情報セキュリティシンポジウムin道後2012 三輪信雄さんの講演まとめ
企業セッションが終わりまして、S&Jコンサルティング㈱ 代表取締役社長 三輪 信雄氏 による「セキュリティ対策の組織における推進体制の在り方」・CISOの弊害とCISOOの必要性・情報セキュリティ人材の育成と活用を4倍速でお届けします!#secdogo (R
2012-02-17 11:31:02三輪:これまでの企業内セキュリティ対策。1.セキュリティポリシーの策定(主に禁止のルールを一度決めて終わり)。2.技術的な対策はシステム部門主導。ログはチェックするが監査しない。3.眠くなってしまう社内教育(効果は疑問)。 #secdogo
2012-02-17 11:33:42教育は「眠い」もあるけどe-Learningの場合「めんどい」てのがありますね。多分前者には芸人魂、後者はそれこそゲーミフィケーションかなぁ。 #secdogo
2012-02-17 11:35:49三輪:総務とシステム部門はすみわけられ、総務は個人情報(認証に関心)、システム部門は技術だけ(製品導入はするが監査はしない)。システム部門はホールディングスや統括部門の中にはいないので、対策は難しい。 #secdogo
2012-02-17 11:36:24総務部門は個人情報が中心となっており、技術的な対策には踏み込まない。個人情報の「取り扱い」に重点を置いており、インシデントの報告は受けても指示はできない。つまり、セキュリティ=個人情報保護という認識がある。 三輪氏 #secdogo (R
2012-02-17 11:38:04三輪さんの今の話はものすっごく私の専門性的な部分にジャストしてるのでもう全てにウンウンしちゃうし、4倍速とか言わずに通常モードで4倍の時間喋って欲しい。 #secdogo
2012-02-17 11:38:45文系と理系の間の壁は想像以上に厚く、大きいですね。壁を崩すのはあきらめて壁の向こうから人をかっさらってくる発想の方がいいと思ってます。 #secdogo
2012-02-17 11:38:53三輪:1.体制の課題。技術的ルールは徹底できない。実施状況を把握できない。通達するのみ 2. 技術的課題。システム部門は、過去に作ったものの不完全性を前提にはしにくいため、最新の攻撃には対応できない傾向。 #secdogo
2012-02-17 11:40:28防御がメインで、見地・対処は対応不足していること、そして最進の攻撃に対応できていないなどの技術的な課題がある。スマホ、タブレット端末、クラウドなどの利用については後述する。 by 三輪氏 #secdogo (R
2012-02-17 11:41:56#secdogo bcp対策の変貌 新型インフルから震災対策へ。震災では 電源、ネットワークが確保できる担保は無い
2012-02-17 11:43:39@null #secdogo CSIRTのエスカレーションのルールがまずいと対応が遅れる可能性。
2012-02-17 11:43:58標的型攻撃は、標的型といえど、無差別。訓練メールで対策・・という誤解がある。これまでの運用ルールが発見を遅らせているという現状がある。未知のウイルスに感染していない、という証明? by 三輪氏 #secdogo (R
2012-02-17 11:44:13三輪:訓練、といった場合には、インシデントがおこったら、どれぐらいのコストがかかるか、まで含めた「検証」を含めるべき。 #secdogo
2012-02-17 11:47:41失敗というと表現は変だけど望まないキャリアを選択せざるを得なかった人の事例をみないと本質がわからないなと。 RT: @connect24h: 某情報セキュリティ人材のインタビューの問題点は成功事例ばかりで失敗事例が含まれないこと。なるほど!そっちの視点もいるよね。#secdogo
2012-02-17 11:49:43ここ数年、セキュリティ担当が縮小になって他部門へ機能が分散移管される流れが一部あるので、それの対象になった人とかの思いとか RT @cchanabo: 失敗というと表現は変だけど望まないキャリアを選択せざるを得なかった人の事例をみないと本質がわからないなと。 #secdogo
2012-02-17 11:55:14セキュリティの専門家に経営の理解を求めるのは無理。セキュリティの専門家を役員に入れる意味がない。 #secdogo
2012-02-17 11:48:39三輪さん:「セキュリティ専門家には経営センスが必要」と言われるが、無理だと思う。 #secdogo
2012-02-17 11:47:58三輪:CSIRT。政府主導で普及の動きがあるが、具体的定義があいまい。初動をあやまると大やけどするのだが、カンもはたらく専門家を組織の中に置くのは難しいはず。CSIRTは、専門家と日常的にコミュニケーションを取れる人をトップにおく必要。 #secdogo
2012-02-17 11:46:46CSIRT (Computer Security Incident Response Team、シーサート)についてのまとめ: ①政府主導で普及の動き ②具体的な定義があいまい ③始動が課題 ④CSIRTの組織構成 ⑤訓練≠電話連絡 by 三輪氏 #secdogo (R
2012-02-17 11:48:10CISO(Chief Information Security Officer)とCISOO(Chief Information Security Operation Officer)を分けて考える。 by 三輪さん #secdogo
2012-02-17 11:49:46RT @keijitakeda: CISOはセキュリティのプロである必要はない。CISOOはセキュリティのプロを含む現場を動かせる人。 by 三輪さん #secdogo
2012-02-17 11:56:44