情報セキュリティワークショップin越後湯沢2016
メールアドレスは個人情報か? 企業が個人情報の取り扱いルールを決めても、人によって個人情報の範囲が変わってしまっている。誰もが同じような判断ができる基礎がないといつまでたっても事故は起き続ける。 #yuzawaws
2016-10-07 12:31:45例えば電子メールアドレスを個人情報に含めるかどうかがちゃんと定義されていないと分類が「人によって変わってしまう」これだと情報管理がおかしくなる。 #yuzawaws
2016-10-07 12:32:20情報管理 「個人情報を正しく扱うこと」としたルールには、「個人情報」を誰もが同じように判断できる基礎があって成立する。 情報オーナー(カストディアン)によるデータ識別を前提に、データオーナーが情報を扱う。正しい情報管理はセキュリティの土台。 #yuzawaws
2016-10-07 12:32:54解説:情報オーナー(情報セキュリティ)
情報を管理する者のこと。作成者が主に情報オーナーとなる。
情報オーナーの役割はその情報をどのように扱うのか機密にするのか公開するか等決定すること。
改善のための情報収集 情報管理の責任者いますか? 経営者に適切な情報が上がってこないと、経営者は正しく「判断」できない。社内を改善するため、説明責任を果たすためにも情報収集(情報の流れを作ること)が重要。 #yuzawaws
2016-10-07 12:36:16ガバナンスと説明責任 「標的型」の攻撃で特定の情報のみ窃取されることはない。攻撃者は全ての情報を窃取したうえで、必要な情報を選別して悪用する。サイバー攻撃では判断するための情報が極めて限られている。 #yuzawaws
2016-10-07 12:39:56解説:ガバナンス(情報セキュリティ)
経営者の意思決定を末端の社員までいきわたらせるためルール化を行いそのルールに沿うように規律管理を行うこと。
経営者が判断できる情報を上げるため、責任の連鎖と報告モデルを作る。PDCA の「Check」から始める。経営者が判断しやすい報告フォーマットなっているか、など。 #yuzawaws
2016-10-07 12:41:22解説:PDCA(情報セキュリティ)
Plan:計画、Do:実行。Check:評価。Action:改善、この4つを回すことで継続的改善を行うことこれを回すことをPDCAサイクルという。以前はPDCサイクルというものがあったがActionを加えたものが一般的になっている。
「良いマネジメントは上が責任を取ってくれる」・・・セキュリティの話だけじゃなくて、仕事自体がそうだと思う。 #yuzawaws
2016-10-07 12:43:03責任は「判断」 駄目なマネジメントは責任が末端に集中する。良いマネジメントは上が責任を取ってくれる。 例: 良いパスワードか悪いパスワードかは、末端の利用者が判断するのではなく、システムで判断させる。 #yuzawaws
2016-10-07 12:43:24とは言え、「俺が謝るし責任は取るから判断と報告材料を出せ」と言っても、普段そういう意識をしていない部下もまた対応できずに、オレの覚悟が無駄になるのである。 (実話 #yuzawaws
2016-10-07 12:44:33人間が安全に働けることも事業継続のために必要なこと。 従業員の「判断」を最小化することで、従業員を保護する。そのためには、「継続的な監視」を行う。Real User Monitoring の技術を導入するなど。 #yuzawaws
2016-10-07 12:45:42ルールを作っても、教育をしてもそれが完全に守られることはない。せいぜい6~7割ではないか。情報セキュリティのルールをシステムに組み込める人が必要。 #yuzawaws
2016-10-07 12:48:07