雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|

2008-07-04

WASForum 2008 CIO/CTO DAY

かなり充実した半日でした。

CIOが為すべきITマネージメントとセキュリティ対策
(よい意味で)教科書的な内容。一番印象に残ったのは、規定を作っていく過程で、どういったことを誰がやるのかといった点や社内体制の矛盾が明らかになった、という言葉。ただ、そうした規定作りなどはやりたくないけどしょうがなくやってると言っていたのは、余計な一言ではと思った。
不正アクセス事件から学んだこと
カカクコムのインシデントレスポンス話。その時の対処からこれまでの取り組みまで。社員のモチベーション維持というのが実は結構重要なキーワードだったような気がする。
Web攻撃の脅威に立ち向かうには
サウンドハウスのインシデントレスポンス話。ものすごくアクが強い社長でしたが、判りやすく、人を惹きつける話し方ができる人という印象。パネルディスカッションで攻撃を受けてムスッとされてましたが、逆に今のセキュリティ業界にはああいう理解しようとしている経営層こそ必要だと思う。ので、もうちょっと正しい知識を吸収してあの調子で今後もがんばって欲しい。応援してます。
インターネットとセキュリティに関する企業の責任
今回一番の発表。経営者層向けには一番説得力のある内容だったように思う。今後の仕事(社内のみならず受託でも)での相手の説得には使わせてもらおう。
パネルディスカッション
キーワード^J実店舗なら客の姿が見えるがオンラインでは今日は不振な客が多いなとかがわからない。^J経営者だって理解したいと思っているが、企業からの助言はどうしても売り込みに見えてしまう^Jあらゆる(360度からのと言っていた)攻撃をカバーするポートフォリオ(って理想論振りかざされても経営サイドは困っちゃうんじゃ?と思った)^JセキュリティのPDCAサイクル:常に新しい攻撃などの環境の変化に対応し続ける^J事故は必ず起きるという前提で予算・体制を組もう^JCIO/CTOは技術と経営の間のよき翻訳者とならなければならない^J経営者視点では現状一寸先は闇、道筋を示す光が欲しい

あと、今日の一連の流れを通じて、経営サイドとフォーラムサイド(というと語弊があるかも)の間での大きな認識の違いにひとつ気づいた。カカクコムの安田氏に対し、慶応の先生が「当時、『最高のセキュリティ対策を施していた』という発言があったがそれでよかったと思うか」と質問していたのに対して安田氏は「当時としてはよかったと思う」と答えた。また、高木氏がディスカッションでサウンドハウスの中島氏に「ちゃんとした開発者はいたのか」と質問したのに対し「2名は詳しいものがいた」と答えた。これらの発言は経営サイドとしてはごくまっとうだ(というか、こう言うしかない)と言うことをフォーラム側の人たちも理解する必要があると思う。「社員が無能だったから不正アクセスされました」とか、そういうニュアンスを少しでも感じさせる発言をしたら、その会社は内部から崩壊してしまうからだ。ディスカッションの途中、中島社長がポロッと「経営者にはセキュリティ以外にも人事・金策など考えないといけないことがたくさんある」と本音を漏らしたが、会場はそれをスルーしてしまった。中川氏がNGNについて語った際、高木氏がボソッと「NGNはだめでしょう」と言って会場が大爆笑して話が終わってしまった。

そんなつもりはなかったのだろうが、せっかく話を聞く気になってくれた経営サイドを無駄に追い詰めたり、小馬鹿にしたと受け取られかねないような態度を取っていたら、いつまでたっても溝は埋まらないと思う。