2021 6月 16 07:26:16

みずほさんの内部事情と改善と

カテゴリ:: Nonセキュリティエンジニア向け; ニュース解説

機密情報に触れない程度に解説。

報告書

ニュース

結論から書けば、
リスクの感度が低い＝リスクを把握できないまたは(無意識に)軽視しているということです。
これは、社内政治または技術屋優位になり「セキュリティマネジメント」の領域を軽視すると起きます。

2021 6月 7 20:00:49

ドメインの記載の仕方と注意喚起

カテゴリ:: Nonセキュリティエンジニア向け; ニュース解説

注意喚起が注意喚起になっていない件。

/がない以外にも、
・ドメインといっても通じないからと用語を書かない(客を馬鹿にしすぎ)
・対象を本文に含めてしまっている
・リンク化してしまっている(押せてしまう)
ということが問題。

ついったーでも触れている方がいましたが、

経営がうまくいっておらず
営業とか他部門＞エンジニア(その他間接部門)の力関係で対立またはワンマン化しつつあり
エンジニアが逃げているか口をきけない状況に陥っていて、
内部統制がうまくいっていないと私も察しますね。

内部統制がうまくいっていない企業ほど
技術がわからない人への考慮＝相手をなめきった文をかきがち。

ちょっとした文で人は察するので、
一般の人が目に触れるところに出す前のチェックは重要な役割だったりしますよ。

2021 6月 5 20:00:05

意味の薄いチェックリスト

カテゴリ:: Nonセキュリティエンジニア向け; セキュリティ入門

セキュリティの業務のほとんどはコレ。

企業の規約とか日本のISMSの項目をそのままチェックリストにして
現場にとって意味の薄いチェックリストを現場に押し付ける。

原因は、
現場と経営者をつなぐようにしろとか、役割としてが誰がやるのかは、
ISMSでもNISTでもちゃんと定義されてるのでISMSもNISTも理解できていないか、

ならばとサーバーとかソフトウェアの設定値に落とし込んでも
それが正しいのか、運用できるのかがわからないし、
その調査/検証も膨大なお金がかかるので検証せずテキトウ(根拠がない)または一回しかやらないか。

ゼロトラストのいうところの「一度正しいと定義したものをきちんと更新しろ」とは、
この業務にほぼほぼ全力でかかっていて
・意味のないチェックリスト運用をしないこと
・一度決めたからじゃなくてきちんと更新すること
ということだったりします。

ちなみに、
このあたりができるセキュリティエンジニア/コンサルが市場ではものすごく高いし、
企業が手放さないので稀だったりします。