ロックが会議室の席に着くと、所員の顔とともにホワイトボードに「情報セキュリティ」と大きく書かれているのが目に入った。
どうやら今日の話題は情報セキュリティらしい。
所長代理
では定刻になったので会議を始めます
まず連絡事項ですが
こちらは配布されたレジュメに目を通してください
ロックがレジュメを手に取ると、今月の予定と重点項目が書かれている。
他に別途資料として情報セキュリティ十大脅威2018が添付されている
情報セキュリティ十大脅威2018
所長代理
そろそろA社が情報セキュリティの見直し時期に入るので
添付資料を元に対策を練っていきたいと思います
質問がある方は挙手お願いします
はい
この資料を見て私は何をしたら良いのでしょうか?
ロック
所長代理
ロック君は情報セキュリティについては初めてでしたね
東京経営法務研究所では情報セキュリティのための
規程類の整備も行っています
そこで年間計画や規程類の見直しがメインになります
年間計画ですか
そんなこともやっているんですか?
ロック
所長代理
情報セキュリティは規程作成だけではなく
マネジメントシステムとして運用することが望ましいですし
ISO27000やPマークはそれをやらないと取れません
そこで当研究所ではマネジメントシステムをまるっと受けています
所長代理
そのため教育計画や監査計画など策定する資料として
情報セキュリティ十大脅威を活用しているわけです
よくできていますよ これ
なるほど
確かにこれを読めば状況セキュリティの近況が解りますね
ロック
所長代理
ウチは更新時期が近いクライアントがあると新人やインターンをつけて一緒にやってもらっています
ここで一気に覚えてしまってください
承知しました
ロック
所長代理
では早速皆から意見が出る前にロック君に気がついたことを発表してもらいましょうか
・・・ロックは情報セキュリティ十大脅威2018とA社規程を舐めるように読んだ・・・
すみません
情報セキュリティには疎くてよくわかりませんでした
でも最近は直接メールやWEBからウィルスに感染するというのはメジャーじゃないんですね
ロック
所長代理
組織2位のランサムウェアはそういう系もあるので何ともいえませんが
少なくはなっているようです
主流はヒューマンエラーを誘うものですね
標的型メールはその典型です
なのでウィルス対策アプリのことしか書いていないA社規程では
ヒューマンエラー誘発型には対応できていないように思います
ロック
所長代理
そう だから教育が必要で
我々はそちらもやらないといけなくなってしまったというわけです
ヒューマンエラー誘発型は教育による予防が効果的だと思います
なるほどです
これはPCにカバーしてもらうことはできませんか?
ロック
所長代理
SOC(Security Operation Center)といって
ネットワークやデバイスの監視
サイバー攻撃の検出と分析
対応策のアドバイスを行う
といったことを行う組織を置くことでカバーができます
所長代理
これは当然PCも使います
お金はかかりますが大手なら入れるべきでしょう
でも導入したからといって教育の手を抜くと・・・
内部の人間がやっちゃうわけですね
ロック
所長代理
そういうことです
情報セキュリティ十大脅威の流れはここ数年こんな感じですし
規程はチェック中心で教育の資料をアップデートしていきましょう
法令のアップデートもチェックしてください
はい 頑張ります!
ロック
ゴンは皆の方に向き直り他の質問を促した。
しかし特に質問は無いようだ。
所長代理
では皆さん
他に質問が無いようでしたら今日は散会します
お疲れさまでした
お疲れさまでした!
ロック