やっつけ不定記

好きなときに好きなことをちゃっちゃと書いてます

OWASP Kansai DAY 2018.12 〜セキュリティで経営をたしかなもんに〜

何度かお邪魔させていただいているOWASP Kansaiさんのイベント。
今回はOWASP Kansai DAYです。
https://owasp-kansai.doorkeeper.jp/events/81123
会場は昨年と同じフェスティバルタワー。
帰りに知ったのですが、同ビルのフェスティバルホールでは、
氷川きよしさんがライブをやっていたようで、これを書いている間も
「やだね」と「ズンドコきよし」の脳内再生が止まりませんw


イベントはサイバーセキュリティと経営を題材に、基調講演4本とLT3本。
そして、講演者に対する質問タイムという構成。
質問タイムは専用のサイトが公開されていて、イベント中に自由に書けるという趣向。
時間の都合で扱われた質問は、講演1本につき2つだけでしたが、
自分が書いた質問が採用されたときは、ラジオ番組に投稿するハガキ職人の気分でした。


基調講演は公開NGが多かったため、メモは自分の中に温めておきます。
ここではLTとそれらに関わる質問タイムの手元メモを開放。
(☆)は自分のコメントです。




[LT1:Security = Center of management]
弁護士の方だけあって、講演のキレがすごい。


セキュリティはビジネスの継続阻害からの防衛
After incidentからbefore incident
誰かがやってくれるものではなく、みんなでやるセキュリティ
(情シス担当1人置いたから解決というのは論外)
Securityは競争から協争

(☆)要はインシデント起こってからあたふたするのではなく、
経営課題として日頃から取り組むべしということかな。


Securityの三要素=ビジネス継続
漏洩はセキュリティ問題の一つに過ぎない。


内部犯は技術で防げない(ある意味で一番怖い)
不正のトライアングル:機会・動機・正当化


過失防止に社員教育セキュリティポリシーがあるが、それらは万能か?
必要なのは「守ることができるセキュリティポリシー

(☆)ポリシー策定が目的化して自己満足に陥ってるの、何度も見たことあるわ。


RISKの定量化、サーバーセキュリティ基本法がキーになる。
国がセキュリティの資料を出していることは、セキュリティが一般常識であることを
国がメッセージとして出していると考えるべし。


(☆)下記3文書は読んでおいた方がよい。
・テレワークセキュリティガイドライン(たぶん別紙3が本体)
http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000200.html
・サイバーセキュリティ経営ガイドライン
http://www.meti.go.jp/policy/netsecurity/mng_guide.html


・Q&A
Q1:RISKの定量化とは?
A1:近いうちにベネッセ事件の差し戻し審の判決が出るので、それが物差しになる。
Q2:国が公開しているガイドラインの法律上の位置付けは?
A2:法的拘束力はない。しかし、GDPRについてはガイドラインに法的に処罰という
  文言があり、議論になっている。




[LT2:女子大生になった話(仮)]
某女優さんとは全く関係がないつちやたおさん、昨年のナースから女子大生に転生した模様w
企業と技術の橋渡しを生業としていた自分のキャリアを改めて棚卸。
→企業において重要なのは自社製品が売れること
→技術と企業の橋渡し人材が不要になる?
→制御システムやIoTセキュリティは重要だが、これを製品に追加することは
 価格上昇につながる(売れなくなる)
→新しい商品価値を作る必要がある(学び、考え、トライを続けたい)
大阪大学のセキュリティ講座(☆これかな?)
https://cy2sec.comm.eng.osaka-u.ac.jp/miyaji-lab/pro-sec/index-jp.html
の受講生になった。講座は平日の夜と土曜日の午前中。
仕事しながらの受講は、なかなかに厳しいとのこと。
(☆)受講料に対してかなり濃い内容。後でまじめに調べてみる。




[LT3:OWASP SAMMでセキュリティの”ちゃんと”を考えてみる]
・OWASP SAMM
https://www.owasp.org/index.php/OWASP_SAMM_Project
https://www.jpcert.or.jp/research/2010/SAMM_20100407.pdf
ちゃんとやるにはMECE(モレなくダブりなく)な取り組みが必要。
SAMMの活用はそれなりにハードルが高い。
→国内の他のガイドラインと組み合わせて使ってみるとよい。


(☆)下記ガイドラインをSAMMと組み合わせる。読んどいた方がよさげ。
・サイバーセキュリティ経営ガイドライン
http://www.meti.go.jp/policy/netsecurity/mng_guide.html
・IoTセキュリティガイドライン
http://www.meti.go.jp/press/2016/07/20160705002/20160705002.html





<戦利品>
はねバド!(14)
変女 〜変な女子高生 甘栗千子〜(11)