第４回名古屋情報セキュリティ勉強会

今回は余裕をもって受付完了(^-^)

地下鉄３番出口に向かって西地区連絡路を上がりそのまま学舎へ、会場が前回と変わってる!?

今日のお題は「情報セキュリティは、どこまで、どれだけやるか？」
講師は河野さん

 

勉強会資料のショートURL
http://goo.gl/AmZFW

ハッシュタグ
http://twitter.com/#!/search/?q=%23nagoyasec&src=hash

河野さん、すごいプレゼンスキルを持った人だ
講師経験があるってことで納得、コンサルだけじゃ身に付かないよね
今はクラウドセキュリティが中心だそうですよ

＜＜情報セキュリティの社内営業＞＞

「情報セキュリティは絶対に必要です」か？
→セキュリティの過剰対策が多いですね（エセ情報セキュリティ専門家が多いせい？）

買ってもらうためには、下記が明確に説明できないとね
・購入目的
・費用
・効果
・既得かどうか
・上の説得材料

一番ダメなのは「他社もやってますから御社も」のオネダリ

基本に立ち戻って「情報セキュリティって？」
→情報の保護。ちゃうでしょう、保護は手段で目的ではない！
でもね、保護する対象が判断できないのが現状
人の間違い（判断ミス）を防ぐためにIT化してるんでしょ
安直に「すべてを保護」→最悪。

情報セキュリティは業務遂行のためにある
・業務効率化のためにITがある
・IT導入なのに情報セキュリティは「人が重要」
・システムでできることはシステムで
・ITが推進されないと情報セキュリティも推進されない

あれもダメこれもダメでは、ITは推進されない
安全をクリエイトすることが真の情報セキュリティの専門家

メールシステムを例に
・自社のメールシステムはどれだけの時間止まっても良いですか？
「絶対に止まっちゃダメ」と「半日ぐらいはOK」では費用に雲泥の差がある
ゼロが２桁ぐらいの差。
この金額、メールシステムにかける必要がホントにありますか
この金額、他の新規システムにかけたら利益貢献は？

かけた方が良いか、他に投資した方が良いかは企業によって異なるよね
同じようなことが他のシステムにも言えるのでは？
例えば自社で持つか、アウトソーシング（クラウド）にするか。

「リスク受容レベル」
→どこまでの障害ならば我慢できるか、事業継続に影響がないか
この受容レベルの程度で情報セキュリティを「どこまでやるか」が決まる！

サービス監視が肝心
サービスが停止したことに、いかに早く気付くか。
サービス停止時間は「気付いた」時でなく「止まった」時

「その対策ってほんとに意味あるの？」
資料をみてね（ちょっと手抜き）

USBのホントの脆弱性
・記録内容が削除できない、一般的なOSから表示できなくなるだけ（残存オブジェクト）

「情報セキュリティの目標設定と効果測定」
インシデントではなくイベントで測定。
イベントの要因レベルで考えてみると効果的な対策がでてくる（かもね）
「イベントの連鎖」で訓練してみる

ここまでいくと、効果が測定できる提案ができるかな。
禁止、禁止という前に、こうすればリスクが回避できるのではとクリエイティブに。

コンサルティングセールスの提案書
・安くて良い製品（ソリューション）なら売れるという幻想
「プロダクトセールス」と「ソリューションセールス」は異なる
情報セキュリティはプロダクトではなくソリューション、たとえ製品であっても。

余禄
良いクラウドサービスとは
・こまめなバックアップが可能であること（可能であれば他ベンダーで復旧可能）
・パスワードのオプションがあり、サーバが対応しているところ
（いまのところはこれがベストらしい）

--------
まっちゃさん、スタッフのみなさん、河野さん、参加された皆さん、お疲れさまでした。
懇親会に参加できなくてごめんなさい。

主観的なレポートであることを、ご了承願います。