田舎高専生のメモ置き場

技術ブログとかではないです。

第14回セキュリティさくら と Qemb #04 に参加しました

H28年1月16日に開催されたセキュリティさくらの第14回とQemb #04に参加させて頂きました。
第14回セキュリティさくら : ATND
ハードウェア・組み込み系勉強会 Qemb » ハードウェア・組み込み系勉強会「Qemb」#04
同会場で、午前はQemb、午後はさくらという感じです。
※間違い、意図と違う等ある場合お手数ですがご連絡ください。

Qemb #04

組み込み系の勉強会で初参加でしたが、毎回勉強会としてのスタイルは違うようで、今回はアイデアソン形式で「教育とコンピュータ」というテーマで最初は全体、あとからグループ単位で他の参加者とグループワークを行いました。
私たちのグループでは「Lチカの先」と「モチベーション」を主に話し合いました。

「Lチカの先」

  • 電子工作で何か実現したいものがある・アイデアがあるといいが、まずそこが大変
  • 「ぶっちゃけ実装より考えるほうが大変」
  • Lチカからインターネットにいるすごい人たちが作っているものはいきなり作れない
  • 実現したいものがある・思いついた -> 何が必要か細分化(無線通信、センサー、プログラム など)
  • 細分化した単位でまずググって真似るとこから
  • 完成しなくてもいい -> 勉強にはなっているし、後日また電子工作するときに昔つけた知識が役に立ったりする
  • 便利なライブラリを探そう -> インターネットのすごい人たちが結構作ってたりする

「モチベーション」

  • インターネットのすごい人たちも裏で結構時間かけてたり
  • 少し進捗があるとブログ書いたり知り合いに見せたり(注:全く興味ない人に見せると「で?」で終わる可能性)
  • あえて作る宣言(ブログ、Twitter等)して自分を追い込むのも手

知らない方とグループワークをする機会など滅多にないので、お話出来て楽しかったです。いい刺激になりました。

第14回セキュリティさくら

今回は技術などの話ではなく、「マネジメントシステム」という「人」がメインでそこにセキュリティが関わってくるものでした。
以下、メモ書きになります。

講演1-1「今だから考えるマネジメントシステムな話-過去-」(greenz 氏)

伝えたいこと
to 学生
「何を守るかを考えること。技術を現実に起こすもの」がマネジメント
to 社会人
「企業内のセキュリティの雑事をさせられることが多いが、その背景となるものをきちんと見定めること。これが出来ると適切な提言も可能となる」

「マネジメントシステム」のバズワード

語る人によって定義が異なる
【言葉の整理】

マネジメントの定義

  • 経営などの管理をすること
  • 経営者。管理者

wikipediaでは:
経営管理論(マネジメント)
管理についての実践的な技法の確率を目指す学問

なぜ、セキュリティ分野で利用されるのか?
  • 目標設定を行い、それに対する達成アプローチとしての考え方
  • それを体系的にルール化したもの「マネジメントシステム」
  • リスクの管理
  • それらの中で「情報セキュリティ」に特化したもの ->「情報セキュリティマネジメント(システム)」
わかりづらいのはなぜ?
  • 「経営」と密接に結びついているもので、その点がわかりづらい模様
  • 「マネジメントシステム」がわからないというより、その一つ前である「仕事の仕組み」とのつながりが分からないのが原因っぽい
  • 一人で行う開発と異なり、複数にで行う仕事には多くの登場人物がいる
長いお仕事フロー ->「マネジメントシステム」の必要性
  • 現代における企業組織体としての「仕事」は個人で管理できている範囲を超越している
  • 目標設定して効率的かつ確実に実行するにはフレームワークが必要
  • 多くの人間に役割を与えて協力体制で行うことで対処している
  • ただし、人が2倍=作業量2倍とならない
  • 認識漏れ、連絡漏れなどを除くためにも社内で共通認識できるルール、記録が必要
情報セキュリティマネジメントシステム
  • 更に「マネジメント」を行う上でセキュリティ分野などで無手勝手にやるのは難しい
  • 規格が必要になってくるなど
JISとは
  • JIS Q 15001
  • ISO9001, ISO2700
  • 「ルールの作り方」のルール
  • 規格はあくまでルールであり認証制度には関与しない。それを使って商売するのが認証制度側。混同されやすい
  • 企画に基づき体制を撮ることは有効だが、現状において審査制度には難があるため、取得していること自体が安全な証明にはならない
  • 一定の蓋然性として見れる
PDCAサイクル(不幸のマニ車
  • 回せば回すほど不幸に
リスクアセスメント
  • 計画を立てるにはまず予測が必要
  • 自社の業務内容や所有する情報などを分析しリスクを洗い出す
  • リスクに対する対策を行うことで発生可能性を抑える
  • リスクを「管理」することが目的であり、ゼロにすることが目的ではない
  • 正義かどうかではなく、効率的かどうか

