haya/hayapi🧶 @yo_hayasaka Twitter profile

Pinned Tweet

haya/hayapi🧶

@yo_hayasaka

1 year

サイバーセキュリティ/情報セキュリティ領域とコーポレートIT領域とスパイダーマンとバットマンとチキンタツタと月見バーガーについてつぶやくアカウントです。カレーも好きです。

haya/hayapi🧶

@yo_hayasaka

5 years

ITと情シス関連のアカウントとして、再開します。

2

0

20

1

0

19

Last Seen Profiles

@BeyGood

@WeillClaude

@mahmoudmmg11

@170_Engineers

@amberleani

@yahahahufoundme

@AskMen

@GoBayFootball

@KateMonogamish

@cryptoabbe

@ToyhotnqQR9

@Melanie3365243

@GabriellaM60402

@NautilusGene

@Videopanashot

@papmantan69_

@margueri_s

@Kashif51493933

@evligiz60125833

@mooxncha_

@sukritibanthiya

@TeythareACQTOB

@deangel64037643

@muenster_de

@singingsiren22

@iNetworkSports

@BullForex386513

@jedito113

@SawasAwa_____

@jerrylenhart5

@R___RAJPUT1

@galery_basah10

@HusselbMichae

@ritesh_811

@codedestate

@jm_c_r

haya/hayapi🧶

@yo_hayasaka

11 days

「事業会社のセキュリティ」って、サイバーセキュリティばかり見ていると片手落ちになっちゃう。情報セキュリティ、内部不正、ガバナンス、法規制、非セキュリティ部門との連携網、BCP(ITに限らず)、自組織の業績とコスト構造、自組織のポジションや同業他社の動向、なんなら物理も俯瞰的に見ないと

3

56

261

haya/hayapi🧶

@yo_hayasaka

1 month

わかるオブわかる国としてセキュリティ人材を増やしたいのに、15万円/3年の費用負担を個人・各社に強いて、でも独占業務や何かしらのメリットがないの、だいぶ破綻してる(制度の見直し待ってる)

こざえもん

@koz_sec

1 month

情報処理安全確保支援士のオンライン講習で、何度か重要インフラ事業者に関する内容が出てきただったら重要インフラ事業者側は資格の維持費を出さなきゃダメだろ.. 片想いじゃん

0

11

66

0

40

151

haya/hayapi🧶

@yo_hayasaka

3 months

「情報処理安全確保支援士(未登録)」くんをたまに見かけるけど、登録してないうちは「情報処理安全確保支援士試験合格者」であって、「支援士を名乗っちゃダメなんだよーせめて『支援士(登録申請中)』になってからだよー」っていつも生暖かい目で見てる(倫理感的にもアレなのでフォローもしない)

3

27

106

haya/hayapi🧶

@yo_hayasaka

2 months

某所でお話しするスライドを置いておきます(このXアカウントは所属非公開です、一応ね)

小さなコーポレートITのはじめかた | ドクセル

Hayaの小さなコーポレートITのはじめかたをドクセルで読んでみよう

www.docswell.com

4

15

106

haya/hayapi🧶

@yo_hayasaka

2 months

EDRを冗長構成にするのってROIが見合わなさそう。ミッションクリティカルなドメインを除いては、「年n時間のシステム停止はリスク受容する」が現実的な解だと思っていて、今回で言えばIntuneでリカバリキーは確実に回収しておこう！とか被害拡大防止の観点の策を講じるのが良いと思ってるます

こばやし 𝕏 JTC情シス部長 (クラウド 𝕏 セキュリティ)

@jkobax

2 months

分からなくもないけど分からないなネットワークのように切替しやすいわけじゃないし、同じカテゴリーのセキュリティ製品を複数抱えて運用できるようにする備えにパワーかかり過ぎて現実的じゃないよ

2

3

22

3

27

98

haya/hayapi🧶

@yo_hayasaka

10 days

きちんとフリーアドレス制も廃止しているところは好感が持てる。「週4〜5出社に戻すのにオフィスや職場環境への投資を行っていないケース」をたびたび見かけるので、出社比率を戻すならそれに応じた投資もきちんと考えて、合わせて決議してほしい

ITmedia NEWS

@itmedia_news

10 days

Amazon、社員に週5出社求める　フリーアドレス制も廃止

5

261

349

6

905

4K

haya/hayapi🧶

@yo_hayasaka

25 days

脆弱性診断、ベネトレーションテスト、ASM、CSPM、脆弱性管理、脅威モデリング、バグバウンティプログラム etc どれかひとつだけやれば他はやらなくてよいというものではなくて、複数の手法を組み合わせて多角的に、予算の範囲で効率的に、脆弱な部分を見つけてセキュアにしていくのですよ

