読者です 読者をやめる 読者になる 読者になる

futoase

よろしくお願いします。

DeNAのサイバーセキュリティ を読んだ

読書 雑記

DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録

DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録

CSIRT設置、PDCAが回るようにするまでの記録

DeNAさんのセキュリティ部の方が書かれた本で、CSIRTの設置、PDCAが回せるようになるまで
組織のセキュリティ意識向上、認知についてやってきたことについて書かれた本。

気になったので会社に買ってもらった。

企業にとってのセキュリティインシデント対策は難しい

サイバー攻撃の某所について、ソーシャルだったりインターネットだったり、またはシステムそのものの欠陥などいろいろな手段を使って攻撃が加えられたりする。
また、うっかりメールに添付されているファイルを開いてマルウェアに感染したりする。顧客情報が流出してしまった、その後マスコミで騒がれる。

などなど、今の時代だと企業そのものの価値が下がってしまい、
損害をこうむるような時代にあって、セキュリティインシデントについて深刻に捉えないとまずい。
けど、実際に自分たちが被害に合わないとどう影響があるのかがわからないので手がつけられなかったりする。

いざ脆弱性に対して対策を取り組もうとしてもよくわからないし、取り組んだ結果が出るのかもわからないから
時間とお金を投資するのも気が引ける。のでセキュリティ対策に手が回らない。従業員のアカウントについて統一的に管理する仕組みなどについて
構築するヒマが設けられない。

などなど、本に取り上げられている内容から自分にとってもそうだよな〜と思いつつ読んでいった。

読んでてそうだよなーと感じたところ

なんかやらかしてもCSIRTに相談しよう、という意識を組織に植え付ける。
セキュリティ意識ばっかり先行して従業員に不自由な環境を提供する、ということを目的にすると事業が回らなくなるからやめとけ
鬼の首を取ったような反応をするな(本にはこういう表現で書かれてたけど、多分それみたことか、とかやってしまうことだろうか)。

このあたり。

Copyright (c) 2013-2015 Keiji Matsuzaki