本日はサイバーの日(3/18)です。
というわけで、いつものISACA名古屋月例会に参加してきました。
明日(3/19)第12回名古屋情報セキュリティ勉強会が開催されることもあってか、そちらの勉強会でお見掛けする方々の参加も多かったようです。
※私は、気づいたのが遅くすでにキャンセル待ち⇒定員追加⇒またキャンセル待ちの状態だったので、明日は残念ながら不参加です(先週も連日出歩いたのでかなりお疲れモード、ということもあり…)。
色々と細かい話を聞くことができたのですが、書いていいか迷う部分もあるので、気になったポイントだけいくつか箇条書きであげておきます。
・マイナポータル利用開始の延期について。Javaアプレットを使わない方向&使い勝手向上へ。
⇒どこぞの公的システムは、そこでまさかのActiveX(!)という荒業を選択しましたが、さすがに今回は違うようです。
・インデントが発生すると、前線で作業する人は数日間時間を取られることが普通にあるので、その人の日常業務を代わりに行う人員の手配、インシデント調査人員のローテーション(交代作業)の計画・調整が重要。
・「ハッシュ」は一般的な用語ではないということで、どう言い換えたらいいか悩む。
⇒結局「不可逆暗号化されたパスワード」という謎の表現で漏洩事故を公表。
・日本では個人情報にばかり焦点が集まるが、多くの攻撃者が本当に狙っているのは、他の機密情報ではないのか?
・問題が起きていないから、人を減らしても大丈夫では?といって人員が減らされる。
⇒侵入に気づいていないだけかも。
・最近、「秘密の質問」がID・パスワード認証を「補強」するかのような形で、不思議な使われ方をされるケースが増えてきた。
・専門的な作業を外注する場合、頻度が低いと窓口担当者が発注のやり方を忘れてしまうので、本来は発注不要なレベルの案件でも発注することがある。
⇒発注側にもスキルが必要な場合があります。わかります。
・色々な「○○不足」が叫ばれることは何度もあったが、果たして本当に不足した(していた)のであろうか?
・セキュリティ人材不足⇒育成の必要性を叫ぶ前に、ちゃんとキャリアパスを考えておかないと、セキュリティバブルがはじけた後に困る人がたくさん出てきてしまう。
⇒自動化できるものは自動化。
・事故の際に必要なスキルは、洞察力と瞬発力、それから度胸。
最後の「度胸」ですが、私の情シス時代、情報漏えい事故ではありませんが社内ネットワーク全体(地方拠点含む)に影響が及ぶ不規則障害が発生したときに、原因となった(と突き止めた先の)拠点のネットワークを切断することになり、その連絡を後輩に指示したところ、その後輩さんが(当該拠点のボスである)役員の抵抗にもひるまず押し通したことがあったのを思い出しました(カッコいい!!)。
「KKD」と揶揄されようが、やっぱり度胸は必要です。