futoase

よろしくお願いします。

「もしも社長がセキュリティ対策を聞いてきたら」を読んだ

「もしも社長がセキュリティ対策を聞いてきたら」を読んだ

もしも社長がセキュリティ対策を聞いてきたら

もしも社長がセキュリティ対策を聞いてきたら

会社で読むことを勧められたので、会社に買ってもらって読んだ。

ざっくりとした内容

  • こうじゃなきゃだめだ!と声を荒らげているだけじゃだめで、マーケティング手法を使って社内にセキュリティ対策意識を根付かせないといけない
  • 何もかも禁止、ネット禁止、オンプレサーバのみOKみたいのだと現状のビジネスの速度、経営判断と実施の速度が極端に遅れるから、ある程度飲めるリスクは飲めるのか判断する
  • セキュリティ対策はドキュメントを作っただけではだめで、仕組みそのものを考えていく。認証やproxy挟むとかそんなやつ。
  • 対策やり過ぎるとコストが跳ね上がるので、コスト(金)と常に相談していく。
  • シンクライアントと通常のクライアントの使い分けについてうまくやる
  • BYODについて全面禁止にするとビジネススピードが落ちる場合があるので、「何を許可するか」を決め、ポイントを絞るのが重要
  • CFT(Cross Function Team)を結成し、エンジニアだけではなく各部署、担当の連携が必要
  • 現状のビジネススピード、会社の文化に沿った形で進めていくのが重要
  • 新しいものに飛びつくのもいいが、そもそも足元はしっかりしているのか。そこから考えること
  • コストを考え、対応に対する対策に投じるお金(投資)が見合うものなのか定量的に示せるようにする

ざっくりとした感想

  • クラウドサービスは利用禁止、というのは判断が遅れるしビジネスチャンスをライバル企業に奪われるし、で個人的にもある程度リスクは飲めるものは飲んだほうが良いという考えだった。
  • この本は広い視野、組織全体を考えるように書かれているので、考えさせられる部分が多かった
  • 自分の会社のセキュリティ対策、コンプライアンス意識、CSIRT的なものはどうなのみたいなのを深く考えた
  • 個人スマホからGoogle Documentやその他のサービスについて閲覧できるが、できないようにしたらとっさの時にiPhoneiPadを使ってプレゼンできないのはアレだし、そこについて練っていく必要があるなーと思った。

  • ドラッカーがけっこう引用されていたので、ドラッカーが書いた「マネジメント」を読まないといけないなと感じた。
  • Kali Linuxなどのペネトレーションソリューションとかそこらへんしっかり使ってないな―って思ったのとdefcon 23 (2015)のプレゼン、車の遠隔操作以外まじめに見てないな、と思ったので、暇を見つけてプレゼン動画を見ておきたい。

Copyright (c) 2013-2017 Keiji Matsuzaki