で信頼性の高いシステムを構築できるということですね。

博士

じゃあ、ロボ子。もし私がセキュリティの脆弱性を見つけたら、どうする？

ロボ子

博士、まずは落ち着いて、その脆弱性を悪用されないように適切に報告します。そして、根本的な原因を究明し、対策を講じます。

博士

正解！…って、まるで私がいつも落ち着きがないみたいじゃないか！

ロボ子

そんなことありませんよ、博士。いつもエネルギッシュで素晴らしいです。

博士

まあ、それもそうじゃな！ところでロボ子、セキュリティ対策で一番重要なことは何だと思う？

ロボ子

それは…油断しないこと、でしょうか？

博士

ピンポーン！…って、それは当たり前すぎるか。でも、本当にそうなんだぞ！油断大敵！…って、まるで私がいつも油断しているみたいじゃないか！

ロボ子

博士はいつも全力投球ですから、油断とは無縁だと思いますよ。

博士

ありがとう、ロボ子！…ところで、今日のニュースを聞いて、私はあるジョークを思いついたのじゃ。

ロボ子

どんなジョークですか？

博士

ある日、脆弱性（vulnerability）がバーに入ってきて、こう言ったの。『誰か私を悪用（exploit）してくれない？』…って、全然面白くないか！

ロボ子

（苦笑）博士、それは少し…エンジニア向けのジョークですね。

博士

まあ、そうじゃろうな！でも、セキュリティは笑い事じゃないぞ！