Hatena Blog Tags
はてなブログ トップ
組織セキュリティ
このタグでブログを書く
言葉の解説
ネットで話題
関連ブログ

組織セキュリティ

このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。
青葉台駅伝言板1年前

セキュリティ推進の、どうしよう

まず、準備のための頭の整理として、ポリシーと基準、手順のちがいを、生成AIくんに、効いてみた。 ポリシーと基準、そして手順は、情報管理やセキュリティにおいて異なる役割を果たします。 ポリシー (Policy): 定義: ポリシーは、組織が策定する情報セキュリティ対策の方針および行動方針です。 目的: どのような情報資産を自社で扱い、脅威から保護するのかを基本的に記載します。 具体的内容: 運用規定や運用体制、基本対策なども明記されます。 メリット: 従業員の意識向上や取引先からの信頼を得ることができます。 基準 (Guideline): 定義: 基準は、具体的な規則や実践方法を示すものです。 …

#組織セキュリティ

関連ブログ

青葉台駅伝言板1年前

2線の設定と、1線の支援希望のギャップ

組織の中で、セキュリティーリスク対策が大事なのは、みなさん総論は賛成。しかしながら、各論に入ってくると、どうしても各社の事情が入ってきて、2線の取り組みが、1線組織からするとあまり支援やサポートっぽく見えないことがある。ざっくりいうと、2線がセキュリティポリシーや規約・基準を作ると、1線の組織(特に幹部)、「うちにはさー、セキュリティ人材がいないからさー」とのくだり。誰しもが聞くやり取りではないだろうか。こういうギャップを埋めつつ、なんとか無理せず守れる環境づくりを目指したい。

#組織セキュリティ
青葉台駅伝言板1年前

組織セキュリティのススメ

各社で組織セキュリティの推進をするなかで、質問が多かった点をまとめてみた。 ① セキュリティ統制、セキュリティポリシーの策定と推進 セキュリティ統制の方針については、JISとかでも規程されてる。会社がポリシーとして決めたものは守る、を基本にするのが当然。例外前提がないわけはないけど、まずは守ることを基本にしないと、統制の意味がないというか、統制がかからない。 他方で、ルールで統制するのは大事だけど、愚直に守ることに、経営者・統制推進者・従業員がどこに遵守のこだわりを持つかは、それぞれの立ち位置で見直さないと勘所がわかりにくい。 推進者がミッションに燃えても、結局組織から見ればヒト・モノ・カネが…

#組織セキュリティ
青葉台駅伝言板1年前

ゼロトラストで知る、ヒトの優しさ

「ゼロトラスト」が、セキュリティ対策の1つのキーワードになっている。 悪い人が中と外に分けている「境界型セキュリティ」に比べて、データも悪い人も、内にも外にもいる現状を踏まえてセキュリティの再設定ということだけど、各組織でのセキュリティ担当者からすると、「今までWEBサーバを中心に、セキュリティ対策を考えればいい、と言われてたものを、どう言い方を変えればいいんですか?」と悩むところかもしれない。 ゼロトラストという言葉だけはあちこちで載っているから、識者とか業者の説明を聞いてみると、個々のヒトの説明の軸足は多少違う気がするけど、おぼろげながらゼロトラストの考え方は分かってくる。 まあ、「組織の…

#組織セキュリティ
青葉台駅伝言板1年前

永年保存は究極のセキュアか?

再び、組織セキュリティの話。サイバー攻撃等、何らかの情報喪失による事業の停止に備えるため、情報資産のバックアップをやるというのは通常の話。本来は、事業継続に必要な情報資産を洗い出して、台帳等にも管理ルールを定めておくとともに、実際の情報のバックアップなども実施しておく。 そこで、A氏から質問があった。「◯◯◯の情報資産は非常に機微なので、永年保存管理にルール付けるべきではないかと考えるが、どう思うか」との相談があった。A氏は監査寄りの人。情報を全体になくさないためにも、永年保存にしたほうがいいのではないかとの相談であった。 私は、永年保存はなかなかセキュアにはなりにくいと思っている。理由はこう…

#組織セキュリティ
青葉台駅伝言板1年前

セキュリティは、まず知ることから、かな。

少し旧聞になるのですが、昨年の10月に、米国のサイバー庁*1とFBIとMS-ISAC*2が連名で、「Understanding and Responding to Distributed Denial-of-ServiceAttacks(DDoS攻撃の理解促進と対策の向上に向けて:仮訳題)」という資料が公開されています。MS-ISACというのは、米国における行政組織のセキュリティに携わるヒトのISAC組織になります。 https://www.cisa.gov/sites/default/files/publications/understanding-and-responding-to-ddo…

#組織セキュリティ
青葉台駅伝言板1年前

組織の情報セキュリティは誰がために行うのか?

自分の家の近所の治安が悪いので、ドアに鍵を2つ付けた。鍵を1つにするか、2つにするかは、誰が決めるべきなのでしょうか。 一軒家なら我が家の判断。賃貸なら不動産やさんが予め考えているかもしれません。マンションでも分譲なら、まあ、これも不動産屋さんかもしれないし、マンションの自治会かもしれないし、そもそもセキュリティマンションってありますよね。 組織の情報セキュリティも、家のセキュリティルールを決めるのも、所詮は考え方を決めるのは同じで、生活共同体の主体者なんじゃないかと思います。 セキュリティに関する細かい技術がわからないから信頼の置ける業者のお任せサービスに入ってみたり、逆に技術も明るいメンバ…

#組織セキュリティ
青葉台駅伝言板1年前

基準と監査

前に、組織ごとにセキュリティ規程を共有する必要性を書いた。 規程と基準、要領(手順書)の段階的に分けて考えるのは正しいのですか、特に基準の濫用にならないようにしたい。 基準というのは、セキュリティリスクやリスクのある業務に対して、どこまでの業務許すのか、業務で取り扱う情報などの機密度合いなどを判断する基準などを総称して基準としている。 一般的に考えても、基準が厳しければ業務に対しての足枷は厳しくなるし、ゆるければ従業員がセキュリティリスクに遭遇するリスクが高くなる。基準と対策は、事業をやる中でのリスクと対策に対する投資対効果の両立で決めるものと考えたい。 もちろん、世の中に基準を作るに当たり、…

#組織セキュリティ
青葉台駅伝言板1年前

組織の情報セキュリティ担当者入門(3)情報資産台帳を作る

中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構のセキュリティ管理規程の中でも、最初の方に、情報資産管理の話があります。 その記載をそのまま引用すると 当社事業に必要で価値がある情報及び個人情報(以下「情報資産」という)を特定し、「情報資産管理台帳」に記載する。 ここで、考えたいポイントがいくつかあります。 当社事業に必要である価値のある情報であること 特に、個人情報(これは個人情報保護法でも守られているので、特出し) 上記2つを組織が特定すること。それを情報資産管理台帳に記載すること。 情報資産台帳を作ったからと言って、なにかITが…

#組織セキュリティ