これはなに
企業のセキュリティをドラクエと比較して、セキュリティの立ち位置をなんとなく理解する。
(LT向けに作ったネタを文字だけにしているのでわかりにくい感じも)
ドラクエをベースに考える
勇者の目的
勇者の目的はなにか。「魔王を倒すこと」?
「魔王を倒すこと」は手段で、きっと目的は「世界を平和にすること」。
王様の目的
「魔王を倒して平和を取り戻してくれ」
とこんぼうとたびびとのふくと 50G で勇者にアウトソースした王様の目的は、「国を繫栄させること」。
目的は国を繫栄させること
目的が満たせるなら、魔王を倒す必要もなく、
- 静観する
- 魔族と手を組む
ということも手段の選択肢としてありなはず。(たいてい裏切られるけど)
企業にマッピングする
セキュリティチームや情シスの目的
セキュリティチームや情シスの目的はなにか。「セキュリティ事故をなくすこと」?
「セキュリティ事故をなくすこと」は手段で、きっと目的は「会社を平和にすること」。
社長の目的
「セキュリティ事故をなくして、健全な会社にしてくれ」
とセキュリティチームや情シスに依頼した社長の目的は、「会社を繫栄させること」。
目的は会社を繫栄させること
目的が満たせるなら、セキュリティ事故をなくす必要もなく、
- 静観する
クラッカーと手を組む
ということも手段の選択肢としてありなはず。
まとめ
情シスやセキュリティチームにいると、「すべてのセキュリティリスクに対策すること」が目的になってきてしまうことがある。
そうなると、「経営陣が予算を出してくれなくて何もできないー」といったモヤモヤが生まれてしまう。
モヤモヤの正体は「現場と経営陣の目的の違い」ということを理解しておくと、心の平和が取り戻せる。
(経営陣から見るとセキュリティリスクはビジネスリスクの一要素でしかない。)
ここらへんについては、CISSP のドメイン1 で体系的に習得することができる。