0

8

84

haya/hayapi🧶

@yo_hayasaka

1 year

最近よく訊かれることを書いた

Google Workspaceのアクセス制御の基本｜haya

お話すること・訊かれることがたびたびあったのでnoteにまとめておきます。想定する読者 Google Workspaceでのアクセス制御方法を知りたいシステム管理者 Google WorkspaceをIdPとして利用したいシステム管理者 ≒OktaやAzureADを導入する予算がない企業のシステム管理者アクセス制御の種類 Google Workspaceには大きく下記2種類の制御方法があ...

note.com

0

14

72

haya/hayapi🧶

@yo_hayasaka

5 months

情シス、CTO配下かCFO配下か総務部門配下で性質変わるよねーと改めて思ってる

1

56

haya/hayapi🧶

@yo_hayasaka

1 year

サイバーセキュリティ経営ガイドラインVer3.0の熱が冷める前に、書きました。

D2C企業でセキュリティ体制を立ち上げた話｜haya

お話する機会が多かったので、noteにまとめます。はじめに想定している読者・利用用途これからサイバーセキュリティ体制を整備・立ち上げようとしているセキュリティ責任者・担当者向けの参考事例として ISMS認証は取得してみたけど、次何すれば良いんだっけ？と考えているセキュリティ責任者・担当者向けの参考事例として (※) 組織内にすでにしっかりとしたセキュリティ体制・組織があって、継続的に運...

note.com

0

8

54

haya/hayapi🧶

@yo_hayasaka

1 year

ISMSの2013→2022移行で、新規に増える管理策はSecureNaviのマニュアルがいろいろ見た中で一番わかりやすかった

ISO/IEC 27001 および 27002 の改定に関する、SecureNaviの対応について

この記事は、2022年に「ISO/IEC 27002」規格が改定され、また、それに伴い「ISO/IEC 27001」の改定がされていることに伴う、SecureNavi の対応方針や対応内容をお伝えするものです。背景まずは、「ISO/IEC 27002」規格の改定について正しく理解するために、その背景を共有します。 2022年2月に、「ISO/IEC 27002」が改定されました。 IS...

support.secure-navi.jp

0

14

51

haya/hayapi🧶

@yo_hayasaka

10 months

情シスSlackアドベントカレンダーの3日目を書きました（なんだかんだで書き直した🫠🫠🫠）なぜセキュリティをやるのか｜haya @yo_hayasaka #note #アドベントカレンダー

なぜセキュリティをやるのか｜haya

この記事は、corp-engr 情シスSlack（コーポレートエンジニア x 情シス）#2 Advent Calendar 2023の3日目の記事です。 adventar.org はじめに 12/3はプレイステーションの日ということで、界隈が賑やかになるのでとても好きな日です。今年はMarvel's Spider-Man 2やHorizon Forbidden Westの追加エピソードが発...

note.com

0

9

49

haya/hayapi🧶

@yo_hayasaka

3 months

支援士はオンライン講習は年1でやるとして、実習は「8万円〜出して講習受けなさい」というスタンスやめて、「民間事業者向けのうん十万円のトレーニングが支援士ならn万円で受けられるよ！(3年に1度の条件をクリアできる)」「社外カンファレンスの参加費が優待される」とかの特典にすれば良いと思うの

0

8

47

haya/hayapi🧶

@yo_hayasaka

5 months

雑に書いた。組織のセキュリティの道半ばで立ち尽くすあなたへ｜haya @yo_hayasaka #note

組織のセキュリティの道半ばで立ち尽くすあなたへ｜haya

想定する読者果てしないセキュリティの道のりをみて挫折しそうなセキュリティ従事者(兼務含む) セキュリティ従事者としてアサインされたけど何をすればいまいちわかっていない人想定していない読者百戦錬磨のCISO すでにセキュリティ部門があり、正しく機能している組織結論「上には上がある」「やることが無限にある」と思考停止しない「組織として『いつまでに』『どのレベル』を目指すのか」を考える...

note.com

haya/hayapi🧶

@yo_hayasaka

5 months

「3分でわかる『組織におけるITセキュリティ施策の計画の仕方 / 考え方』」みたいなのも、GW前半にやや書きたい気持ちがあった(GW明けに社内で同じような話をするので＆汎用的な内容なのでどうせならnoteとかに書いてしまいたい)

0

8

0

8

46

haya/hayapi🧶

@yo_hayasaka

2 months

セキュリティマネージャー/セキュリティエンジニアは、他社のセキュリティの人間との、横のつながりが本当に大事だなあと思うこの頃。

0

3

41

haya/hayapi🧶

@yo_hayasaka

1 year

ISMSの維持審査終わった！！！(コンサルなし社内リソースだけで運用して、不適合&改善の機会ともに0件！！えらい！！) ので、CSIRTの話の会に行ってきます！！

