Know Easy 
はじめに
「積み本」、それはエンジニアにとって身近に起こる現実。
- 買って満足型
- 少し手をつけて挫折型
- まだ早いわ型
- 店頭で気になって買ってしまった、、本屋の魔法型
- そもそも読む力が弱い型
- 読むモチベーションが湧かない型
- その他
先日、積み本について少し考えさせられる機会があったので、この機に小僧がなぜ積み本してしまっているか、実際に積んでしまっている本をあげながら、その原因を分析してみたい。
積み本 No.1:体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践(通称:徳丸本)
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
まず買った経緯を思い出してみる。
この本を買ったのは某大手損害保険会社のセキュリティコンサルティングプロジェクトに従事していた頃だ。
クラウドを利用したアプリケーションを構築・利用するに際して、利用者は何をやらないといけないのかとう問いがあった。
その時に、まずはアプリケーションの内部もそうだが社会的(外部社会)、社内的に何が求められているか把握しましょうという流れになった。
社外的にはお客様は金融機関という側面も持っていたため、金融情報システムセンターの発行する、『金融機関等コンピュータシステムの安全対策基準・解説書(第9版)に従う必要があるねという話になり、そちらの関係部分を抜き出して、顧客にサマリを提出することとなった。
次に社内的に主な関心事となっていたのが顧客情報の漏えい防止だった。
悪意を乗った内部者が流出するケースや、故意ではなく、クラウドをアプリケーション等を利用した際に、流出してしまうケースなど様々なケースを想定して進めることとなった。
悪意を持った個人が、、、に対する施策としては内部統制など、いわゆる運用面やセキュリティツールの導入でなんとかなるお話だったが、後者に関しては完全に個別アプリの実装方法になると考えたため、徳丸本を購入したのだ。
この時点で「おいおい。無理だろこれ、、」と思いながら、これを小僧に無茶ぶる上司に「はぁー」と思いながらプレッシャーを感じていた。
ある程度プロジェクトも進み、ある程度話をしているうちに(小僧から無意味ですよニュアンスをお伝えしながら)、このコンサルプロジェクトで「個別アプリの実装を機能で抽象化して、指針を作るの無理じゃね?」的な空気が小僧側とお客様側双方で共通認識(そう持って行った)となったため、それ以来、手をつけられずに積み本となったわけだ。
これまでがまず一連の経緯である。
さて、では徳丸本が手を着けれれず積み本になっているのか。外部的には上記のような一連の流れがあるが、小僧的には何故なのか。
今直感的に感じているのは下記の点だ。
- そもそも、まだRuby、Ruby on Railsもまだ初級の息を抜け出せていない
- サンプルがPHPなので敬遠してしまっている
- 量にビビっている
- 実践経験も不足しているため、ピンとこない場合が多いのではないか
- コンサルの参考として買ったのが背景だったため今は読むモチベーションがない
以上、挙がった5つの要素を分析すると、大きくはこの2型になるのかなと感じた。
- まだ早いわ型
- そもそも読む力が弱い型
- 読むモチベーションが湧かない型
小僧自分自身で書いておきながら、がっかりなのは「まだ早い」とか「モチベーションがない」とか言い訳が多いのが残念だなと感じてしまった。
だが読めていないのは事実なので、これを読むために、何をすべきか、、考えようと思います。