意味の薄いチェックリスト
- カテゴリ:
- Nonセキュリティエンジニア向け
- セキュリティ入門
企業の規約とか日本のISMSの項目をそのままチェックリストにして
現場にとって意味の薄いチェックリストを現場に押し付ける。
原因は、
現場と経営者をつなぐようにしろとか、役割としてが誰がやるのかは、
ISMSでもNISTでもちゃんと定義されてるのでISMSもNISTも理解できていないか、
ならばとサーバーとかソフトウェアの設定値に落とし込んでも
それが正しいのか、運用できるのかがわからないし、
その調査/検証も膨大なお金がかかるので検証せずテキトウ(根拠がない)または一回しかやらないか。
ゼロトラストのいうところの「一度正しいと定義したものをきちんと更新しろ」とは、
この業務にほぼほぼ全力でかかっていて
・意味のないチェックリスト運用をしないこと
・一度決めたからじゃなくてきちんと更新すること
ということだったりします。
ちなみに、
このあたりができるセキュリティエンジニア/コンサルが市場ではものすごく高いし、
企業が手放さないので稀だったりします。