2

1

40

haya/hayapi🧶

@yo_hayasaka

1 month

大事だね脆弱性管理だけでは不十分攻撃者が「めんどくさい」と思う組織になるには（ITmedia エンタープライズ）

1

35

haya/hayapi🧶

@yo_hayasaka

4 months

わかるオブわかるセキュリティルール/仕組みの必然性を理解してもらうためにも、日々の行動で無意識にセキュアなほうを選択してもらうためにも、リスクを正しく低減、受容、回避、移転してもらうためにも、すべての起点に教育とセキュリティ文化の醸成がある、と思ってます

こばやし 𝕏 JTC情シス部長 (クラウド 𝕏 セキュリティ)

@jkobax

4 months

従業員に守らせるセキュリティルールじゃなく、従業員を守るセキュリティの仕組み作ってこうぜ！とか言ってたけど仕組みで全部カバーできないからなんだかんだで教育が重要！となってる今日この頃です

1

2

36

1

2

34

haya/hayapi🧶

@yo_hayasaka

2 months

セキュリティ部門の目標、必ずしも定量的である必要はないと思ってる。ナンセンスな数字目標を立てるぐらいなら定性的で良い。

haya/hayapi🧶

@yo_hayasaka

2 months

「セキュリティインシデントによる業績影響ゼロ」という目標は本当に正しいのか？(有事の際に本当にその指標で判断するのか？)を問う会をした(にゃーんとは別)

1

2

12

2

3

33

haya/hayapi🧶

@yo_hayasaka

1 year

「結局のところ、経営者がセキュリティエンジニアのキャリアパスを真剣に考えていないからだ(略)それがなくては、一時的な好条件でセキュリティエンジニアを採用できたとしても、その人材は流出してしまう。結局数年後には自社のセキュリティが元の状態に戻ってしまうだろう」

職業としてのセキュリティ--セキュリティ人材の未来とは？

空前のブームと化したセキュリティ人材を巡る動向を歴史や経済から解き明かしてきたが、今回はセキュリティ人材の未来を展望する。

japan.zdnet.com

2

5

31

haya/hayapi🧶

@yo_hayasaka

1 year

サイト内のリンクすらNot Foundだらけ😇 (サイト外からのリンクやブクマ死んでるだけなら5兆歩譲って許せるけど、自サイト内でもリンク切れ起こしてるのは情報処理を推進している組織のミスとしてはとてもつらい)

IPA（情報処理推進機構）

@IPAjp

1 year

【IPAウェブサイトリニューアルのお知らせ】 3/31のウェブサイトのリニューアルに��い各ページのURLを変更しました。ご不便をおかけしますが、ウェブリンクをブラウザの「お気に入り」などに登録されている場合は新しいURLに変更いただきますようお願いいたします。続く→

57

702

681

0

16

27

haya/hayapi🧶

@yo_hayasaka

3 months

セキュリティコンサルさん、「これ大丈夫ですか？あれ大丈夫ですか？(自己保身的なことばかり言う)」というスタンスと、「XXXという懸念も多少ありますが、このプランで煮詰めていきましょう！」というスタンスの人がいるけど、前者にはお金払いたくないなーーーと思うこの頃

4

3

29

haya/hayapi🧶

@yo_hayasaka

1 year

雑にまとめました。『サイバーセキュリティ経営ガイドラインVer 3.0』の読み方｜haya @yo_hayasaka #note

『サイバーセキュリティ経営ガイドラインVer 3.0』の読み方｜haya

本ガイドラインの読み方をまとめました。本文の解説記事・まとめ記事ではなく、原文そのものの読み方です。想定する読者ガイドラインを読んでみようと思ったけど50ページ超で「うわー」となっている経営者とセキュリティ従事者このガイドラインって何者？？経済産業省が公開している、経営者のためのガイドラインです 2023/03/24にVer 3.0が公開されました本編はp.12〜32の全21ページ...

note.com

0

4

28

haya/hayapi🧶

@yo_hayasaka

2 months

人事システムとIdPがくっついたら、人事と情シスのどちらがスーパーアドミン権限を持つことになるんだろうか。

2

4

25

haya/hayapi🧶

@yo_hayasaka

5 months

今年もISMSの審査終わりました！ちょっと所見は出たけど、去年12月からのダイナミック人事&担当変更＆エクストリーム引継ぎの着地としては悪くない

3

0

24

haya/hayapi🧶

@yo_hayasaka

1 month

何はともあれ、国の「セキュリティ人材増やさなきゃ〜」という思いそのものには賛同しているので応援してます。あとは資格を作ったことに満足せずに意味のある資格制度になるように日々アップデートしていってほしい(ただし、万が一天下りの温床になるようなら滅びの呪文を唱えます)

