20130309 web sig_security

強い組織になるための「非・堅牢な」

セキュリティ設計のススメ

Kohei Takizawa2013/03/09

Creative Approach for Innovation

福田 敏也Toshiya Fukuda Captain, loftwork

棚橋 弘季Hiroki Tanahashi Innovation Maker, loftwork

滝澤 耕平Kohei Takizawa

chief director, creative div.

大学卒業後、大手出版社を経て2007年にロフトワーク入社。主に中規模から大規模のCMSサイト構築や、アバター制作をはじめとしたコンテンツ制作・運用も担当するなど幅広いジャンルのクリエイティブディレクションを担当。難易度の高いプロジェクトを手がける一方で、プロジェクトマネジメントや仕事術をテーマとした執筆・講演活動も精力的に行う。2011年、チーフディレクターに就任。ディレクション業務に加え、クリエイティブdiv.全体の牽引役として活躍中。行政サービス情報の標準化・オープン化を目指す、Web関連11社合同「OpenUMプロジェクト」副事務局長。

「リテラシーとコンプライアンスに合わせる」とかレベルの低い話してんじゃねーよ

（原文ママ）

3.11

予測不可能な出来事

Black Swan

Nassim Nicholas Taleb作家／研究者　( 1960 - )

・普通は起こらないこと

・とても大きな衝撃があること

・（事前ではなく）事後には予測が　可能であると思われること

Black Swan

私たちは、不確実な状況がとりうる範囲を押し縮めて（つまり未知の空間を小さくして）、自分が知っていることは過大に見積もり、不確実性は過小に見積もる。

リスクに対する人間の予測なんて

まったくアテにならない

「堅牢なセキュリティ」なんて存在しない

「堅牢ではない」という前提に立った

プロセス・仕組み作り

『個人情報の取り扱いに関するガイドライン』

リスクがある事を自覚し、合理的で理知的な体制作りを目指す

個人情報を持つ以上、漏洩リスクを「ゼロ」には出来ません。しかしリスクをゼロに出来ない事を前提にするからこそ、しっかりしたポリシーや漏洩時の対応体制、そしてセキュリティに対する改善対策をとる事が出来ます。重要なのは漏洩リスクを最小限にするポリシーの策定と継続的な取り組み、そして発生時の対策を改善し続ける理知的な体制作りにあると考えます。

徹底したサーバー側管理とシステム化

ロフトワークは個人情報を格納するシステムを徹底して「サーバー側」に置き、ローカル環境、つまり個人のPCを始めとしたデバイス上には絶対に置かない事を原則とします。

作業プロセスおよび、事故発生時の対応方法の明確化

ルールを厳しくすることで情報を扱う個人が考えなくなっては意味がありません。ロフトワークでは、作業プロセスが明確に定義されていない業務を行う際にも、最善のプロセスを考えるための思考プロセスを明確にしていきます。併せて、万が一事故が発生した際には、被害を最小限に留めると共に、社外を含めた関係者に速やかに情報が行き届くためのエスカレーションルールを明確にしておきます。

「最善のプロセス」を考えるための

思考プロセスの共有

シュレッダー問題

シュレッダーが1台

クライアント用の資料の紙の束

資料はちゃんとシュレッダーにかけなきゃ！

シュレッダーが1台じゃ足りない！

ちゃんと自分の頭で考えろ。

そもそもそれは本当にシュレッダーで処理しなきゃいけない

資料？

そもそもそれはプリントアウトしなきゃいけない資料？

シュレッダーを増やす？ 全然クールじゃないね。

「紙は全部シュレッダー」は、ただの思考停止

問題がどこにあって影響はどこにあるのか？

理知的に考える力

エクセル禁止令

日々の業務の中でのフィードバック

オンラインツール

▼ファイル共有slidesharefirestorageSugarSyncDropBoxSkyDrive

▼リアルタイムco-meetingCanvasDropr

▼マインドマップMindomoMindPiecemind meister

▼モックアップ作成Cacoo

WireframeSketcherInVision

▼WBS管理SmartSheetSkype

▼テキスト、画像、ブックマーク共有DiigopinterestEvernoteSkitch

▼プレゼン作成Prezi

▼ソース管理github

▼GoogleAppsGoogle Site

Google SpreadSheetGoogle アンケートGoogle カレンダーGoogle ハングアウトGoogle Group

▼アカウント管理HighriseSalesforce

▼その他SNSなどFacebookYammerGoogle+Skype

yammer

yammer

事故が起きた時の迅速な対応と明晰な報告

事例

定量的な影響分析

報告書 (Word 7ページ) の作成

先手をとった対処

隠させない

「対立」を生まない関係性作り

PR

Public Relations

外部向けの“リレーション”

社内外両方に向けた“コミュニケーション”

Open

社内／外を分けないオープンな情報共有

Credibility

企業メッセージとスタッフの振る舞いに矛盾がないこと

ソーシャルメディアポリシー

http://www.loftwork.jp/profile/socialpolicy.aspx

目指すべきは「堅牢さ」ではなくて柔軟で理知的な仕組みと組織

Antifragile

「脆弱さ (fragility) 」の反対は

「堅牢さ (robustness)」ではない

「非脆弱さ (antifragility)」

外部からの衝撃によって

むしろ利益を得る

・とはいえオンラインツール増えすぎ・とはいえスタッフ一人一人の意識は　もう少し高く・いま社内管理してるものの中にも　さらにクラウドに持っていけるもの　がある・スタッフが学習していくことが　できるプロセスを設計したい

AI (After Internet)の世界における9 principles

THE PRINCIPLES：Resilience

PullRisk

SystemsCompassPractice

DisobedienceEmergenceLearning

strengthpushsafetyobjectsmapstheorycomplianceauthorityeducation

overoveroveroveroveroveroveroverover

THE PRINCIPLES：しなやかさ

プルリスクシステムコンパス実践逸脱発生学習

強さプッシュ安全もの地図理論遵守権威教育

overoveroveroveroveroveroveroverover

しなやかさプル

リスクシステムコンパス実践逸脱発生学習

強さプッシュ安全もの地図理論遵守権威教育

overoveroveroveroveroveroveroverover

THE PRINCIPLES：

Thank you

Kohei Takizawa