先週水曜日のTwitter障害の中心的な特徴は、ユーザーへの「ツイート送信数の1日あたりの上限を超えています」というメッセージだった。障害監視サイト「ダウンディテクター」を運営するネットワーク企業Ooklaの広報担当者によると、2月8日午前10時(UTC)から、約5万人のTwitterユーザーからアクセス障害が報告されたという。
Twitterの障害は比較的少数のTwitterユーザーに影響を与えたが、大規模な人員削減を検討している組織にとっては、業務だけでなくセキュリティに対する危険性についての大きなメッセージとなる可能性がある。
一部の報道によると、Twitterの従業員数はわずか1,300人で、2022年10月にイーロン・マスク氏による買収が行われる前の約8,000人と比べて80%減少している。マスク氏がCEO就任当初に下した決断の中には、Twitterのデータセンターの一つを閉鎖し、従業員の半数を解雇することが含まれていた。
ジャンプ先:
- 今人員を削減し、後で支払う
- Twitter:テクノロジー業界の人員削減の異例と象徴
- GitHub の規模縮小により、セキュリティ自動化の余裕がなくなるのでしょうか?
- 元職員を攻撃の標的に
- 透明性はインシデント対応の鍵となる
- 少ないリソースでより多くの成果を上げることのリスク
今人員を削減し、後で支払う
伝えられるところによると、ここ数カ月の間に解雇されたり、自主的に退職したツイッター社の従業員の多くは、会社運営の基盤となるプロジェクトに携わっていたが、元従業員や観察者たちは同様に、従業員の解雇はまさに会社が経験しているような機能停止につながるだろうと予測していた。
ニューヨーク大学タンドン工学部のコンピュータサイエンス教授であり、世界中の組織で使用されているin-totoサプライチェーンセキュリティフレームワークやその他のプラットフォームの開発者であるジャスティン・カポス氏は、スポーツに例えてこう語った。
誰かがプロスポーツチームを買収し、周りを見回して『あのコーチ陣はプレーを指示してくれるから必要だけど、ストレングスコーチやコンディショニングコーチ、栄養士は必要ない』と言うとします。すると、そのチームが来週試合に出ると、先週と同じくらいの成績で、1週間後も同様の成績になるかもしれません。しかし、1ヶ月後には打撃を受け始め、やがて軌道が崩れ始めます。まさに今、まさにそれが起こっています。彼は、この大規模な分散型サービスを維持するための仕事を担っている人々を解雇したのです。」
参照: 2023 年のセキュリティ計画ではサプライ チェーンのセキュリティを見逃さないでください (TechRepublic)
サイバーセキュリティ運用会社アークティック・ウルフの最高情報セキュリティ責任者アダム・マレ氏は、今回の障害により、青い鳥の司令センターでIT担当者の席があまりにも多く空席になっている可能性が高いことに同意した。
「人員不足のチームが急遽変更を試みた場合、変更対象のコードに下流または付随的な依存関係が生じ、意図しない結果を招く可能性があります」とマレ氏は述べた。「アクセス権限の管理やユーザーのオフボードをタイムリーに行う能力が不足しており、障害発生時にはシステムを迅速に復旧させることができません。」
「リソースが不足しているチームでは、チームの限られた帯域幅を反映して優先順位が変わり、調整されるため、エンタープライズ スタック全体のツールのメンテナンスがおろそかになる可能性があります。」
Twitter:テクノロジー業界の人員削減の異例と象徴
Twitterの人員削減は、全従業員の極めて高い割合が解雇されるという点で特異なケースですが、同社だけではありません。TrueUpのTech Layoff Trackerによると、2023年には400社以上のテクノロジー企業が従業員を解雇し、127,359人が影響を受けています。さらに複雑なことに、過去数ヶ月の間に、Okta、SecureWorks、Snyk、Sophos、Lacework、OneTrustなどのセキュリティ企業も人員削減を進めています。
参照:2023年の主要なサイバーセキュリティ脅威(TechRepublic)
米国労働統計局は、セキュリティアナリストの求人が2021年から2031年の間に35%増加し、毎年19,500件の情報セキュリティアナリストの求人が出ると予測しています。
マレ氏は、レイオフはある程度、COVID-19パンデミック中の採用ラッシュ後の調整となる可能性があると述べた。
「実際、テクノロジー企業を含め、多くの企業がまだ採用活動を行っています」とマレ氏は述べた。「パンデミックの数年間に行われた大規模な採用活動を考えると、テクノロジー業界全体の人員削減はそれほど深刻ではないように思われます。もちろん、直接影響を受ける人々にとって、人員削減は常に大きな意味を持ちます。」
「良いニュースとしては、テクノロジー分野の人材にはまだ空きポジションがたくさんあるため、楽観的に考えれば、大規模な人員削減というよりは、人事異動程度で済むだろう」
GitHub の規模縮小により、セキュリティ自動化の余裕がなくなるのでしょうか?