何が可能になるのか?

  • 限られたリソースの最適化
  • 特に重要と思われる箇所への優先的な対策
  • 更に運用結果からフィードバックを行うことによりダメだった箇所は更に強化する事が可能
  • 足し算だけの対策だけでなく引き算の対策
ここまでのまとめ


講演1-2「今だから考えるマネジメントシステムな話-過去-」(松尾秀樹 氏)

情報セキュリティマネジメントとPDCAサイクル:IPA 独立行政法人 情報処理推進機構

  • 手強い相手と仲良く
  • 事業
    • システム用語は通じない、ビジネス用語に変換
    • -> 厚い信頼関係が必要

技術担当だけ長い間続けていると、本業のビジネスを理解していないことがある

どんな順番でセキュリティ業務を組み立てるか
  • 情報資産、情報資産の管理責任者の確認
  • 情報資産に対する脅威の確認
  • 脅威に対する弱点の確認
  • 影響度の確認
  • セキュリティ障害の発生は起こるか(確率)
  • 対応策の選択 -> 実施へ
リスクを認識させる、責任を持っていただきたく
  • 先ずリスクの確認をしていただきたく
  • ソリューション案の提供
  • 責任を持っていただきたく


スイーツタイム

ケーキ美味しい!アップルパイ美味しい!焼きプリンクッキー的なの美味しい!


講演2-1「今だから考えるマネジメントシステムな話-現在-」(greenz 氏)

ここから「マネジメントシステム」は「情報セキュリティマネジメントシステム」に読み替え
プライバシーマークISMSともに取得数は上昇 -> しかし、いずれの取得事業者数も数位では伸び率が鈍化
個人情報保護法の制定がターニングポイント -> ただし、その状況を今に引きずっている
マイナンバー、改正個人情報保護法が控えるが大きな変化はない模様
本来取得すべき事業者数を超えて過剰になっている印象がある -> 重要な個人情報を扱わない企業が取得しているなど

マネジメントシステムへの批判
  • 取得したのに売上に貢献しない
  • 取得した事業者から漏洩が発生する。だから役に立たない
  • 制度が技術的進歩に追随していない

※公がやっているから批判しやすいという側面がある。これらが全て事実というわけではなく、何らかの問題が存在することを示している

プライバシーマークが腐っていった原因

とあるブログより(削除されている模様)

