amareloのブログ(仮)

IT系勉強会で感じた想いや知見をメインに書いていきます。

セキュリティ共有勉強会 参加レポート

1/24(金)にセキュリティ共有勉強会に参加してきました。遅くなりましたが、参加レポートです。

イベントページ

intra-security.connpass.com

今回のテーマ

今回は「社内教育」がテーマでした。社内教育への考え方、ISMSについてがメインの話でした。以下、登壇者のお話です。

奥山歩さん(@a_okusan) セキュリティ教育ってなにしたらいいの?

資料

docs.google.com

感想と概要

セキュリティ教育を軽く見る人多いけど、行動するための基準を知らないと、社員はセキュリティを守れない。目的を再認識してもらえるよう工夫しなければならないと思いました。

  • セキュリティ教育は、セキュリティポリシーの周知徹底のため実施。立派なポリシーも機能しないと本番で動けない。
  • 幹部、セキュリティ管理者、技術者、一般ユーザ、それぞれに実施する。対象によって内容を変化させる。
  • 一般ユーザには、明確な行動、基礎知識(こんなことあったら会社が潰れるよ等)、自社としての対策(規定やルール)を教育する。陳腐化するので定期的に。
  • 気づいていない大事なことを自分事として気づかせることが大切。

丸山ゆきえさん ISMSと社内教育

資料

www.slideshare.net

感想と概要

丸山さんは、この1年間で1人でガイドライン作ったり、教育やったり、Windows7全部捨てたり、といったことをやってきたとのこと。情シスになって4年目のよわよわ情シスと仰っていましたが、行動力もスピード感もあって十分つよつよだと思いました。自分も見習いたいです!

  • ISMSとは究極のPDCA
  • 教育もPDCA

    • P:教育のプランを立てる。
    • D:教育のテストを作成する。
    • C:回答を集計する
      • 出さないような人には急かしたり(実施率100%になるまで追い回す)、会議でさらす。
  • 社内教育はまず自分教育。自分が理解することが重要。検定を受けたくなる程までに。

  • まずはエンジニアに頑張ってもらう必要がある。何より謙虚に接して理解してもらう。

gd30secさん:素人がゼロから社内CTFを企画開催した話

資料

drive.google.com

感想と概要

セキュリティ教育は、セキュリティに詳しい人でないとできないと思い込んでいましたが、セキュリティ未経験者でも工夫次第で教育を作れるし、何よりもやる気なんだなと思いました。

  • 社長から社内SECCONの企画を命じられた
  • 取り扱う技術領域
    • ネットワーク機器、サーバの脆弱性を対象にした
  • 競技形式
    • 運営1人では採点できないため、全チームRedTeam形式にした
  • 評価形式
    • ハッキングの採点と報告プレゼンの内容
  • 非技術者分野

    • 高校数学でわかる暗号解読問題にした
    • 技術分野と非技術分野のリンク
  • 社内SECCON後、実施したことをサービス化

  • 認定ホワイトハッカーの資格を取得

uchiday13さん:こんな社内教育どうでしょう

資料

www.slideshare.net

感想と概要

金融機関のセキュリティ対策ということもあり、かなり徹底的にやられている印象を受けました。特にメール誤送信対策は、どこの企業でもなくせないセキュリティ事故ですが、根気よく教育するのがベターなのだと再認識しました。他のお話も参考になりました!

  • いろいろとメール誤送信対策したが、実は社内教育が一番効果があった!

    • 指差し点検など宛先確認の動作ルールの教育を3か月連続で行い、誤送信した人には三重の違反として扱った。
  • 不信メール訓練を継続的に実施し、開封率を全社に開示。報告率の高い部署をほめた。

  • 携帯電話紛失として、なくしたら弁償金徴収、携帯に届け出先ラベル貼り付けを取り入れたが、社員の壁が高くまだまだ導入途中。

FGtatsuroさん:会社で一番ISMSが嫌いな社員が語るISMSとの付き合い方

資料

www.slideshare.net

感想と概要

認証は取ることが目的になりがちだと思います。ISMSはセキュリティを守れていることの証明なので、普段から職員が効果的にPDCAを回せるよう、環境面の改善も工夫する必要があることに気づきました。個人的には今回の勉強会で一番刺さった発表でした。

  • ISMSの規格を満たす方法は明示されていない。職員がISMSに興味を持ってもらえるよう、業務と親和性がある環境や運用方法にカスタマイズする。
  • 必ずしもISMSを取得している企業 != セキュアな企業 ではない。
  • ISMSを自分事として取り組むならば価値はある。他人事ではお金の無駄になる。自分事にすることが大切。

飛び入りLT

  • 教育をどうするか悩んだら、個人と組織と時間を考える。
    • 個人のレベルが低いならば、足りない部分を教育
    • 組織のレベルが低いならば、ルールを作り徹底させる。
    • それを時間かけて続けていく。
  • 入社試験で足切りのセキュリティテストをやった方がよいのでは?
    • セキュリティテストが一般化すれば、学生も真剣に勉強してくる。意識ない人に教えるより、意識ある人を採用した方が楽。

お悩み相談会

  • どうすれば工数をかけない社内教育を実現できるか?

    • 社内のセキュリティレベルを把握し、その人に合う教育をする。全部に同じ教育をしようとしても、工数が増えるだけ。
  • 受講者参加型の教育のノウハウは?

    • ゲーム型の教材がある。CTFもある(準備は大変)。
      • 脱出ゲームはおすすめ!
  • MDMがないのにリモートワークをスタート。どうすれば・・・

    • スタートするな!w

など、一部ですが、このようなお悩み相談がありました。

終了後

残っていた参加者で軽く食事に行きました。こんなこと聞きたいなど、勉強会の今後のテーマのこと、セキュリティに関する話が尽きませんでした。最後までいたかったですが、終電の関係でお先に失礼しました。

最後に

今回の気づきは、この3点です。

  • 教育の目的を伝え自分事にしてもらう
  • 教育を受講しやすく効果が上がるような工夫をする
  • ルールを守れるような業務環境や仕組みを作る

これはセキュリティに限らず、こちらから他人に何かを実践してもらいたい時も同じだと思います。取り組みやすい環境とその意義を伝え、ハードルを下げないと、ただ「やって!」ではきっと人は動きません。工夫を加えて何度もPDCAを回していくしかないと思いました。

それでも、スムーズにセキュリティ教育を遂行するのはことは難しいですが、効果があることを再認識しました。自分も真剣に取り組まねばならないです!

次回テーマは、「リスクマネジメント」

また刺激的なお話を聞くことができそうで楽しみです!