行ってきた。


感想なぞ。


最後のスペシャル・イブニング・セッションしか出れなかったが、全体的にモデレータの質問とパネラーの回答が噛み合ってなかった気がする。質問内容は事前に共有していないのだろうか。パネル・ディスカッションって、そういうことしないの？


セッションを聞きながら思ったこと。


「情報資産の分類をうまくやる方法は？」について


そんなもんないだろうと思った。一般的な分類としては同じ情報でも、会社によって価値は違うし。ただ、あるお客さんのところでは、セキュリティとか災害対策とか全部取り扱う「リスクマネジメント事務局」を作って、「情報資産の分類がわかんなかったら、どんどんリスクマネジメントに連絡してこい」ってユーザに頻繁に宣伝してたな。で、問い合わせがある毎にリスクマネジメントでアドバイスして、扱いが難しい情報については情報セキュリティ委員会にエスカレーションして、そこでジャッジしたりしていらっしゃった。
キモは、そうやって分類のナレッジを少しずつ会社に蓄積していってることだろう。中には「あん時はああ言ったけど、あの分類ちょっとまずかったかな」なんてこともあるだろうが、そこはPDCAでお願い。


「セキュリティ投資を行う際の、コストとセキュリティのバランスをどう考えればいいか？」について


電機大の先生は、セキュリティ対策で得られた「データ」を、もっと有効活用する方策を考えるべし、とおっしゃっていた。
私は、普通にユーザ側の担当者が投資の「狙い」を常に意識するクセをつけることだと思った。これは別にセキュリティ投資だけに限った話じゃないと思うけど。「社長から号令がかかったから」とか、「セキュリティ診断受けたら、セキュリティ会社の連中がやれと言ったから」など、セキュリティ対策は後ろ向きな理由で行いがちだと思うんだけど、たとえそうだとしてもセキュリティ対策で金かかった分の、具体的な「狙い」は明確にしないと。シンクライアント入れるなら、端末の紛失件数0件とか。生体認証なら・・・あれ？どうやって「狙い」が実現されたことを確認するんだろう？匿名でアンケートとって、「最近IDの使いまわししましたか？」って質問するとか。


ハワード・シュミットさんの講演について


聞けなかった・・・。講演資料を見る限り、すごく普遍的な内容をお話されたみたい。
資料読むだけで英語の勉強になりました。
「Key information security issues」より。
cybercrime　・・・　そのまま
espionage　・・・　スパイ行為
fraud and embezzlement　・・・　詐欺行為、横領
disgruntled employees　・・・　会社に不満を抱く従業員
incidents　・・・　そのまま？意味が広い
cutting too deep　・・・　たぶん、「予算の削りすぎ」だと思う
lack of support from IT　・・・　どこも景気悪いですね・・・