セキュリティマネジメントSummit 2022 Winter 登壇ふりかえり

2022/11/29-30に日経クロステック主催のオンラインイベント「セキュリティマネジメントSummit 2022 Winter」が開催され、こちらに主催講演枠として登壇しました。

開催直前に急遽登壇が決まったこともあり、大慌てでテーマを決めて、ストーリーを練り、スライドを作るというのをやりましたが、振り返ってもよく間に合ったな、と。しかも担当しているPJをはじめ各種業務が空前の忙しさを極めている状況で、そこにこれを自分で承諾して入れてしまうあたり、果てしなく忙しくしたい性格なのかもしれない・・・。

とはいえ、依頼された以上はしっかりやりたいし、1つでも視聴者の方が持ち帰られる気付きやヒントをいれたいと思っていたので、たくさん頂いた感想からそれが出来ていたようで、ひとまず役を果たせて良かったーという安堵の気持ち。

そんな登壇内容を、話し手目線で少しだけサマリを。

テーマとしたのはスタートアップ企業の社内ITのセキュリティってどうなっているか、ということにフォーカス。特に、オンプレなしでクラウドのみで構成しているので、そういう企業ってどういうことやっているの?どういうシステム組んでいるの?っていう点を。
クラウドのみなので当然ゼロトラストっていう概念にはなるんだけど、具体としてどういうことで、そのためにやっているセキュリティマネジメントとはどういうことがあるのか。

ポイントとしたのは3点で「Management」「Technology」「Literacy」に分類。
「Management」は、特に情報資産の管理、「Technology」はクラウド製品の活用などのITの技術面、最後に「Literacy」は経営層とのコミュニケーション、社員教育、IT部門の変化への適応力などにフォーカス。

Managementの軸は、情報資産の管理の徹底。誰(アカウント)が、何(デバイス)を使って、どのようなアクセス(どのシステムの、どのデータに)をするか、という点を正しく把握することとその取組み方法や、それを維持するために、企業によっては形骸化しがちなISMSをしっかり活用すること。
しかし、管理をしっかりやるには効率さも必要になるため、Technologyをしっかり使っていこうと。

Technologyの軸は、IDaaSを中心とした設計思想。特に、各SaaSを利用するにあたってはSSOの徹底を行い、ID管理や、パスワードポリシーやMFAがIDaaS側で一元管理されること。さらに、条件付きアクセスコントロールやMDMとの連携を作り込むことによって、安全なアカウントで、かつ許可されたデバイスであり、適切な接続元の国やIPからのアクセスになるように入口のコントロールをしっかりやってることにフォーカス。

Technologyはそれだけではなく、一部抜粋だけど、EDRの必要性(なぜパターンマッチングではないか)や、CASBやクラウドのVDIを組み合わせながら業務を設計していることなどを。

ポイントの3点のうち最も重視しているのが、Literacy

特に、経営層とのコミュニケーションにどれほど力をいれているか、その必要性と効果について。特に代表取締役や技術トップの役員とのセキュリティに特化した直接のMTGをどれくらいやっているか。また、経営層はセキュリティに対してどのように思っているかなど、このセミナー登壇のために直接ヒアリングしたときのコメントなどを紹介。特に評判だったのが、以下のコメント。

解決策は本来何通りもあるはずのに、練りに練った乾坤一擲の1案を、上司に説明し、またその上司に説明し、ってのを繰り返して、じわじわと輪郭がボケたものがあがってきても本質が見えなくて意味がないし、何がしたいのか何が課題なのかも分かりにくい。しかも、あがってくるまでに時間がかなりかかっている。
そうではなく、本当はもっと回数を増やしてちゃんと知りたいし議論がしたい。他の解決策の案がないかをビジネス視点や経営視点など多角的な視点で考えて、そこにはないプランBやプランCを探ることも大事

エンジニア視点の思いやこだわりはとても大事だし、セキュリティをやっているといかにしっかりした防御を築き、安全を確保するかに目がいくが、必ずしも企業活動にとってプラスばかりではないということがある。

だからこそ、私もプランCを探すのを習慣的に考えているし、いきなり100点を目指さず5〜60点の積み上げを繰り返し続けたいと思っている。


ポイントとした3点「Management」「Technology」「Literacy」、どれも特別なことや難易度が高いことは実はやっていない。

ただ、大事なことはそれらを高頻度、高精度でやるようにしており、それを維持することや、変化に迅速に対応することを念頭にシステムも組織も考えて形成しているという点。年1回ならどの企業もやっているけれど、それを隔週とかでやれているか、やろうとしているか。そういう意識があるか、というところを見落としていないか、という点を結論にする感じの内容で約30分、お話しを。


登壇って準備も大変だし、オンラインといえども何度やっても緊張もする。だけど、そのたびに得るものがあるし、何よりそのテーマについて、しっかり振り返って、一度整理する機会と、そこまでやってきたことのアウトプットの機会になるため、(ほんとに大変だけど)やって損はない、むしろやって良かったと思えることが多い。

というわけで良い機会を頂いたし、またいろんなケースで発信やアウトプットができる場があれば良いなと。

(2023.1.31 追記)

日経クロステック社にて登壇内容のダイジェストが公開されました。

セキュリティマネジメントsummit 2022 Winter 激動する世界でサイバーリスクとどう向き合うか、先進企業の事例に学ぶ Review
激化するサイバー攻撃の勢いはとどまるところを知らない。国家レベルの組織が関与する攻撃や、RaaS(Ransomware as a Service)の登場による攻撃者の急増が企業・組織の対策を困難なものにしている。この状況では、ビジネスをとりまくリスクを常に観測し、対応の迅速化を図るほか、万一の際の復旧までを見据えた対策...

コメント

タイトルとURLをコピーしました