2LoD.sec

セキュリティマネージャの仕事やセキュリティガイドラインの要約など

第2回しろおびセキュリティ 振り返り

5月15日(金)に第2回しろおびセキュリティ デジタルアイデンティティ編を開催しました。 第1回に続き、振り返りの記録です。

  • 振り返り
    • 開催概要
    • 内容・資料
    • 参加者数
    • アンケート結果
    • よかった点
    • 反省点
  • 次回のご案内
続きを読む

セキュリティの本を書いた振り返り

前回のブログの通り、「大企業のセキュリティプロジェクトマネジメント」という本を書きました。

その中でプロジェクトには振り返りが大事だと述べました。私の執筆プロジェクトも完了後1週間の区切りとしてここに振り返っておこうと思います。

お金の話含めてかなりストレートに書きますので、そういう話は品がない!と思われる方はお戻りください。

続きを読む

【告知】本(同人誌)を書いてみた。

自分には社外登壇とか関係ないだろうなぁ → しました。

コミュニティ運営とか大変そうだなぁ → 立ち上げました。

同人誌って遠い世界だなぁ → 書きました。


ということで、はじめて本を書きました。

続きを読む

AI時代の脅威モデリング(想像)

徳島県のTOKUSHIMA Cyber Security Meetup主催の脅威モデリングワークショップ(AI活用ワークショップ)に参加して考えたことを備忘として書く。

AIが発達する中で、脅威モデリングはどう位置付けられ、向き合うべきなのか。みたいな話。あくまで個人の感想です。

続きを読む

第1回 しろおびセキュリティを開催してみた

11月24日にコミュニティの立ち上げを宣言してから2ヵ月。やっと昨日(1月28日)第1回のしろおびセキュリティを開催できました。

応援・助言・質問・懸念さまざまな声を頂き、mondが荒れかけたりもしつつ(草)、無事「成功」と言ってよい結果にできたのではないかなと思います。

自分が楽しかったのは当たり前だし、そんな思い出話をしても仕方ないのでできるだけ定量的な振り返りを書いておきます。


ここに書く目的は

  • 今回参加できなかったけど興味ある方に雰囲気を知ってもらう
  • 他のコミュニティイベント開催者への参考データ提供
  • なんとなくの自分の記録

です。

続きを読む

【雑記】30代を走り終えた振り返り

先日40歳になりましたので、30代を振り返りつつやって良かったこと、後悔していることを書いてみます。今30前後の方へ何かの参考になれば。

ちなみに私は海外で登壇したとか名誉ある賞を頂いたような輝かしい10年間を歩んだわけではありません。普通のサラリーマンとして、まぁ悪くはない40代を迎えられたかな~くらいの振り返りです。

続きを読む

【雑記】セキュリティ初心者って何だろう

セキュリティ初心者って色々よね。という話。

最後にしろおびセキュリティの話に触れますが、しろおびに限らず、セキュリティに限らない話。ポエムみたいなもんです。


「初心」を辞書で調べると、「(専門の)学芸・技術の習い始め」

「何かをやろうと思い立った当初の純真な気持」という意味もあるが、初心"者"がつくのは上記の意味。


「セキュリティのことはニュースで見聞きしたり全社員向け研修を受けたくらいで詳しいことは何も分かりません」

こういう人が初心者を名乗ることについて異を唱える人はあまりいないでしょう。


初心者にとって、セキュリティの資格保持者や実務経験者はとても眩しく見えるもの。

そんな眩しい相手が「自分もセキュリティ初心者です」と名乗り始めると、立つ瀬がない思いや違和感を覚える人もいるかもしれません。

あるいは、自信がなくともプロとして日々歯を食いしばっている人にとっては甘えているように見えるかもしれません。

資格を取るくらい勉強したなら/関連業務に携わっているなら基礎用語は全然知ってるでしょ。そもそも資格名にProfessionalって書いてるじゃん。安全確保支援士の対象者像なんて明らかに初心者じゃないじゃん。

確かに一理あります。


一方、資格を持っていても実務経験がなくてまだまだ初心者だと思う人もいます。

たとえば私は10年以上前、セキュリティ担当になる前にIPAのセキュリティスペシャリスト(今の安全確保支援士)に合格しましたが、それだけで「もう君は初心者じゃない」と言われたら大いに抗議したと思います。

実務経験者でさえ、特定領域に特化しているために、ある一面においては初心者ということもあります。

何も知らない人よりも、少しでも学び始めた人のほうがドメインの広さ・深さに気づき、より一層「自分は初心者だ」と思いを強めることは自然なことです。それは甘えや恥知らずと責められることではありません。


更にややこしいことに、世の中には無資格でもセキュリティ業務を直接担っていなくとも詳しい人が沢山います。

資格の場合、合格後に登録しなかったり更新せず失効すると、見た目上は無資格です。


結局のところ、初心者とはその人の立場や心情をもとに各自が宣言する主観的なものです。

資格や業務経験年数は、一定の物差しにはなれど、完全ではない曖昧なものです。

だから、あなたは初心者である/ないを他人が明確に決めることはできません。

ましてや、顔も名前も知らない相手のそれを正しく把握することなんて不可能です。

あなたが初心者だと思う限り、あなたは初心者なのです。


****

少しコミュニティの話に移りましょう。

普段は「初心者」の定義を気にすることはあまりありませんが、しろおびセキュリティのように席数が限られたイベントとなると、途端に各自の事情や価値観がぶつかりはじめます。


こういう時は、事前に条件を決めすぎない。

希望者は、応募要件にあう限り(←重要)、自分の胸に聞いてみて「初心者だ」と思う人は応募すればいい。

運営は、できるだけ会のコンセプトにあう参加者が来られるように努力はするけれど、最後はランダムに選ばざるを得ない部分もある。

当選した人は参加してみて、残念ながら落選してしまった人は後日公開される資料を見て今後の参加方針を決めればよいと思います。


しろおびセキュリティの第一回の募集は12月14日(日)です。権威のある場ではなく町の寺子屋みたいなものなので、気軽にお申込みください。(先着順ではないので慌てる必要もありません)


なお、こういうブログを書くとコミュニティ運営悩んじゃってる?と心配の声を頂くこともあるのですが、ご安心ください。個人的に言語化する良い機会だな~と思い書いただけです。運営は楽しくやっています。


コミュニティの情報発信についてはconnpassのグループに参加するか@shirosecをフォローください。