kubell Creator's Note

ビジネスチャット「Chatwork」のエンジニアのブログです。

ビジネスチャット「Chatwork」のエンジニアのブログです。

読者になる

漫画フラジャイルから見たプロダクトセキュリティ

プロダクトセキュリティ部の西川(id:cw-nishikawa)です

うちの猫の名前は「ほろ」と「まみ」です。

この記事はChatwork Advent Calendar 2021の14日目の記事です。

今日は漫画「フラジャイル 病理医岸京一郎の所見」とプロダクトセキュリティ部という題で適当に書いていきますが、 若干のネタバレを含みますのでご了承いただける方のみ読み進めていただければと思います。

フラジャイル 病理医岸京一郎の所見

みなさん、「フラジャイル 病理医岸京一郎の所見」という漫画をご存知でしょうか?

2016年に長瀬智也さんの主演でドラマが放送されていて存在自体は知っていたのですが、 漫画に関しては読んだことがなく、つい先日、11月末でChatworkを退社したTさんからご紹介いただいて読み始めました。

病理という言葉はなかなか聞きなれない単語かと思いますが、病理学というのをWikipediaで調べると下記のように書かれています。
病理学(びょうりがく、英: pathology)とは、病気の原因、発生機序の解明や病気の診断を確定するのを目的とする、医学の一分野である。
出典:https://ja.wikipedia.org/wiki/%E7%97%85%E7%90%86%E5%AD%A6

ということで、フラジャイルはここで書かれている病理学についてを漫画という形で表現しています。

フラジャイルとプロダクトセキュリティ

なぜ、この話をブログに書こうかと思ったかというと、
「病理医ってプロダクトセキュリティと似ているなー」
と漫画を読みながら感じたからです。

では、どういうところが似ているかですが、一般的なお医者さんは患者さんを相手にしていますが、病理医は直接的に患者を相手にするというよりは医者を相手にしています。 それはプロダクトセキュリティも一緒で、基本的に直接ユーザーを相手にすることってないんですよね。開発者や運用の人たちと向き合うことが多く、ユーザーに直接的に影響を与えることはほぼありません。 フラジャイルの中で、宮崎先生という病理医1年目の新米の先生が、病気の診断を確定するためにお医者さんたちと議論し合う場面があったりするのですが、そういうのもどこかで見た光景だなと思いながら見ています。私自身も開発者の方々とああでもないこうでもないと話をしたりするのでとても共感できます。

診断するということ

はたまた、わたしたちプロダクトセキュリティ部では、開発チームから相談を受けることがあります。 すごくざっくばらんに書くと「この実装で大丈夫か?」という質問が開発チームから来たとして、 「大丈夫です」というか「ここはこうしたほうがよい」とか、そういうのを正確に返す必要があります。

特にこの部分が病理の診断と似ていて、フラジャイルの主役である岸先生は10割正しい判断をすると言い切って病理診断をおこないます。 正直自分が10割と言い切れるかというのは難しいところもありますが、現状考えられる攻撃について考慮し、正確な情報を伝えるために時間を掛けて回答をおこなっています。

この回答が最後の砦感があって、いい加減に回答できないんですよね。ここで「大丈夫です」と言って、実は脆弱なコードだったりすると目も当てられないわけです。 ですので、回答は必然的に慎重になっていきます。

正確な解答には知識と経験がものをいうなと思うのですが、 宮崎先生も岸先生のところで教わっているということもあり、1年目にも関わらず10割の診断を出そうと心がけています。 そのために、宮崎先生は自分の足りない知識をほかの先生方に補ってもらおうと議論をおこないます。

さらに岸先生はこのように言っています
「臨床医と怒鳴りあいもする そして最後に必ず病理医も臨床医も納得する診断にたどり着く これが10割の診断です」

すごくわかりますね、仕事に誇りを持っているからこそお互い譲れないところがあるわけです。 ここを遠慮したりしてしまうと10割というのは無理な話で、結果誰が被害を被るかというと患者さんなわけです。 プロダクトでいうとユーザーです。ここを妥協したくないんですよね。

コミュニティ

ほかには、病理の学会が漫画の中で描かれていて、病理医の数が少ないといった点や病理学会のあとで懇親会としてみんなで飲みに行く描写がありますが、 セキュリティ業界も私の周りでは、こういう機会が少なくともコロナ禍前は非常に多かったので、共感できるポイントだったりします。 業界が狭いので、共通の友人が多く、初対面の人と仲良くなれたり、大体同じような苦悩を抱えていたりするので話が弾むのも似ているなと思いました。 宮崎先生はこの点について
「学会って 病理医が自分一人で戦っていないってことを確かめる場所なんじゃないかなって思いました」
と言っています。
これについても非常に共感できます。攻撃者に対し、いかにセキュリティ関係者が連携して、守ることができるかというところが同じだなと思っています。

最後に

ほかにもまだまだ共通点は見つけられるのですが、引用しすぎてしまうので、このぐらいにしておきたいと思います! そんなこんなでフラジャイル笑あり、涙あり、とても面白い漫画ですので、ぜひ読んでみてください。 そして、感想を共有しましょう!

最後までお読みいただきありがとうございました!

プロダクトセキュリティ部では一緒に働いてくれる仲間を募集しています! hrmos.co