Security Chaos Engineering のまとめ記事
Security Chaos Engineering 本の個人的なまとめ記事です。
この本は、セキュリティカオスエンジニアリング(SCE)という新しいサイバーセキュリティのパラダイムを紹介しています。SCEとは、制御されたがランダムな実験を通じてシステムのサイバー耐性を評価し、インシデントや障害になる前に潜在的な失敗を特定することで、システムが悪意のある状況に対して防御できるという自信を築くことを目的とした分野です。
この本は、以下の9つの章から構成されています。
1. Resilience In Software And Systems
複雑なシステムにおけるレジリエンス(回復力)とは何か、どのように失敗が発生するか、レジリエンスを維持する方法、セキュリティ戦略を誤らせる一般的な対処を避ける方法について説明しています。
2. Systems-Oriented Security
セキュリティにおけるシステム思考へのシフトについて説明し、システムの振る舞いに関するメンタルモデルを洗練させる方法やレジリエンス評価を行う方法を紹介しています。また、SCEと伝統的なサイバーセキュリティとの比較も行っています。
3. Architecting And Designing
ソフトウェア配信の「最初」のフェーズであるシステムのアーキテクチャと設計について考えます。組織の特定の文脈に基づいて努力を投資する方法や、カップリングや線形性を緩めることでレジリエンスを高める方法について説明しています。
4. Building And Delivering
レジリエンスを定義する5つの特徴(臨界機能性、安全境界、時空間における相互作用、フィードバックループと学習文化、変化への柔軟性と開放性)をソフトウェア配信の各フェーズ(開発、ビルド、テスト、デリバリー)で実践する方法について説明しています。
5. Operating And Observing
本番環境でシステムが稼働している間にレジリエンスを維持する方法について説明しています。SRE(サイト信頼性エンジニアリング)とセキュリティの目標がどのように重なっているかを明らかにし、セキュリティオブザーバビリティ(観測可能性)の異なる戦略やスケーラビリティがセキュリティに与える影響について議論しています。
6. Responding And Recovering
インシデント対応と回復の際に判断を歪める可能性のあるバイアスについて掘り下げます。また、インシデントレトロスペクティブ(振り返り)を通じてシステムのレジリエンスを向上させる方法や、インシデント対応チームの役割や責任についても説明しています。
7. Platform Resilience Engineering
プラットフォームレジリエンスエンジニアリングという概念について紹介し、プラットフォームチームがSCEを実践する方法やメリットについて説明しています。また、プラットフォームチームが他のチームと協力する方法や、プラットフォームレジリエンスエンジニアリングの将来の展望についても述べています。
8. Security Chaos Experiments
SCEの実践的な側面であるセキュリティカオス実験について詳しく説明しています。セキュリティカオス実験とは、システムに対して制御されたがランダムな攻撃や障害を発生させることで、システムのレジリエンスを評価する方法です。実験の設計プロセスや実行方法、測定方法、分析方法などについて具体的な例を交えて解説しています。
9. Security Chaos Engineering In The Wild
SCEを実際に導入している企業の事例を紹介しています。Capital OneやCardinal Healthなどの大手企業がどのようにSCEを活用してサイバー耐性を高めているかを詳しく見ていきます。また、SCEの導入にあたって直面した課題や解決策、得られた成果や教訓などについても共有しています。
この本は、セキュリティカオスエンジニアリングという新しいサイバーセキュリティのパラダイムを紹介するだけでなく、実践的な知識や事例も豊富に提供してくれます。セキュリティカオスエンジニアリングは、複雑なソフトウェアシステムにおけるレジリエンスを維持するための有効な手段になりそうです。
参考
Discussion