最近発表されたテクノロジー部門の人員削減の中で、マイクロソフトのGitHubと競合企業のGitLabは、それぞれ10%と7%の人員削減計画を発表しました。フォーチュン誌の当初の報道によると、従業員数3,000人とされるGitHubは、完全リモートワークに移行する予定です。マイクロソフトのCEOは1月、2023年度までに従業員の5%に相当する1万人の人員削減計画を発表しました。
GitHub が削減を計画している 300 人の雇用は、全体から見れば比較的小さな数だが、このコード ハブは 1 億人を超える開発者によって使用されており、世界中のソフトウェア開発者が使用する 3 億 7,200 万以上のオープンソース コード リポジトリがあると主張している。
オープンソースコードの採用にはセキュリティ上の様々な影響が伴いますが、カポス氏によると、DevSecOpsの登場によりセキュリティ環境が改善され、開発者はAWSなどのクラウド環境においてセキュリティを犠牲にすることなく、より迅速に作業を進めることができるようになりました。これにより、少なくとも短期的には、同僚が減る可能性のあるスタッフの負担が軽減されます。
「DevSecOpsのパラダイムは、Kubernetesのおかげで軽量コンテナ化とマイクロサービスアーキテクチャから始まりました」とCappos氏は述べた。「セキュリティが追いついたのは、Kubernetesのようなものが簡単に設定ミスされないようにするために、人々が多くの努力を重ねてきたからです。」
「この分野には本当に素晴らしいソフトウェアプロジェクトやセキュリティプロジェクトが数多くあり、Kubernetesには非常に優秀なセキュリティチームがこの取り組みに取り組んでいます。彼らは、自ら足を撃ち抜くような事態を未然に防ぎ、DevOpsに関わる人々がその一環としてセキュリティ対策を講じられるよう、より優れたツールを定義しています。」
クラウド ネイティブ オブザーバビリティ企業 Chronosphere の共同設立者兼 CEO である Martin Mao 氏は、Prometheus が今日の Kubernetes モニタリングの事実上の標準であると指摘しました。
「私たちは、このプロジェクトの創設者の一人であるジュリアス・ボルツ氏と協力関係にあります」とマオ氏は述べた。「オープンソースへの投資は今後も続くと考えています。そして、すべての企業が問題を認識し、対処し続ける必要があることを認識し続けるでしょう。」
過去数か月間のテクノロジー業界のレイオフを見ると、企業内のどのチームも神聖視されることはほとんどなく、結局のところ、ほとんどの企業は規模と効率性のために、人間が行っているプロセスをさらに自動化したいと考えているとマオ氏は主張している。
「しかし、DevOps や DevSecOps、あるいはプラットフォーム エンジニアリングに移行するということは、複雑性をあるソリューションから別のソリューションに意図的に移すことを意味することを覚えておくことが重要です」と Mao 氏は言います。
同氏は、最良の状況では、セキュリティ技術スタッフも DevOps または DevSecOps パラダイムで作業することで他のチームと同じメリットを得られるだろうと述べました。つまり、低レベルの作業が減り、問題への対処が減り、会社のセキュリティ体制について積極的に取り組む時間が増えるということです。
元職員を攻撃の標的に
人員削減の結果、セキュリティリスクは増大し、組織の衛生状態の悪化によってさらに悪化する可能性はあるだろうか?マレ氏は「イエス」と答え、例えば、いわゆる「大辞任」後に内部からの脅威が発生する可能性や、ユーザーのプロビジョニング解除に適切なプロトコルが必要であることを指摘した。
「解雇された人々は、ランサムウェア攻撃の次の標的、あるいは媒体となる可能性があります」とマレ氏は述べた。「犯罪者は、重要なシステムやインフラにアクセスするためのユーザー認証情報と引き換えに、元従業員に金銭を提供し続ける可能性が高いでしょう。あるいは、攻撃に利用できる企業情報と引き換えに金銭を提供し続けるでしょう。」
「内部からの脅威は常にリスクですが、大規模なレイオフや従業員の不満の広がりによってそのリスクは大幅に高まります。」
透明性はインシデント対応の鍵となる
Marrè 氏は、クラウド運用、オンプレミス システム、顧客エンゲージメント プラットフォームのいずれにおいても障害が発生した企業は、次の対応をすべきだと提案しています。
- 問題、状況、進行中の解決策について、顧客と明確かつ効果的にコミュニケーションをとります。
- 従業員一人当たりの作業負荷の増加に対処し、人員がフルだったときと同じインフラストラクチャとシステムを維持するための計画があることを確認します。
同氏は、混乱を防ぐには、セキュリティ運用を含むインフラと運用に関する組織的知識を持つ人材を重要なポジションに確保する必要があるとも付け加えた。
「これにより、組織は重大な停止をすることなく稼働時間を維持し、インシデント発生時でも回復力を維持できるようになります」とマレ氏は述べています。「これらの役割を横断するカットは、社内の他の役割と比較して、サービス品質に非対称的な影響を与える可能性があります。」
少ないリソースでより多くの成果を上げることのリスク
マオ氏は、多くのテクノロジー企業のエンジニアリングチームには現在、少ないリソースでより多くの成果を出すことが求められており、企業は注意を払う必要があると自社では認識していると述べた。
「ここで伝えたいのは、企業は、従業員が必死に走り回ることで、どれほどの作業量と複雑さを背負わされているかを理解する必要があるということです」とマオ氏は述べた。「あらゆる障害には根本原因がありますが、障害発生時には、問題を見つけ出し、理解し、解決しなければならないのは従業員なのです。」
Chronosphere が最近実施した調査によると、開発者やエンジニアは作業時間の少なくとも 4 分の 1 を低レベルのトラブルシューティング タスクの実行に費やしていることがわかりました。
「企業がより少ない従業員に多くのシステムの監視を依頼すると、問題が検知されずに見過ごされ、より大きな問題へと発展する可能性が高くなります」とマオ氏は述べた。「そして残念なことに、現在導入されているシステムの多くは、こうした問題に対処するための十分な機能を備えていません。」
