ISACA 2009年11月例会



本日は、S&Jコンサルティングの三輪さんを講師に、現状の情報セキュリティ対策の課題と対応について。
情報セキュリティ対策に纏わる現状の課題についてつらつらとお話されていたが、整理すると「技術」、「人」、「組織」のそれぞれの側面にて、多くの会社組織が課題を抱えている、と。


「技術」という側面においては、対策しても対策しても、次々と新しい手口が登場し、脆弱性はいつまでたってもなくならないという課題を抱えている。

「人」という側面においては、管理される社員にとっては、「セキュリティをがんばる」というモチベーションが上がらないし、管理する経営側にしても、しつこく社員を教育しようとするものの、

「社員教育を行った」という事実確認だけで満足して終わっている、という現状がある。
そして「組織」という側面においては、情報セキュリティポリシーの整備はかなり一般化してきたものの、ポリシーが古い、ポリシーがあいまいすぎて何をすればいいかよくわからない、逆に、ポリシーがどんどんどんどん肥大化していき、何をすればいいかよくわからない等、一言でいうと「実効性」がない。


これらの課題って、最近の話なのか???
私が社会人一年生の頃から、このあたりの課題って全く変わってない気がするな。でも、否認防止(Non-Repudiation)の技術がこれからは重要になってくる、という話とか、クラウドの環境では「確かにクラウドにデータを送った」「確かにクラウドでデータを処理した」「確かにクラウドで処理されたデータを依頼主側に送り返した」ということを証明する手段が重要になってくるだろうという話など、言われてみればそうかもと思った。あと、三輪さんの会社では最近、本番の生データを、「山田 太郎」とか「○○県○○市1−1−1−」とかで一律マスキングするんじゃなくて、ちゃんと意味のある文字列でマスキングし、個人情報の有効活用につなげる技術、なるものに取り組まれているらしい。これ、詳細知りたいね。