社内SEのヒトリゴト

社内SEのヒトリゴトです。

【SecurityAction全然盛り上がっていない】IPA主催「中小企業の情報セキュリティ推進シンポジウム2017」に参加してきました

先週開催されたシンポジウムに参加してきました。

www.ipa.go.jp


内容としては中小企業向けのセキュリティ推進セミナーといったところでしょうか。職場から近かったという昨今のセキュリティ事情を鑑み、また自社のセキュリティ対策のヒントになればと思い参加することにしました。

f:id:lksdsw:20170211071559j:image

ちゃっかり支援士のパンフレットも入っていました。

ちょっと思うところがあるので記録に残しておこうと思います。

 

オープニング

ある意味ここが一番驚きました。突然部屋が暗転したと思ったら、1分弱の「なんかかっこいいムービー」が流されました。内容はサイバー攻撃やセキュリティ事故の恐怖を煽るようなもので、あえて例えるなら「踊る大走査線」のオープニングみたいなテイストの映像でした(「古い」禁止)

会場内撮影禁止だったため様子をお伝えできないのが残念です。ただ、相当お金がかかっていることでしょう。正直嫌いではありませんでしたが、現役社内SEとしては予算が気になりました。また、多くのおっさんが置いてけぼりになっている様子が面白かったです。

ちなみに、会場はベルサール日本橋。2015年に竣工したばかりの日本橋のランドマーク的な立派なビルの地下イベントホールで開催されました。

イベントホールの使用料金はこちらから。

イベントホール HALL 全体|東京エリアの貸し会議室・イベントホール・会場ならベルサール東京日本橋

同ページ内イベントカレンダーによると2月7日ははC料金が適用。9時~17字の利用で300万円!うひょーー!その他、会場スタッフも多数動員されていましたので相当お金のかかった気合の入ったシンポジウムということになりますね。

 

シンポジウムは大きくわけて以下の構成でした。

  1.  基調講演
  2. SECURITY ACTION について
  3. パネルディスカッション

この時点で2番が謎ですよね。順番に内容をまとめていきたいと思います。 

 

 基調講演

ジャーナリストとしても有名な佐々木俊尚氏によるによる講演でした。今回の参加理由の一つでもあります。講演テーマは「企業成長に欠かせないIT利活用と情報セキュリティ」です。なんか凄みがありますね。

テーマとは裏腹に、セキュリティ技術に対する言及は基調講演の1割もありませんでした。これからのITビジネスがどうなっていくのかという内容で話が進んでいきます。キーワードは「クラウド」、「IoT」、そして「AI」。
かなり乱暴にまとめると、こんな感じです。

『今後はすべてのモノがインターネットに繋がるよ。パソコンやスマホだけじゃなくて、自動運転車や家のホームドアみたいに、より人間の暮らしに直結したものがインターネットに繋がるよ。もうこんな(略)研究も進んでいるんだ。
とっても便利だけど、例えば自動運転車がハッキングされて暴走しちゃったらとても大変。自分の生活や命にもかかわってくるよね。そんな未来がすぐそこまで来ている。セキュリティやろうね』

今後ますます多様化していくインターネットビジネスにおいて、セキュリティ対策は待ったなしですよ。というある種の恐怖感を煽ることによってセキュリティの重要性を訴えたのではないかなと思いました。

↓少し前にこんなニュースもありましたよね。

jp.techcrunch.com

Uberの収集した配車情報などのビッグデータと自動運転技術がコラボしたら面白いことになりそうですよね。

以下の私のツイートも講演の受け売りです。笑

 

便利な反面、セキュリティを考えないと大変なことになるということはよくわかります。セキュリティの重要性、緊急性を訴えるという意味で良い内容だったと思います。

一点本当に残念なのは、恐らくこのシンポジウムに来ているのは経営層じゃなくて情シスや社内SEの人がほとんどなんじゃないかなという点です。うちの社長に私が説明しても理解してもらえるかどうか…。

 

Security Action

さぁ謎パートです。ちょうどこのシンポジウムと同日に、IPAは一つのプレスを出しました。

www.ipa.go.jp

かなり乱暴に要約すると、IPAだけじゃなくて商工会議所とかいろんな団体が協力して「中小企業の自発的な情報セキュリティ」を推進させるために色々やるよという宣言をした、という内容です。参加団体は以下の通り。見たところほぼ経済産業省が主管庁ですね。(全部?)


その中に Security Actionの創設 があります。同プレスによると「中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度」とのこと。自社のセキュリティへの取り組みレベルをIPAに申請、以下のマークをホームページや名刺に記載していいよというものです。

f:id:lksdsw:20170212125407p:plain

『上IPAサイト内より画像引用』

 

・・・。

ちなみに、ガイドラインは以下のURLより取得可能です。

www.ipa.go.jp

 

とりあえず★1つの情報セキュリティ5か条ってどんなもん?ということなんですが、以下の通りです。

  1. OSやソフトウェアは常に最新の状態にしよう!
  2. ウイルス対策ソフトを導入しよう!
  3. パスワードを強化しよう!
  4. 共有設定を見直そう!
  5. 脅威や攻撃の手口を知ろう!

 

(っ'-') ・・・。

 

 パネルディスカッション

 テーマは「攻めと守りの両立を考える ~中小企業における情報セキュリティ対策とは~」
残念ですがここが最も期待外れでした。私としてはパネリスト同士のガチのぶっ込みあいが見たかったのですが、ほぼ台本通りといった感じでモデレーターさんの質問にそれぞれが解答するだけというもの。「討論」にはなっていませんでした。しかし時間も限られていましたし、仕方ないですね。人の争う姿は醜いものですしね。

ここで何度も出てきた発言が、「セキュリティは費用と受け取られがち」「セキュリティは投資と受け止め、経営者が率先して取り組むべき」というものでした。

 

うん…!私もそうなったらいいなと思ってた!!
ぐへへ

「弊社の経営層に言って」という参加者の心の叫びが怨念となって会場に渦巻いている。そんな空気を私は感じました。

 

まとめ

IPAのセミナーは初めて参加しましたが概ね満足です。「セキュリティの重要性を中小企業の経営層に訴えたいという思い」は伝わってきましたし、私自身意識を改めることができました。

今後気になるのはSecurity Actionですね。厳しい言い方をすれば、こんなもん何の意味もないとも取れます。特に監査が入るような言及もないので言ったもん勝ち感は否めません。『ガチでセキュリティやってますアピールをするならばISO27001やISMSを取得すればいいじゃないか』という声も聞こえてきます。

とは言え後者は少々ハードルが高く、審査にはお金もかかります。Security Actionは体制さえ整っていればほぼ無料で宣言することができますので、情シス部門が経営者に話をしやすいというのが最大のメリットだと思いました。セキュリティは投資だ!と叫びつつも、お金がかかるのは事実なのです…。

 

また、IPAが他団体とも協力してセキュリティに力を入れていくというのは紛れもなく朗報だと思います。昨年は経済産業省総務省で以下のような声明も出されました。

IoTセキュリティガイドラインを策定しました(METI/経済産業省)

個人的には経済産業省総務省のセキュリティへの取り組みについては未だにチグハグ感がありますが、いずれにしても国全体としてセキュリティへの意識が高まっていくのは喜ばしいことだと思います。セキュリティ人材の待遇も向上していくといいですね!

 

とりあえず弊社でも中小企業向けセキュリティガイドラインを今一度確認してみたいと思います。

Security Actionのシンボルマークはどうするかは未定です…笑