第14回セキュリティさくら参加レポート
あえだよ。17日中に書くと言ったな。あれは嘘だ。
今日は1月16日に開かれたセキュリティさくらのレポートをするよ。
ちなみに本記事では内容について重点的に書くよ。
// セキュリティさくら!
今回のテーマはマネジメントのシステムと運用について。講師にはセキュアシステムスタイル代表取締役である松尾秀樹氏をお迎えし、主催のgreenzさんと交互に仕組みと運用についての講演をしていただきました。構成は以下。
それぞれのテーマについてgreenzさんには仕組みについて、松尾氏には運用について解説していただきました。
- 今だから考えるマネジメントシステムな話 過去編
- 今だから考えるマネジメント… 現在編
- 今だ… 未来編
今回の講演では過去のマネジメントシステムを振り返り、現状を知り、そしてどのような未来が待っているかといったように順序をつけて説明をしていただきました。いつものさくらと比べてもかなりのボリュームでついていくのに精一杯でしたが素人の私でも分かるような話の展開だったので非常に有意義な時間になりました。
参加出来なかったり内容が気になっている方のために少しだけ聞いたことをまとめておきます。嘘書いてたら言ってくれよな。
greenz氏(過去編)
- マネジメントとかマネジメントシステムとかごちゃごちゃになってるけど今回取り扱うのはあくまで情報マネジメントシステムであり、これらの言い回しによって意味が異なってしまい、意志の齟齬が発生したりしている現状がある。
- 仕事をやっていく上でどうしても個人で管理しきれない部分は必ず存在し、複数人での業務を考えないといけないがその上で共通の認識、規則が必要となる。そのための共通の指標としてISOやJISの定めた規格がある。
- この規格に則って認証を行う制度がある。Pマークとか。これは資格のようなもので、金儲けの道具になっていたりする。
- 規格に従うことも大切であるが形だけで意味を成して無い部分があったりする。例としては繰り返すことが目的となっているPDCAサイクルとか。
- リスクアセスメントではあくまでリスクを管理することが目的であり、ゼロにすることが目的ではない。
- このリスクアセスメントの手法としてベースラインアプローチ、詳細リスク分析、非形式的アプローチなどがあるが主観が入ってしまっている部分については疑問が残るよね
- 限られたリソースを最適化することが大切である。
- 情報セキュリティマネジメントは正義ではない。効率的にやることが大切。
松尾氏(過去編)
- 情報マネジメントシステムはあまり効果がないと批判されていたりする。理由として、企業側は認証を楽に取ろうとして悪徳コンサルを雇ったりするし制度及び審査員側は技術の進歩に対してあまり柔軟な対応を示していないところがある。
- マネジメントを行う上で重要なのはまず自分の会社の本業を知ること。技術担当ばかりしていると見えてなかった部分があったりする。
- また、言葉が通じない人に対して通じるビジネス用語に言い換えて話したりなど相手に対する配慮が必要。協力を得るためには円満な関係が大事。
- セキュリティ業務を組み立てる順序は、
1.情報資産、責任者の確認
2.脅威や弱点の確認
3.影響度の確認
4.障害発生の確率
5.対応策の選択
6.実施
greenz氏(現在編)
- マネジメントシステム自体はそこそこ浸透しており、認証の取得企業数も落ち着いてきている。
- マネジメントシステムに対する批判がある。(前述)
- マネジメントシステムは開発で言うところのフレームワークでありそれ自体にバグが残っているような現状である。
- マネジメントシステムという手段のみに目が行き、真の目的を忘れているのではないか
- それに伴うルールの硬直化、非合理的な運用、手段の目的化などの形骸化が起こっている。なんのためにあるのか分からないルールとかがそれ。
松尾氏(現在編)
- セキュリティに対する組織のモデル
1.大企業型:金もあるし意識も高い。担当の方が権力があったりする。
2.中小企業型:金はない。必要最小限の規定や対策はてきぱきやる。
3.意識のない大企業型:やる気が無い。漏洩したらごめんなさい。
4.意識も金もない企業型:意識が無い。
- Pマークが値崩れしてきている?
greenz氏(未来編)
- 未だに現場の問題は山積みであり、規格にも様々な問題が内在している。本来であれば、企業や組織単位でのセキュリティに限定しない管理が必要で、効率よく必要なことを押さえるアプローチが必要とされている。
- そこでマネジメントシステムの概念を使ってマネジメントシステムを見直してみようじゃないか(過程略)
- 業務手順と対策が一体となった最適化が必要だ。
- セキュリティのためのセキュリティは意味をなさない。
松尾氏(未来編)
- 私見だそうです。
- 国際規格が日本に定着するのだろうか。
- 日本の商習慣は輸入パッケージや規格に対してカスタマイズを要求し、やはり元あった形に直してしまうと思われる。
- セキュリティ施策は会社を愛している人が考え尽くすべきだ。
- 認証は必ずしも必要ではなく、効率の良いリスク削減は可能である。
- しかるべき後に、アピールのため、または社内施策を推し進めるための根拠としてメネジメントシステムや認証を利用することは非常に有効。
- つまり目的が異なる
現場の施策・・・現場が作るべき
施策の推進・・・マネジメントシステムを根拠に利用
経営・営業・・・体外的なアピール
//ここからLT編
くまっしー氏『HAPPY ENGINEERING』
- 世の中は思っている以上にしっかりしているようでしてない
- 自分の周りを自分でよくできるエンジニアは幸せ?
- 楽しいし、嬉しいし、炎上したりする
- いろんな人がいるから仕方ないのだろうか
- いいチームを作ろう。人から変えよう。
- ウォーターフォール形式からスクラム形式にしたり、
- 味方をじわじわと増やしたり、
- 他者の介入について学習したり。
- 行動するための動機付けには内発的、外発的なもの以外に親和的関係のためのものがある。これが大事。
- これらを実践して幸せになろう。
セキュリティボタン氏『身に染みた中小企業のセキュリティ ~冬~』
- タイトルうろ覚えです。申し訳ありません。
- 情報セキュリティ業務を始めました。
- 中小企業に売り込みに行く。
- 「立ち入り禁止です、帰すように言われてるんで。」
- 堅牢!
- その反面セキュリティ意識は低かったりする。
- 「IPアドレスってなんですか?」
- 営業頑張ってください。
じゅんくどう氏『Azure,AWSで出来るセキュリティ対策』
- Azure及びAWSにどのようなセキュリティ対策があるか紹介。
- 双方で対策が用意されているのはアカウント管理、ファイアウォール、専用線、VPN、ログ、評価ツール など…
- また、Azureでは文書管理ができる。統合監視ができる。
- AWSにはWAFと言うものがある。
- オンプレでやってたことは大体AzureやAWSで出来るよ。
現場からは以上です。