0

4

24

haya/hayapi🧶

@yo_hayasaka

4 months

セキュリティ教育のコンセプトは「安心安全に、痛い目に遭ってもらう」

1

24

haya/hayapi🧶

@yo_hayasaka

5 years

ITと情シス関連のアカウントとして、再開します。

2

0

20

haya/hayapi🧶

@yo_hayasaka

7 months

セキュリティ部門でとりあえずセキュリティに関する責任を巻き取るけど、そうすると事業部門、IT部門(と経営陣)の中でセキュリティに対する意識の醸成が難しくなるので、どこかのタイミングで責任の境界を返却していく(または共有していく)必要があるよねーーーと

0

2

22

haya/hayapi🧶

@yo_hayasaka

1 year

当時読んでふわふわと感じてたところが言語化されてた！！井崎さんありがとうございます！！そして↓の説明はとてもわかりやすかった🙌🏻 ・「セキュリティへの投資」と「健康に投資する」は似てる・セキュリティに投資することは「会社が健康でいるため」・健康でいることは何かをするための最低条件

haya/hayapi🧶

@yo_hayasaka

1 year

あとで聴かなきゃ！！

0

1

7

0

3

22

haya/hayapi🧶

@yo_hayasaka

12 days

他人から向けられる僻み、嫉み、悪意、その他の負の感情・エネルギーにどう向き合うかもSNSスキル(最終的には本人の考え方次第だけど、気にしすぎない、ブロック・リム・ミュートするなりして距離を置くのが安牌な気がしてる)

3

1

22

haya/hayapi🧶

@yo_hayasaka

1 year

@Joushisu 例えではないですが、このへんのサイトがわかりやすいです。 ITパス<セキュマネ<基本<応用<<支援士(とかネスペデスペ)<<ストラテジストとかプロマネ

こんな記事です情報処理技術者試験が多く種類があって、どれなら自分が合格できるか分からないと悩んでいませんか？全部で13種類もあって、どれを選択すれば良いかが分からないのは当然のことです。では、どうすれば、あなたが合格できる資格を探すこ

it-shark-blog.com

1

3

22

haya/hayapi🧶

@yo_hayasaka

4 months

そういえば、Keeper一強〜！っていうポストが流れてきたけど、競合の1Passwordと比較して何が優れていてるんだろうか？そして、何が劣っていてそれでも「Keeperが良い」という結論なんだろうか？

3

1

22

haya/hayapi🧶

@yo_hayasaka

3 months

アカウント作って、今日の投影資料をアップロードしました(Figma Slidesで作ってたらめっちゃでかいのエクスポートされた) #脅威モデリング

Threat Modeling Night #2 in Tokyo_Feedback | ドクセル

脅威モデリングナイト#2で共有した、脅威モデリング研究会のフィードバック資料です。

www.docswell.com

2

4

21

haya/hayapi🧶

@yo_hayasaka

25 days

Xセキュリティ/IT界隈あるある「面識はない(たぶん。実はお会いしていて、Xアカウントと本名/顔が一致していないだけだったら本当に申し訳ない🙏🏻🙏🏻🙏🏻🙏🏻)」

1

2

21

haya/hayapi🧶

@yo_hayasaka

11 months

『「経営陣がセキュリティを理解する」のではなく、「セキュリティ専門家が経営や事業にアラインして活動する」ことーすなわちこれが企業の情報を守る盾となるCISOの役割である』 CISOを据えられる組織にすること(経営陣への布教活動など)も自分の役割だと思って頑張ってます

1

3

21

haya/hayapi🧶

@yo_hayasaka

14 days

個人的には、ビジネスやフェーズから逸脱していないかぎりは(重要)、「SaaSや製品を導入したい、触りたい」がモチベーションになっていて全然良いと思います。Jamfさわりたいから転職する、Oktaさわりたいから導入頑張る、良いと思います(「プロとして野球したいから野球選手になる」と同じ)

ろとにゃん🍣

@rotomx

14 days

SaaS やセキュリティ製品を導入したい / 触りたいがモチベーションになっている、手段が目的化した情シスを見かけると残念な気持ちになる。組織の課題ありきでビジネスを成長させることが製品導入の目的であるべきで、自分が触りたいなら個人契約で検証することもできる

1

7

76

3

1

21

haya/hayapi🧶

@yo_hayasaka

2 months

シニアなコーポレートIT/コーポレートセキュリティはスペシャルでジェネラリストな知識と思考と行動を求められるのでむずかしいね

1

0

21

haya/hayapi🧶

@yo_hayasaka

3 months

セキュリティ教育は「とりあえずはじめる」ことはとても簡単だけど、「セキュリティ文化の醸成」「行動の変容」にステップアップするには行動経済学や心理学も学ばなきゃーー（いま）だし、「教育の最適化」するにはテクノロジーでできること・できないことをきちんとキャッチアップしてないといけない

