Atelier λ

セキュリティさくら14th

今だから考えるマネジメントシステムな話

  • by greenz氏(A) and 松尾秀樹氏(B)

過去編 (マネジメントシステムの定義) A面

  • 「マネジメント」
    • 特別な言葉に変えたのがドラッガー
  • 目標を設定、そのアプローチとしての「考え方」
    • 体系的にルール化したものが「マネジメントシステム」
  • リスク管理も必要になってくる
    • 情報セキュリティに特化したところで「情報セキュリティマネジメントシステム」と呼ばれる
  • 経営を知らない学生にはいまいちピンとこない
    • 経営とマネジメントが繋っているから
  • 個人でできる範囲を越えた仕事がほとんど
  • 2人になっても仕事が2倍にはならない
  • PDCA
    • 周りがやってるから、でやると大変な目にあう
    • 余計な工程で疲弊
  • リスクアセスメント
    • 一般的な基準の裁定
    • リスク評価 数字による
    • フローを用いる
  • 情報セキュリティマネジメントシステムは会社の「正義」ではない
  • 基本は、業務内容、保有する情報を分析して、対策を講じるということ
  • 「正しく」PDCAを回そう

過去編 (マネジメントシステムの定義) B面

  • 手ごわい相手と仲良くしていく
  • 事業部相手にはシステム用語が通じない
    • ビジネス用語に言い換える
    • そうでないと、一緒に仕事をしたくない、なんてことに……
  • 自分の会社の本業を理解する
    • 技術担当を長くすると、理解していないことがある
    • 本業が利益の源泉
  • セキュリティ業務組立の順番
    • 責任者の確認
    • 脅威や弱点の確認
    • 影響度の確認
    • 障害発生の確率
    • 対応策

sweets time

アップルパイ75個配りおじさんです

続・今だから考えるマネジメントシステムな話

現在編 (マネジメントシステムが抱える課題) A面

  • 情報セキュリティマネジメントシステム(長い)
  • プライバシーマーク
    • よく批判されている
    • 審査がちょっと……
  • マネジメントシステムへの批判
    • とりあえず取れれば良い人達
    • 頑張る = セキュア な人達が多い(多かった)
    • 審査側の高齢化、ビジネスに対して不理解、変化を追えていない
    • 審査の度に紙媒体が……
  • マネジメントシステムは開発で言うフレームワーク
    • フレームワーク自体にバグが残る現状……
    • 本質を理解せず、楽しようとする
  • 形骸化
    • ルール硬直化
    • 非合理的運用
    • 手段の目的化

現在編 (マネジメントシステムが抱える課題) B面

  • セキュリティ組織のモデル
    • 大企業型(資金も意識もある)
    • 中小企業型(資金はないけど、意識はある)
    • 意識がない大企業型
    • 意識も資金もない(あんまりいない)
  • 大企業型
    • セキュリティ担当のベンダの方が発言力があったりする……
  • 中小企業型
    • 規定は作った
    • 高額なものは受けられない……
    • 動きや決断は早い
  • 意識がない大企業型
    • 守るべき個人情報はない
    • メールアドレスは個人情報ではない(?)
    • プライバシーポリシーに「漏らしたら許して欲しい」ような旨の記載……

未来編 (課題への解決策) A面

  • 「現場」の問題が解決されない
  • 「規格」にも様々な問題
    • 解釈がどうの、のような言葉遊びではなくて、本質を見よう
  • マネジメントシステムの良い形を探る
  • 既存のマネジメントシステムから考える
    • PDCA
    • KPT (Keep Problem Challenge)
    • なぜなぜ分析
  • セキュリティと実働の部門が分かれている問題
    • 別々に認証が必要になったりして面倒
    • Why1: 後付けでルールを作ったせい
    • Why2: 「典型的ルール」をコンサルタントから貰ってしまう
    • Why3: 業務内容やフローの把握が不十分
    • -> 業務フローを整理、可視化しよう
    • 業務手順にフィードバックしよう
  • 異常系に対する考え
  • ログの最適化
  • 業務手順と対策が一体になった「最適化」
  • セキュリティのためのセキュリティは意味がない
  • (経営者こそ最大の原因なのではないか……)という意見も

未来編 (課題への解決策) B面

  • 国際規格が日本に定着するのか
    • あまりすんなり受け入れられそうなものはない
  • 日本企業のものの決め方
    • 人事に関しての習慣
    • エンジニアとしての習慣
  • セキュリティ施策は会社を愛してる人が考え尽くすべき
  • 必ずしも認証は必要ない、高効率なリスク削減は可能
  • つまり、目的が違う
    • 現場の施策…現場が作るべき
    • 施策の推進…マネジメントシステム名を根拠に利用
    • 経営・営業…対外的なアピール
  • マネジメントシステムそのものが目的とならないようにする
  • CIAサボりマニュアル
  • 会社を愛そう!

LT

HAPPY ENGINEERING

  • by @kumassi
  • 楽しくするには
    • ウォーターフォールからスクラムへ
    • 味方を増やす
    • 他者の介入
  • 動機付け
    • やりたいから
    • 褒める、叱る
    • 親和的(人間関係を良くしていきたいから)

身に染みた中小企業のセキュリティ

  • by @securitybutton
  • 中小企業の「営業」セキュリティは強い
    • ???「担当は席を外しております」
    • 「関係者以外立ち入り禁止」
  • 中小企業の「情報」セキュリティは弱い
    • ???「漏洩して困る情報はうちにはない」
    • ???「漏洩してもウィルスが悪いのであってうちは悪くない」
    • ???「情報セキュリティ対策は自分達でできます」 -> 後日、IPアドレスとは何かを聞いてくる

Azure, AWSで出来るセキュリティ対策

  • by じゅんくどう 氏
  • アカウント管理
  • ファイアーウォール
  • ACL
    • Azure -> black list
    • AWS -> white list
  • 専用線
  • VPN
  • ログ
  • 評価ツール
  • Azure -> 文書管理や統合監視
  • AWS -> WAF(ただし、まだ使いづらい)
  • Market Placeの利用、 外部サービス連携
  • 結論としてはオンプレと大差ない
    • ただし、工夫がいるところも
    • リスクも理解して、やっていこう

懇親会

  • 今回は席の関係もあって学生さんとメインで交流しました
  • フォロワーが増えました
  • 大人達の話も聞きたかったと思いつつも、良い交流でした
  • Haskellをやる機運が高まった
  • メニューがいつもと変わってた?ポテトが美味しくなってた

感想

  • 中々ハードな一日でした
  • 記事には書いてないけど、実は午前にQembという組み込み勉強会もあったり
  • 15回辺りが受験と被りそうで心配な感じ