カテゴリ:
機密情報に触れない程度に解説。

報告書


ニュース


結論から書けば、
リスクの感度が低い=リスクを把握できないまたは(無意識に)軽視しているということです。
これは、社内政治または技術屋優位になり「セキュリティマネジメント」の領域を軽視すると起きます。

本文にも記載がありますが、

1.危機に対する組織力
2.情報機器に関する統制
3.顧客視線

これらがどういうことかといえば、
サーバの設定値とかソフトウェアとかに対してのみしか考えていない、
漏洩しなければいいんだ!とか局所的対策しかしていないということです。
(SOCだけしかないか、それも十分に機能できないことも理解できない)

「ちゃんとやっている(やれている)」
「こんなにもやっているのに!」と内部側は思っていることでしょう。

実際、知見をもっていないエンジニアだけの企業だとわりと起こりがちなことで、
みずほだからだ、というわけではありません。

他のニュースからみても




・連絡体制がない(CSIRT定義がないまたはやれない)
・社内で用語定義すら行われていない(または軽視されている)

ということがわかります。

経営陣からすると顧客のことは第一に考えているのだ!
ニュースがおかしい!と主張すると思います。

しかし、これらのニュースが指し示していることは、
社内に戦略系または内部統制系セキュリティの人がいないか、
いたとしても発言権がないか技能不足だとういうことです。

改善するには、
・セキュリティコンサルを確保する(第三者として関わる人)
・セキュリティマネジメント領域ができる人を確保する(エンジニアと繋ぐ人)
・任せられる体制を整える
ことからはじめ、

社内文化の修正となるため
・即時対応すること
・監査体制の設立と維持
・5~10年のスパンで改善すること
を分けて定義し進めていくことですね。

簡単に書いていますが、

理解できない人(知識不足でどうやっても理解する事ができない人)と
技能思考でしか考えられないエンジニアが抵抗勢力となるのでかなり大変なことです。
少なくとも年間5~10億くらいはかけて改善していくこととなります。

事業継続計画とか規定とか規約、
企業戦略の根幹にかかわるところからしなければならないですけど

知見を豊富にもっている
アクセンチュア、IBM、のセキュリティコンサルタント部隊なら対応できるのではないかと思いますが、大変すぎて断りそうなきがするほどです。

どこが受注し改善していくことになるかに注目したいところです。