1

2

20

haya/hayapi🧶

@yo_hayasaka

9 months

ToDo: 今週末、「ISMSの運用を辞める（今年春の審査を受けない）」を提案するかどうかを考える

6

1

20

haya/hayapi🧶

@yo_hayasaka

10 months

今年は、 1月 ISMS（内部監査） 2月 ISMS（是正処置） 3月 ISMS（Mレビュー） 4月 ISMS（維持審査） 5月 Jamf Trust&RADAR楽しい 6月〃 7月中期ロードマップ作成 8月 vsBYOD始める&Datadogと戯れる 9月 ISMS（2022移行） 10月 ISMS（リスクアセスメント見直し大会） 11月 CIT2人目採用 12月イマココ

3

0

20

haya/hayapi🧶

@yo_hayasaka

1 year

選択と集中・CISOの領域は継続的に学ぶ・ベースラインアプローチは継続的にやる/学ぶ・その上でMITRE ATT&CKなどの脅威リスクベースアプローチも学んでいく・Jamfもやる、GWSもやる、Chromebookの活用の取り組みもやる・マネジメントもかじりはする(でも完全な管理職はやらない) かなあ

1

0

20

haya/hayapi🧶

@yo_hayasaka

1 year

gotcha!! "The Art of Mac Malware" !!

0

2

18

haya/hayapi🧶

@yo_hayasaka

1 year

課金もしました！

1

3

19

haya/hayapi🧶

@yo_hayasaka

6 months

そう言えば、SAML一神教にグーパンしておきました(SAML認証できるに越したことはないけど、現実世界においては上位プランしか対応してなかったり、そもそも対応してないサービスもあるので、MFA/2FAなしのパスワード認証も一定数残る前提でセキュアな運用を考えるのが肝要)

0

18

haya/hayapi🧶

@yo_hayasaka

27 days

「女性のキャリア〜、ロールモデル〜」という分脈で話をするとき、根底に「昭和から脈々と続く男性主体の働き方」があると思うので、仕事と育児家事との両立みたいな話になりがち。「これからの男性のキャリア〜、ロールモデル〜」という話もしないと表面的な、パフォーマンス的になってしまいそう

0

2

19

haya/hayapi🧶

@yo_hayasaka

5 months

きたぜ！JMUG！

3

1

19

haya/hayapi🧶

@yo_hayasaka

16 days

「みんな、セキュリティはどんなモチベーションで / どこにモチベーション持ってやってるの？」は聞いてみたい

0

19

haya/hayapi🧶

@yo_hayasaka

7 months

ID管理が基本のキだと思っていて、とても同意だけど、IdPよりもっと先に導入するものあるやろ派だなあ

2

1

19

haya/hayapi🧶

@yo_hayasaka

4 months

PCI-DSSの要件を改めて読んでるんだけど、当たり前のことしか書かれていなくて、この「当たり前」を実装・運用し続けるのがすごい難しいんだろうなああああああという感触でした(まだ読んでる途中)

1

3

19

haya/hayapi🧶

@yo_hayasaka

4 months

脅威モデリングって、別にDFD以外でシステムの絵を描いてもいいし、脅威探しもSTRIDEである必要はないし、リスク評価もDREADを使わなくてもよいので、「(できればみんなで)絵を描いて、脅威を探して、リスク評価する」をやっていれば究極のところそれが脅威モデリングだよね

2

4

18

haya/hayapi🧶

@yo_hayasaka

6 months

自分の中での「定期的なセキュリティ教育」にはリスクの洗い出しも含まれているので期日内に100%達成する必要はなくて、 •期日内に真面目に終わらせる人→低 •チートして終わらせる人→中 •期日すぎたけど終わらせた人→中 •やらない人→リスク大のように振り分けて次のアクションに使いたい目的

1

0

18

haya/hayapi🧶

@yo_hayasaka

8 months

Active Directoryがいない組織・環境でもGoogle Workspaceの認証情報を使ってWindowsにログイン＆ID管理できるようにする機能があるんですが、その名前が「Google Credential Provider for Windows」だってことを今日知りました(いつもGCPWって略してて正式名称を認識していなかった)

1

2

18

haya/hayapi🧶

@yo_hayasaka

1 month

「脅威モデリング」ってキーワード、「シフトレフト」だったり「生成AI」みたいなとりあえず突っ込んでおけばいいよね、みたいな言葉になりそう感をかんじてる

1

0

18

haya/hayapi🧶

@yo_hayasaka

13 days

転職先を公にするのは入社日以降のほうが無難ではある(これまで色々とトラブルに巻き込まれる人を見てきた)

