カテゴリ:
セキュリティの業務のほとんどはコレ。

企業の規約とか日本のISMSの項目をそのままチェックリストにして
現場にとって意味の薄いチェックリストを現場に押し付ける。



原因は、
現場と経営者をつなぐようにしろとか、役割としてが誰がやるのかは、
ISMSでもNISTでもちゃんと定義されてるのでISMSもNISTも理解できていないか、

ならばとサーバーとかソフトウェアの設定値に落とし込んでも
それが正しいのか、運用できるのかがわからないし、
その調査/検証も膨大なお金がかかるので検証せずテキトウ(根拠がない)または一回しかやらないか。

ゼロトラストのいうところの「一度正しいと定義したものをきちんと更新しろ」とは、
この業務にほぼほぼ全力でかかっていて
・意味のないチェックリスト運用をしないこと
・一度決めたからじゃなくてきちんと更新すること
ということだったりします。

ちなみに、
このあたりができるセキュリティエンジニア/コンサルが市場ではものすごく高いし、
企業が手放さないので稀だったりします。