BCPとセキュリティセミナーに参加した
名古屋に行く予定があって、時間も合ったのでBCPとセキュリティのセミナーに参加しました。
http://ac.nikkeibp.co.jp/itp/bcp0315/
IPAの人と弁護士が講演してくれました。
個人的に弁護士の話はおもしろかった。
IPAの人の話で印象に残ったこと
JTBの情報漏洩は外部から指摘があってから3か月後に公表した。サイバーインシデント対応計画がダメだった。
セキュリティ投資は費用対効果の判断が困難。
情報セキュリティ10大脅威2017 1位は標的型攻撃による情報流出。標的型攻撃は政府機関、関係者、知人を装い、ウイルス付きメールを送ってくる。
標的型攻撃は侵入前に攻撃準備や基盤構築で2年近く時間をかけることもある。だから攻撃されているかどうか気づかないらしい。
侵入手口の「やり取り型」で多いのは求人応募。人事に仕掛けるそうだ。
情報セキュリティ10大脅威2017 8位はIoTに関連する機器の脆弱性の顕在化。実際にイランの核施設の遠心分離機が乗っ取られたり、クライスラーの工場ラインが止められたりしたそうだ。
情報処理安全確保支援士制度
雑感
当然だけどITを使って仕事をすることが増えるからセキュリティが重要になってくる。制御システムに攻撃されたら工場がストップすることなんて普通にあり得る。
弁護士の話で印象に残ったこと
BCPの本質=災害時の判断者が明確な組織であること。自身が活動不能になったときに大丈夫か、いつ、誰が、何を判断するのか準備できているか。
企業には安全配慮義務がある。自然災害の危険からも従業員を保護する義務がある。東日本大震災で犠牲者を出した七十七銀行女川支店と常磐山元自動車学校だが、前者は賠償責任なしで後者は賠償責任ありとなった。七十七銀行女川支店は普段から避難訓練を行っていて、マニュアルを用意したり、社内広報で周知したりしていた。そして津波が来た際もラジオやワンセグや双眼鏡で情報収集をしていた。一方、自動車学校は防災無線の避難警告を聞いていたが何もしなかった。これらのことから裁判所は災害の情報収集義務と情報取得後の判断に重きを置いている。
東日本大震災の時はいろいろな復興支援があったが、その情報が末端までなかなか届かなかった。
甚大な被害を受けた時はまず罹災証明書を必ずもらう。
被災者生活再建支援金は家が全壊したら100万円出るそうだ。災害弔慰金は大黒柱がなくなったら500万円もらえるそうだ。公共料金の減免申請もある。被災ローン減免制度があるので銀行、保険、サラ金に猶予申請できる。
甚大な被害を受けたときはカードや印鑑がなくても銀行からお金をおろせるので財布を取りに戻らない方がいい。財布を取りに戻って逃げ遅れた人がいるそうだ。
雑感
同じ津波被害の訴訟でも判決結果が違うのは興味深かった。
そう考えると企業は普段から避難訓練をしたり、社内広報をする必要があるし、管理者は有事の際に情報収集をして従業員を避難させないと安全配慮義務違反となるようだ。
災害弔慰金は当然のようにもらえるわけではないみたいだね。
関連記事
杓子定規で判決を下すなら裁判官なんて要らない。AIでいいだろ。