CPEもあり参加してきました。
たくさんいい講演を聞くことができましたが、
個人的には最後のセキュリティ意識のパネルディスカッションでの、
LAC長谷川さんの話が興味深かったので少し取り上げてみます。
それは「6~7%の壁」の話です。
これは、どんなにしっかり教育を行ってもルールを整備しても、
ヒューマンエラーを含めてインデントは起こる、
その壁が6~7%、これ以上は減らないというお話でした。
人数なのか件数なのか、もう少し深堀りして詳しく聞いてみたい所ですが、
ある一定以上は減らないというのは実感も含めてまず正しいでしょう。
そして「だからそれ以上は別のコントロール、管理策が必要」というのも実にしっくりくる話です。
どんなに頑張っても持ち出しPCを紛失する人は出ます。
どんなに頑張ってもメールやFAXの誤送信はなくなりません。
だってそうでしょう。
地震や津波や、台風や地すべりなど、自分の命に関わるような数々のリスクがある中で、
それらのリスクに対してだって自分とどれほど関係があるか、
実際に経験してみないと動き出せないのが人間です。
ましてや情報セキュリティのリスクにだけ全員が完璧に対応できるなんて、
そんなことを本気で考えて人がいるとしたら、ちょっと残念としかいいようがありません。
なぜ無くならないんだ!と怒る上司がいるのであれば、
一定数以下にはならないことを理解させることが必要かもしれません。
ですので、いわゆるうっかりミスに対してあまりに厳しくあたるのはナンセンスです。
もちろん反省を促す、あるいは今後の糧として周囲に啓蒙することは大事です。
ですが、意味もなく現実性のない対策をネチネチと考えさせることは時間の無駄です。
FAX誤送信を完璧に無くす方法があるならみんなやってます。そんなものは無いのです。
時間はコストですから有効に使わなければなりません。
もし、リスクを0にしたいのであれば、それは低減ではなく除去が必要です。
例えば、PC持ち出しを禁止するのか、シンクライアント化するのか。
人の対応にだけ頼るのはナンセンスです。
ITにより新たなリスクが生まれ、そしてリスクの大きさも変わってきています。
であるならばITによりリスクにも対応すべきということです。
人にだけ頼るやり方はとても非効率で無駄も多く、穴も大きいものです。
ここで重要なのことは、だからといって教育が無意味というわけではないことです。
放っておけばやならいのが人間であるからこそ、教育は極めて重要でです。
ISO27001の改訂版では教育するだけではなく、きちんと従業員が認識を持つところまで求められると聞いています。
セキュリティに特効薬はありません。
教育もシステムによる対策もそれぞれ重要であり、車の両輪としてそれぞれ実施していく必要があるのです。
<情報セキュリティマネージャー ISACA カンファレンス2013 in Tokyo/a>
たくさんいい講演を聞くことができましたが、
個人的には最後のセキュリティ意識のパネルディスカッションでの、
LAC長谷川さんの話が興味深かったので少し取り上げてみます。
それは「6~7%の壁」の話です。
これは、どんなにしっかり教育を行ってもルールを整備しても、
ヒューマンエラーを含めてインデントは起こる、
その壁が6~7%、これ以上は減らないというお話でした。
人数なのか件数なのか、もう少し深堀りして詳しく聞いてみたい所ですが、
ある一定以上は減らないというのは実感も含めてまず正しいでしょう。
そして「だからそれ以上は別のコントロール、管理策が必要」というのも実にしっくりくる話です。
どんなに頑張っても持ち出しPCを紛失する人は出ます。
どんなに頑張ってもメールやFAXの誤送信はなくなりません。
だってそうでしょう。
地震や津波や、台風や地すべりなど、自分の命に関わるような数々のリスクがある中で、
それらのリスクに対してだって自分とどれほど関係があるか、
実際に経験してみないと動き出せないのが人間です。
ましてや情報セキュリティのリスクにだけ全員が完璧に対応できるなんて、
そんなことを本気で考えて人がいるとしたら、ちょっと残念としかいいようがありません。
なぜ無くならないんだ!と怒る上司がいるのであれば、
一定数以下にはならないことを理解させることが必要かもしれません。
ですので、いわゆるうっかりミスに対してあまりに厳しくあたるのはナンセンスです。
もちろん反省を促す、あるいは今後の糧として周囲に啓蒙することは大事です。
ですが、意味もなく現実性のない対策をネチネチと考えさせることは時間の無駄です。
FAX誤送信を完璧に無くす方法があるならみんなやってます。そんなものは無いのです。
時間はコストですから有効に使わなければなりません。
もし、リスクを0にしたいのであれば、それは低減ではなく除去が必要です。
例えば、PC持ち出しを禁止するのか、シンクライアント化するのか。
人の対応にだけ頼るのはナンセンスです。
ITにより新たなリスクが生まれ、そしてリスクの大きさも変わってきています。
であるならばITによりリスクにも対応すべきということです。
人にだけ頼るやり方はとても非効率で無駄も多く、穴も大きいものです。
ここで重要なのことは、だからといって教育が無意味というわけではないことです。
放っておけばやならいのが人間であるからこそ、教育は極めて重要でです。
ISO27001の改訂版では教育するだけではなく、きちんと従業員が認識を持つところまで求められると聞いています。
セキュリティに特効薬はありません。
教育もシステムによる対策もそれぞれ重要であり、車の両輪としてそれぞれ実施していく必要があるのです。
<情報セキュリティマネージャー ISACA カンファレンス2013 in Tokyo/a>