1

0

18

haya/hayapi🧶

@yo_hayasaka

3 months

あと、(主に)経営陣とセキュリティについて話すときの共通の言語は「セキュリティ」ではなく、「リスクマネジメント」だと考えている人は勝手に同志だと思ってます

0

1

17

haya/hayapi🧶

@yo_hayasaka

1 month

・ベースラインアプローチ→浅いけど広い、ゼネラリスト的・脅威/リスクベース〃→狭いけど深い、スペシャリスト的・経営者お気持ちドリブン〃(インシデント後)→優先度ガン無視だけど予算は取りやすい、火消し的・経営者お気持ちドリブン〃(平時)→優先度ガン無視、お金出ない、社内パフォーマンス

0

17

haya/hayapi🧶

@yo_hayasaka

1 year

・ISMSやNIST CSFはベースラインアプローチ・MITRE ATT&CKは脅威リスクベースアプローチ・ベースラインアプローチを継続的に行いながら、脅威リスクベースアプローチでセキュリティ対策の練度を高めていくのが効果的というところまで理解した。

0

15

haya/hayapi🧶

@yo_hayasaka

15 days

投稿の本筋からは逸れるけど、、私も過去にパワハラ上司の下にいたことがあるけど、「スピードが命。とりあえず60点くらいのざっくり版。60点とは、論点や方向性などの骨子は出来ている状態。資料の主文も概ね書けている状態」の感覚を刷り込まれたことだけは感謝してる。

ニキヌス

@nikinusu

15 days

今週お休みなので暇つぶしに書きました。多分、人とはだいぶ異なる出世の仕方をした自分の思い出話です。

1

11

145

1

0

16

haya/hayapi🧶

@yo_hayasaka

1 month

「脆弱性管理」大きく3つの文脈が混ざってるよね・サーバの脆弱性管理・PCなど端末の脆弱性管理・脆弱性診断、ASM、設定ミスなどの脆弱性(?)管理

0

15

haya/hayapi🧶

@yo_hayasaka

1 month

「誰がリスク受容の意思決定を行えるか？が明確な組織」「信頼できる従業員で構成された組織(リテラシーと倫理観)」は意思決定が早い。これが旧来型のJTCだと責任の所在(誰が判断できるか)を明確にするだけでも1億と2000年かかるし、8000年過ぎた頃にはもうどうでもよくなってる

0

15

haya/hayapi🧶

@yo_hayasaka

16 days

「Xは最強の脅威インテリジェンスなので、最強のTLに育てるため、無関係なポストに『いいね！』できない」

1

15

haya/hayapi🧶

@yo_hayasaka

4 months

脅威モデリングの勉強会も無事に終わりました。

3

0

15

haya/hayapi🧶

@yo_hayasaka

6 months

おはよう！さて今日はISMSの審査日だ！

0

15

haya/hayapi🧶

@yo_hayasaka

1 year

「情報セキュリティマネジメントもやる、CSIRTもやる、SOCもやる」って人のタイトルは「セキュリティスペシャリスト」とか「セキュリティプロフェッショナル」とかになるのだろうか？🤔

2

0

15

haya/hayapi🧶

@yo_hayasaka

8 months

そういえばセキュリティ人材、技術��隈に行くと戦略やマネジメントできる人材が足りないと聞くし、戦略・マネジメント界隈に行くと手を動かせる技術者足りないと聞く。これは全体的に足りていないか、交流が足りていないかのどちらかだなーといつも聞きながら思ってる。

2

1

15

haya/hayapi🧶

@yo_hayasaka

3 months

来たぜ！JMUG！

5

0

14

haya/hayapi🧶

@yo_hayasaka

3 months

組織のセキュリティをいいかんじにするのはあきらめない組織に属しているのもたぶんこのため(最終的には中の人である必要があると思ってる)

1

0

14

haya/hayapi🧶

@yo_hayasaka

11 months

★直近でやること・Splunkの人と意見交換ミーティング・脅威モデリングのハンズオンに参加する(仙台 / 自費) ・MINI Hardeningに参加する(↑仙台に宿泊して翌日 / 自費) ・AI講義の予習と今回の講義の復習・ISMSのリスクアセスメントの見直し・供給者管理のデータベース化・Spider-Man2を開封する

2

1

14

haya/hayapi🧶

@yo_hayasaka

11 months

やりたいことは「CISO/CIOの領域の仕事」であって、「CISO/CIOになりたいわけではない」だなーって最近ちまちまと改めて実感している。じゃあ、コンサルでもいいじゃん？という話もあるけど、事業 / 組織 /中の人のいずれか1つ以上好きじゃないとモチベが湧かないようなのでたぶん向いていない。

1

14

haya/hayapi🧶

@yo_hayasaka

3 months

「コーポレートエンジニアのキャリアは事業と、組織のかたち、求められる仕事によって変わってくる」というお話と、「なぜコーポレートエンジニアは人材不足なのか」というお話と、「業務分解ができていないのでは？」という仮説、繋がる気がしてる。

