ボストンで開かれた会議、SecureWorld Bostonでのパネルで、低コストで良いセキュリティを手に入れる方法が話し合われた。
プロセスが確立していれば、工夫の仕方はある、ということかな。
プラス、英語だとリソースもいっぱいあって、羨ましい。
IT security on the cheap - Network World
大学Brown UniversityのCISO David Sherryの発表。
オープンソースを使う。商用ツールと比べると完璧というわけにはいかないが、good enoughなものはある。リスク評価はフリーのツールを使っている。
学生に侵入テストをやらせている。企業においても、地域の学生を集めてインターンをさせるといいのではないか。
IT関連の契約を見直して明細を入手し、値引き要求や安くなる形の契約変更。保守契約の解約。
他の学校とのオフサイトストレージ交換...って何だろう。
BoseのTerri Curranはセキュリティ啓発について。海外に目を向けて、同時に自分の社内にも目を向けようと指摘。
政府の活動として、良いツールを提供しているところがある。たとえばオランダのウェブにはウィルス対策などに関するビデオやスライドが豊富。Interpolも良い資料がある。
社内については、社員で手助けしてくれる人が意外といるものだ。以前は啓発ビデオを外注して作っていたが、社内で公募するようにして、コスト削減だけでなくできばえもよくなった。
(啓発ビデオを自前で作ってる時点でレベルが違うなあ)
社員に接触することが大事、地方拠点のことを考えてBrainshark社のオンラインプレゼンのツールを使っている。
Genzymeのセキュリティ担当者Anne Oribello:ポリシー策定でもフリーのツールが使える。
SANS Security Policy Project と NISTを例示。そのままでは使えないかもしれないが出発地点として使える。
標準規格を活用できる。HIPAAを、医療機関でなくても参照するなど。
Leave a comment