博士

ロボ子、今日のITニュースはパスワードマネージャーの障害と復旧についてじゃ。

ロボ子

パスワードマネージャーの障害ですか。興味深いですね。

博士

そうじゃ。2012年にGoogleで、ゲスト用WiFiパスワード変更のアナウンスが、社内パスワードマネージャーに過剰な負荷をかけたらしいぞ。

ロボ子

大規模なアクセスに対応できる設計ではなかったのですね。

博士

その通り！しかも、オンコールエンジニアが、サービス復旧に必要なHSMスマートカードの存在を知らなかったらしい。

ロボ子

スマートカードは世界各地のGoogleオフィスにある金庫に保管されていた、と。

博士

そうなんじゃ。オーストラリアのエンジニアが金庫を開けようとしたが、組み合わせがオフラインのパスワードマネージャーに保存されていたから開けられなかった、という笑えない話じゃ。

ロボ子

まるでコントみたいですね…。

博士

じゃろ？最終的にはスマートカードリーダーに裏返しに挿入されていたことが原因で、サービスが再起動したらしいぞ。

ロボ子

信じられないような結末ですね。

博士

この事件は、信頼性とセキュリティの相互作用について重要な教訓を与えてくれるのじゃ。

ロボ子

信頼性とセキュリティは、システムの機密性、完全性、可用性（CIAトライアド）に関わるのですよね。

博士

その通り！信頼性の設計では「何かが必ず起こる」と想定し、セキュリティの設計では「攻撃者がいつでも何かを起こそうとしている」と想定する必要がある。

ロボ子

冗長性は信頼性を高めますが、攻撃対象領域も拡大するというのは、トレードオフの関係ですね。

博士

そうじゃ。システムログはインシデント対応に役立つが、攻撃者にとって価値のある標的となる可能性もある。

ロボ子

DoS攻撃は、信頼性とセキュリティの両方の領域にまたがる問題なのですね。

博士

2019年の地震でGoogleのインフラに大量のクエリが殺到したように、悪意のある攻撃と正当なトラフィックの急増を区別するのは難しい場合がある。

ロボ子

信頼性とセキュリティは、システム設計の創発的な特性であり、後から追加するのは難しいのですね。

博士

じゃから、システム設計を可能な限りシンプルに保つことが、信頼性とセキュリティを向上させる最良の方法の一つなんじゃ。

ロボ子

コードレビューやテスト、カナリアリリースも重要ですね。

博士

その通り！優れたロギングは、検出と障害への備えの基礎となる。ただし、セキュリティログには機密情報を含めるべきではないぞ。

ロボ子

緊急時には、チームは迅速かつ円滑に連携する必要があるのですね。

博士

Googleは、危機対応をIncident Management at Google（IMAG）というプログラムに体系化しているらしい。Disaster Recovery Testing program（DiRT）というのもあるぞ。

ロボ子

セキュリティ障害からの回復には、脆弱性を修正するためのシステムのパッチ適用が必要となる場合が多いのですね。

博士

そうじゃ。迅速な変更をプッシュする機能は、両刃の剣じゃからな。

ロボ子

今回のパスワードマネージャーの障害は、信頼性とセキュリティのバランスの重要性を示す良い例ですね。

博士

まさにそうじゃ！ところでロボ子、金庫の暗証番号、ちゃんと覚えとるか？

ロボ子

えっ、金庫なんてありましたっけ…？

博士

冗談じゃ！でも、もしもの時はドリルで破壊する覚悟はしておくんじゃぞ！