1

14

haya/hayapi🧶

@yo_hayasaka

5 months

そもそもどんなセキュリティインシデントが発生したら会社って倒産する？(or 事業が破綻する？)🧐

5

0

14

haya/hayapi🧶

@yo_hayasaka

2 years

【初心者優先枠】corp-engr 情シスSlack（コーポレートエンジニア x 情シス） #2 Advent Calendar 2022 7日目書いたので寝ますzzZ 5分で読めるChromebookの話｜haya

5分で読めるChromebookの基礎知識｜haya

この記事は corp-engr 情シスSlack（コーポレートエンジニア x 情シス）#2 7日目の記事です。 adventar.org はじめに Chromebookについて、副業スーパーアドバイザーに唆されて、調べていたので同じ道をゆく人の最初のインプットとしてサクッと読める記事を置いておきます。 (私が調べた段階ではいくつかの情報源を繋ぎ合わせないと全体イメージが見えてこなかったので困...

note.com

0

1

14

haya/hayapi🧶

@yo_hayasaka

1 month

事業会社の脆弱性管理つらい

0

14

haya/hayapi🧶

@yo_hayasaka

1 year

弊社ほぼ隔週ぐらいで、直近で世の中で起きたセキュリティインシデントを題材に人力で教材作って社内に発信しているので、セキュリティアウェアネス頑張ってるって言っていいのでは？？？？

1

0

13

haya/hayapi🧶

@yo_hayasaka

1 year

要望メモ・ジョーシスにAPI欲しい(メンバーへの端末や非連携アプリの割当をAPI経由でやりたい) ・SecureNaviにAPI欲しい(情報資産、供給者やモニタリング結果の登録をAPI経由でやりたい) ・ジョーシス上でSecureNaviのアカウントを管理したい(自動連携してほしい。Basic希望、せめて追加オプションで)

0

2

13

haya/hayapi🧶

@yo_hayasaka

4 months

そういえば、「優秀なセキュリティ人材が居着くように(育てた人材も同様)、組織はキャリアパスや制度を整備せよ」ってどこかのセッションで言ってたのを思い出した

0

1

12

haya/hayapi🧶

@yo_hayasaka

5 months

セキュリティの仕事で「地味な調整」は、組織にいる以上皆無ではないけど、本質ではない。

1

13

haya/hayapi🧶

@yo_hayasaka

10 days

行くぜ！脅威モデリングナイト！(Jamf2週目)

2

0

14

haya/hayapi🧶

@yo_hayasaka

1 year

ふるさと納税に対してずっとモヤッとしてたの、これオブこれ。返礼品による税金の奪い合いの構図は何かおかしいと思ってる派

Ikuo Koboku

@Koboku_Ikuo

1 year

#ふるさと納税。自治体・間・競争の軸を、「返礼品こんなに豪華ですよ」じゃなく「町立xx小学校の臨時図書館司書の時給を80円アップさせる」「廃線間近のローカル鉄道への支援金総額2,000万円の一部として充当」など、「使途」の明確化の軸で競って欲しい。指定させて欲しい。現状、フワっとし過ぎ😥

5

74

235

1

3

13

haya/hayapi🧶

@yo_hayasaka

4 months

社内的には攻めた標的型メール訓練をやって、「お前ふざけんな！不快になった！！」的なお言葉もいただいたけど、これも含めて良い反応だった

2

0

13

haya/hayapi🧶

@yo_hayasaka

2 months

会場スポンサーと場所も確定して、参加者枠を30名→50名に増員しました！トークは小笠さんによる海外登壇レポと、「OT x 脅威モデリング」の話(スピーカー情報は準備中)、ニキヌスさん( @nikinusu )による「セキュリティ相談 x 脅威モデリング（仮）」の話です。 #脅威モデリング

Takaharu Ogasa🇺🇦

@TakaharuOgasa

2 months

9/17に「脅威モデリングナイト #3 in Tokyo」を開催します。場所は未定ですが都内中心部を予定しています（会場スポンサー募集中！） #脅威モデリング #threatmodeling

1

5

8

0

2

12

haya/hayapi🧶

@yo_hayasaka

5 months

脆弱性診断/ペンテストする人、SOCなどのセキュリティエンジニア、ソフトウェアエンジニア、コーポレートセキュリティを見る人それぞれの視点のLTが聞きたい

Takaharu Ogasa🇺🇦

@TakaharuOgasa

5 months

6/13(木)18:30-20:00で東京駅近くの京橋にて脅威モデリングのコミュニティミートアップ第一回目を開催します。20分LTを3本程度を予定しています。LTご希望の方は打診ください。募集ページは後ほど。

0

4

15

0

2

12

haya/hayapi🧶

@yo_hayasaka

2 months

Apple製品 x Jamf x Google Workspace with Chrome Enterpriseの組み合わせ楽しいよ #JNL

2

0

12

haya/hayapi🧶

@yo_hayasaka

2 months

やってること的には「セキュリティマネージャー」の仕事が中心なんだけど、「エンジニア」であり続けたいのでエンジニアリングもやる。つまり、通りすがりのセキュリティ屋サンになる