  • JIS Q 15001を始めとした認定基準、審査基準がアレ
  • 質の悪い審査員

意味がないと言われる原因

  • 取得事業者サイド
    • (なにもしないで)取れれば良い
    • 悪徳コンサルタントを利用する
    • 一部に残存する苦労=セキュアという考え
  • 制度・審査員再度
  • 圧倒的高齢化
    • ビジネスに対する不理解
    • 変化速度を追えていない
    • 紙束と印鑑に頼りきった審査員
  • 「マネジメントシステム」の規格とは開発におけるところのフレームワーク
  • それに従って作れば何も考えずともある程度安全が担保される
  • ところがフレームワークの開発が停滞している状態
  • そのため本質を理解しないで楽しようとするととんでもない作りこみを招く
形骸化の実態と原因
  • これらのことが重なりあうことで目標を見失ってしまう
  • 「マネジメントシステム」とは目標あってこそであり、ここで意味を失っている
  • やがて日本の会社文化にありがちな「手段の目的化」という袋小路に陥っている
形骸化の具体的事例
  • ルールの硬直化
    • 「ルールを変えるルール」という認識がない
    • それで合格を貰ったから変える必要が無い
  • 非合理的な運用
    • 何のためにやるのかを考えないルール
    • 紙の「入退出記録」の運用
まとめ
  • マネジメントシステムの認証を求める事業者は伸び止まりの壁にぶつかっている
  • (特にプライバシーマークに)様々な批判が出てる
  • 認定を受けた企業内に形骸化の問題を抱えている
  • 形骸化の問題は自浄作用が弱いため劇的に環境が変化しないから停滞が続く


講演2-2「今だから考えるマネジメントシステムな話-現在-」(松尾秀樹 氏)

経営者は認証を取るのが大好き
形骸化してきたの? -> いいえ最初から
Pマーク:2年ごとに再審査がある

セキュリティ組織のモデル

大企業型

  • 巨大セキュリティ組織ができる
    • セキュリティ担当者が100名くらいいる
    • ロシアのハッカーを筆頭に20名の専属検査チーム
    • 入室は金属探知機で持ちものチェック
    • 施策検討は、大手コンサル率いる20名のエキスパート
    • あらゆるコンリスを吸い込んで抜け漏れなく検討
    • 開発は規定の試験を受け、認定されてから参画可能になる
  • 潤沢な治験、技術員多数で推進すると
    • 現状の業務を知らないまま施策の検討、一見して too much
    • 事業コスト負担が絶大、金も手間も時間
    • 組織のパワーバランスでものが決まっていく

中小企業型

  • 意識はあるけどお金がない
    • なんとか会社の規定(セキュリティポリシー)は作った -> そこで安心
    • Web診断は高額でウケられない、少数に絞って実施
    • 現場は業務の安全性について不安
    • 標的型にやられてるかも…監視をする金もないし
  • いいこともおおい
    • 決断が早い
    • スクテイク

大企業だけど意識が高くない

  • お金はあるけど意識は低い
    • 「ウチには守るべき個人情報はない」
    • 「メールアドレスは個人情報ではないとして規定書きなおしてもらえますか」
    • プライバシポリシーは「うっかり漏らしたら許してね」と書いておく


講演3-1「今だから考えるマネジメントシステムな話-未来-」(greenz 氏)

  • 語りたいこと
    • 未だ「現場」の問題が解決することがない
    • 「規格」も様々な問題を内包している
    • 「規格」の解釈で言葉遊びをするのではなく、本質を考える
    • その上で「マネジメントシステム」の仕組みの良い形を探り、提言したい
    • それらに至る思考過程も説明するのでそこで非仮想体験して欲しい
現状の問題点のおさらい
  • マネジメントシステムの認証は形骸化のフェーズに入っている

【企業サイド】

  • 導入費用だけでなく、説明、教育などの人的な負荷が高い
  • 現実と乖離したルール、社内申請の二重化

【制度サイド】

  • 規格の更新が行われず技術変化に追従できていない
  • 審査員の教育問題を解決できてない
  • この点はISMS側の比較的水準が高い
    • 専門性を持った担当業種方式の審査などを行っている
    • 画一基準による不要な対策の要求 -> 「よそもやっているから」
    • 紙を大前提にした審査方式の行き詰まり

※この領域は努力で解決できない。世界を個人で変えることが出来ないので出来る範囲で

あるべき姿の提言
  • 部署単位でなく、企業組織単位でセキュリティに限定しない管理
  • 効率よく必要なことを必要なことだけ行う仕組みへの「最適」へのアプローチ
  • 経営層の判断と現場の乖離の改善
「マネジメントシステム」の改革する
  • 「マネジメントシステム」の概念を使って「マネジメントシステム」の改善など

