時差ぼけと戦いながらの聴講。
朝のキーノートは、Liberty Mutual InsuranceのCISOであるScott Blake氏。企業におけるセキュリティリスクの評価についての講演。リスク評価の際の基本的な考え方や、陥りがちな問題などについての話が中心だった。Chiken Little Syndrome(「チキンリトル」症候群)という言葉は面白い。つまり、リスクを過大に評価しすぎて、何事にも臆病になって過剰対策(規制)を行ってしまうような状況を言うようだ。なんとなく、今の日本の個人情報保護対策などにあてはまりそうな言葉である。もうひとつ、セキュリティ組織が時々、Business Prevention Division(これは、Business Promotion(営業推進)に引っかけた皮肉だが)なってしまうことがある・・・というのも面白い。彼いわく、最終的な対策(特にルールや規制)を決めるのはセキュリティ組織ではなく、経営判断であるとのこと。セキュリティ組織は、まず「リスク」を正しく評価して経営陣に伝え、経営陣はビジネスに照らして、利益と損失を天秤にかけるわけだ。多少リスクをとってでも進めたいビジネスもある。たとえば、なんでも「禁止」では仕事の効率も落ちる。それらの判断を経営に委ねるのは、セキュリティ組織としては正しい考え方なのだろう。ただ、日本の会社の経営陣が、こうした判断を下せる(というよりは好んで下す)かどうかは別の話だ。ここがCISOとCEOの責任分界点であり、これがうまくいかないと、CISOはむしろ、Chief Information "Scapegoat" Officerになってしまう・・・というのは、昨年のNetSecのキーノートで誰かが言っていた話だ。今の日本に必要なのは、このような考え方ができるCISOとCEOまたは経営陣なのかもしれない。
さて、夜が明けて今日は二日目。これから会場に向かう。昨夜は結構眠れたので、今日はあまり眠くならないですみそうだ。
コメントする