日帰りで行ってきました、品川。これは新幹線の駅なのでJR東海だけど（笑）。


午前中に羽田から品川へ。
四国に居住しながら何故だかSuicaユーザーの私、3月18日からSuica、PASMOの
相互利用が実現されたこともあり、京急でもタッチ＆ゴーで品川着。
いやいや、これは便利。
あとは、Suica（≠ICOCA）でPiTaPa相互利用が実現できれば言うことないのだが。

そして、早く到着しすぎて時間つぶし。


で、本題。今日は時折参加させて頂いているCMUJ情報セキュリティセミナーへ参加。
今回のテーマは「これからの情報セキュリティリーダーに向けて」と題しての
講演とパネルディスカッション。

ネタがネタだけに、スーツな方ばっかり。


そんな中、一人スニーカーとジーンズ。だって、楽なんだもん（苦笑）。


さて、CMU助教授な先生のお話は、早い話、
　・何かがあったときの法的責任（liability）はどこが負うの？
　・リスクマネジメントの観点から「何かがあったときの計画」をつくっておこうね
ってな話を実例交えつつご紹介頂く。

預金者保護の話で、銀行と預金者にトラブルがあったとき、どちらに瑕疵があるかを
証明しないといけないか、という話は興味深かった。
トラブル時、UKの制度では預金者が銀行側の瑕疵を証明せねばならず、銀行優位な
制度のため、結果的に銀行のセキュリティレベルが向上しなかった。
が、USの場合は、銀行側が預金者の瑕疵を証明せねばならず、預金者優位な制度のため、
結果的に銀行のセキュリティレベルが向上した、とのこと。

HP（ホームページではない）な方の講演では、早い話、セキュリティポリシーもだけど、
ITガバナンスの確立の方が重要だよ、と。
ま、ポリシー決めてもそれをきちんと実行できる組織力がないと絵に描いた餅だよ、
ということなのだろう。当たり前と言えば当たり前の話。

残り、パネルディスカッション。
お題目の「これからのCISOに求められるもの」とは少し乖離した、某NISCな方の
お話が大部分を占めてしまい、ちょっと盛り上がりに欠けたような・・・。
モデレーターのCMUJ武田先生もまとめづらかっただろうなと拝察。

ま、結論としては、CISOはこれから必要になってくるよね、と。
でも、成果の評価は難しいよね、ということらしい。

一連のお話を聞いていて思ったのは、理想と現実の乖離。
ポリシーやルール決めただけで満足してしまう（ひょっとしたら、これさえ決められない）
ことが多いうちの会社では、（コーポレート and IT）ガバナンスを論じるには
百年早いような気がする。

結果、ずるずる行くしかないのだろうな・・・。