PDCA
KPT
なぜなぜ分析

  • マネジメントシステムというより思考法に近い
  • PDCA, KPTなどの分析手法でも原因をうまく抽出できないと誤った解決に至るという問題がある -> whyをたくさん出す

解決案の模索

  • 業務フローの整理、可視化
  • 各業務フローにある問題を認識、対策を講じる
  • 更に業務手順にフィードバックする
まとめ
  • 業務手順と対策が一体となった「最適化」
  • 経営と一体になった対策、ガバナンスという概念
  • セキュリティのためのセキュリティなんて意味が無い
  • ビジョンのない経営者はNG


講演3-2「今だから考えるマネジメントシステムな話-未来-」(松尾秀樹 氏)

日本企業のものの決め方

  • 人事に関しての習慣
    • 歴史の浅い「最先端技術」に関しては、若い世代に任せる
    • 古くからある業務「コンプラ、監査、経営」に関して外部のプレーンを登用、歴史の長いデキル部下を用いない
  • エンジニアの習慣
    • 自分がいちばん技術力がある、リスペクトされるべき
    • 他のやつがきらい、言葉を選ばない
    • 勢力争い、自分の部下であっても相手を選ばない
  • マネジメントシステムが本質を失っていく
    • 取り入れ方が間違っているかも
結論
  • セキュリティ施策は会社を愛している人 -> 俯瞰し尽くせる人が考えて作るべき?
  • セキュリティ施策は、必ずしも認証を得なくても実施できるし、効率的なリスク削減ができる
  • しかるべきあとに、体外アピールのため、更に社内施策を推進する根拠としてマネジメントシステム、または認証を利用することは経営的・営業的にいいんじゃないか
  • 現場の施策 => 現場がつくるべき
  • 施策の推進 -> マネジメントシステム名を根拠に利用
  • マネジメントすることそのものが目的になってしまったとき
    • コンサル会社の術中にかかっている
    • Pマークを維持していたら顧客に安心してもらえる
    • Pマークの審査官 -> 本当にわかっているのか
    • 非合理的な運用が延々続く
    • 新技術に対応していない

メモ:
スピン経済の歩き方:CIAの“サボりマニュアル”は、なぜ「日本企業あるある」なのか (1/4) - ITmedia ビジネスオンライン


LT

「HAPPY ENGINEERRING」(@kummassi 氏)
  • 「良いチーム」でないと楽しくない
  • 転職 -> 踏みとどまっている理由
    • ある程度大きな組織であれば「あるある」
    • 周囲をハッピーにできたら自分もハッピー?
  • 他人・組織を変えられるか
  • 楽しく働くための実験
    • ウォータフォールからスクラム
    • 味方を少しずつ増やす
    • 他社への介入についての学習
  • 動機付け
    • 外発的、内発的、親和的
「見に染みた中小企業のセキュリティ ~冬~」上村英樹 氏 (@securitybutton)
  • 営業ウイルス
    • ふるまい:標的型電話攻撃
  • 電話攻撃対策
    • 「席を外しています」など
  • 訪問攻撃対策
    • 「会議中です」
  • 『中小企業のセキュリティは弱い』
    • 名言1:うちは漏洩して困るような情報はない
    • 名言2:ウイルスが悪くて私たちは悪くない(責任は問われない)
    • 名言3:自分でできるから大丈夫 -> 「IPアドレスって何?」

添付ファイル付きメール危ない拡張子は表示しましょう

「Azure, AWSで出来るセキュリティ対策」じゅんくどう 氏
  • クラウドでセキュリティって実際に何が出来るのか
  • オンプレで出来ることはクラウドでも大半出来る
    • しかし、工夫がいるところも
    • リスクを理解して利用しよう

懇親会

運営のお手伝いをして遅れて合流しました。参加者の昔話や高専の話などしました。
名刺を作る必要性アリ…
じゃんけん大会で、セキュリティのすごい人たちが集まって書かれたセキュリティの薄い本頂いちゃいました…大切にしたいと思います!
f:id:solismb:20160117205617j:plain



感想
一日中、とても濃い時間を過ごせました。またいろんな方とお話出来て楽しかったです!