ISACAの月例に参加。このテーマはとても重要なのだけど、そしてとてつもなくリスクのあることはわかっているけれども、今の体制でどこまで厳格にできるのかを考えるとなかなか憂鬱なテーマ。確かにリスクは高い、管理も監査も必要だけど、そこまで手間とお金をかけられるか？リスク管理は利益を生み出さないことと、めったに起こることでもないので、特にソーシャルエンジニアリング系は性善説になりがち。ということでちょっと興味深く拝聴。

結論は、当たり前だけど仕組みを作って愚直にやるということ。具体的にどうやったらいいのかは本日の話のようにガイドラインやコンサルがあるのだけど、問題はそれ以前に、そうした仕組みを入れてお金も人もかけて管理し、監査するという文化かな。こういうのは執行部隊がやるよりは2線とか3線から指摘してもらった方が、やりやすいですけどね。そんなことではいけないのかもしれないけど・・・