情報セキュリティ白書2018から気になった3つ
情報セキュリティ白書の2018版が出ました(サマリーはこちら)PDF版は簡単なアンケートに答えれば無料でダウンロード出来ます(IPA:情報セキュリティ白書2018)ボリュームも241ページありますので、保存してちゃんと読むには書籍版(Amazon)をオススメします。
1.脅威は外部から攻撃される?だけ
IPAは情報処理推進機構であり、情報処理技術者試験の実施本家です。白書の第一章はp6-p72まで約66ページからありますが、うち内部犯行等の人的要因による記述は、約10ページだけです。これはサイバーセキュリティ、ITセキュリティの推進機構なので偏ってしまうのはしかたない事ですが、実際にはそれだけが情報セキュリティではありません。問題発生の現場で見ている割合は、白書と同じではありません。
以下、毎年JNSAが発行している報告書ですが、発生件数と白書のページ割合で言えば、約1/6である10ページは逆転します。これは情報セキュリティにかかわる方ならば簡単な話です。
JNSA:2017年 情報セキュリティインシデントに関する調査報告書
2.法整備と政策から差異を捉える
国内の法整備と海外の政策などがp97-p112まであります。ここは要チェックです。
まずは国内の法整備(大したものはないですが)と、海外の動向を比較してみて下さい。漏洩天国といわれる状況が見えてくると思います。そこから不足部分(ほとんどですが)とか、気になったことを摘まんでみて下さい。差異とトレンドから今後の動向や、進むべき方向、個人情報やプライバシーの考え方等、大局的な流れと方向性が見えるはずです。先日書いた欧州GDRPの記事も参考にどうぞ。
3.人材とマネジメント
情報セキュリティ人材の現状と育成p113-p117、情報セキュリティマネジメントp120-p121、現場の肌感から思うことがあります。
企業規模によってかなり違うのですが、特に中小企業におけるセキュリティ対策の遅れに危機感を持っています。国内の99%近くが中小企業です。(中小企業の定義)ここを固めておかないとならないのですが、人的、金銭的なコストもあまりかけられない…だから出来ない(しない)という選択ではありませんが、これが現況です。
わかっているのにしないケースも多くありますが、そもそも”そんな脅威”を知らないケースのが多いです。
人材の現状と育成では、適材適所が進んでないことです。例えば情報システム部の方々はITシステムを円滑に動かすことが仕事ですが、情シス⇒情報セキュリティのように範囲は拡がっていきます。これ自体は何も問題ないのですが、ここから更に情報セキュリティマネジメントのよに情報セキュリティの全体をテクノロジーからマネジメントまで一緒くたにまとめて1つとして考えられています。
それぞれ得意分野の専門性は異なりますが、分けて考えられないのは、その中身について理解出来てない(してない)から、同じににか見えない。これは現場の方々が本当に不憫です。
セキュリティマネジメントでは、先の一緒くたな考えの元となっている偏った体制になっています。本来は情報セキュリティプロジェクトとして、社内それぞれの専門家が集まった体制になる必要があります。こんな感じです。
もちろん、ここまで出来ないとしても、一部兼任や全体の中の位置付けなど、ポジションを明確にすることに意味があります。1つの形が見えれば同じでなくとも、考え方などは見えるので現状の差異がくっきりしてきます。
…わずか3つの気になった点しか書いてませんので、目次の斜め読みだけでもしてみて下さい。何か言えてくるはずです。
また巻末に情報セキュリティ10大脅威2018と、各種無料で使えるツール類もあります。いろいろ活用出来ますので、使ってみてはいかがでしょうか?
参考ブログ:情報セキュリティ「個人」の10大脅威(2018版)の超個人的解釈 と 情報セキュリティ「組織」の10大脅威(2018版)の超個人的解釈