0

12

haya/hayapi🧶

@yo_hayasaka

9 months

今年も無事に仕事が納まりました！！！！今年お世話になった皆様、ありがとうございました！！来年もお世話になります！！🎍🎍

0

12

haya/hayapi🧶

@yo_hayasaka

1 year

今日はエンプラなグループの人とセキュリティの話をして、ミートアップでセキュリティのLTを聞いたり話をしたりして、それ系のYouTubeも見て、セキュリティ成分をたくさん浴びた1日だった

1

0

12

haya/hayapi🧶

@yo_hayasaka

5 months

ちなみに個人情報漏洩については、会社が倒産しようがしまいが / 事業撤退になろうがなるまいが、個人と社会基盤の安全と安心を脅威に晒らさしてはいけないと考えていて、「組織のセキュリティ」の取り組みの根底にある想い/原動力はこれです。

0

2

12

haya/hayapi🧶

@yo_hayasaka

5 months

ISMSを形骸化させずに実用的に運用することが如何に難しいか。対外的なパフォーマンスとしてではなく自組織と自組織を取り巻く環境のために正しく機能させるためには統治が必要

Yosuke Odagiri

@Yosuke_Odagiri

5 months

ISMSはセキュリティガバナンスの骨格として優れているが、規格を採用して不幸になる事例もある。認証取得優先のもと策定した「ISMSのための規程」と「既存の規程群」の間に重複・不整合が発生し、「よくわからん」という現場の感覚のもとルールが形骸化、内部統制が弱くなる現場を沢山見てきた。

1

0

24

1

12

haya/hayapi🧶

@yo_hayasaka

8 months

SecureNaviのリスクアセスメントとリスク対応の画面、いつのまにか見やすくなってる！(ActiveX感はあるけどw)

0

2

11

haya/hayapi🧶

@yo_hayasaka

2 months

「セキュリティインシデントによる業績影響ゼロ」という目標は本当に正しいのか？(有事の際に本当にその指標で判断するのか？)を問う会をした(にゃーんとは別)

1

2

12

haya/hayapi🧶

@yo_hayasaka

3 months

セキュリティにおける地政学の話、結構好きなのでちょっと深掘りしてみたい

1

0

12

haya/hayapi🧶

@yo_hayasaka

11 months

正座して500回ぐらい読み直したい記事だったグーグルの「最高の上司」がチームの生産性を高めるために実践していること｜BUSINESS INSIDER @BIJapan から

グーグルの｢最高の上司｣がチームの生産性を高めるために実践していること

グーグルで人材育成やリーダーシップ開発に携わった人物が明かすチーム論とは？

www.businessinsider.jp

0

1

12

haya/hayapi🧶

@yo_hayasaka

6 months

最近の関心事・脅威モデリング・脆弱性管理・セキュリティ教育・意識向上・ビヘイビアへの働きかけ・Jamfセキュリティ製品も引き続き触りたい(仕事ください)

0

1

12

haya/hayapi🧶

@yo_hayasaka

3 months

KADOKAWAはインシデント発生から報道、憶測やフェイク混在で錯綜する情報、ダークウェブへの流出、求人の炎上と、ただの部外者の立ち位置で一連を眺めてきましたが、睡眠時間、休み返上で手を動かしてたエンジニアの皆さん、本当にお疲れ様でした。

1

0

12

haya/hayapi🧶

@yo_hayasaka

10 days

次回の東京開催は、12時間イベント『脅威モデリング x MINI Hardening(ZANSIN Project)』前日の12/6(金)です。申し込みは明日9/18(水) 午前9時から。 ※12時間イベントのほうは別途案内します脅威モデリングナイト #5 in Tokyo #脅威モデリング #脅威モデリングナイト

脅威モデリングナイト #5 in Tokyo (2024/12/06 18:30〜)

## 脅威モデリングの知見共有を目的としたオープンコミュニティこのコミュニティミートアップはスピーカーによる様々なトークをメインに、脅威モデリングに関する知見の共有を目的としたベンダーニュートラルなオープンコミュニティイベントです。自由な議論を推奨します。 ※翌日12/7(土)の「脅威モデリング x MINI Hardening(ZANSIN Project)イベント（名称未定）」はこちら...

threatmodeling.connpass.com

1

4

22

haya/hayapi🧶

@yo_hayasaka

3 months

Shield Stoneの参加レポが三者三様でとても興味深い、、！イレイさん(Team2) ちゃんまきさん(Team3 / @chan_maki_ ) 🌧️さん(Team4 / @H4ppyR41nyD4y ) #shieldstone_hardening