Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Take the Red Pill

10月20日のIT Mediaエンタープライズさんの記事「社長がセキュリティを理解しない会社など、辞めた方がいい」がとても面白かったです。

セキュリティ業界に関与する人で、Brian Krebs氏を知らない人は相当もぐりかもしれません。元ニューヨークタイムズ誌の記者であり、米Target社の事件をはじめ、数々の調査レポートを(無償で!)そのBlog(Krebs on Security)に書いていますが、McAfeeのイベントで「Take the Red Pill」と題した講演を行い、引用したのが映画マトリックスの冒頭でモーファイスが いま見えている現実は全て虚構で、その真実を知りたいのなら「赤い薬」を、その事実から目をそらし今の現実を受け入れたいのならば「青い薬」を飲め、と迫る場面。

 

www.youtube.com

「今のセキュリティも同じこと。侵害されていないと思うということは、その組織が“青い薬”を飲み続けているのだ。『自分のキャリアが失われるから、侵害が起きているという戦略は採りたくない』とトップが考えている。勇気を持って“赤い薬”を飲むべきだ」(クレブス氏) 

 

記事では、社長がセキュリティを理解しなければ辞めてしまえばよいと下記の様にいかにも(転職が普通な)アメリカらしい意見も書かれていますが、日本ではなかなか難しいかと思うので、、、

上層部がセキュリティに対する理解や興味がないのなら、別の会社で仕事を探すといい。その方が早いし、引く手もあまただ。自分の会社が侵害を受けていないと信じているのならば、被害を受けた経験がある企業に勤めていた人間を雇うことも手だろう

英国ITProの記事にあるように、多くの企業が侵害(のリスク)から目をそらしていることが、自社だけでなく(自社の)顧客や社会をリスクに陥れている(=青い薬を飲んでいる)という提言を日本企業内で考えるのが良いもしれません。

「Too many organisations "just don't want to know" that they have been breached, putting themselves, their customers and the public at risk」

2つの記事、それぞれ読み応えがありました。

Krebs氏の講演聴いてみたいなぁ。。。

 

www.itpro.co.uk

 

薬のイラスト「薬の紙袋」