セキュリティコミュニティを作ってみた

2021年5月20日 18:34

企業全体のセキュリティ担当になった。

でもわからないことだらけ。

そもそもセキュリティ部門はどういう役割とするほうがよいのか？セキュリティの範囲は？経営目標から年間のセキュリティ目標を作る方法は？セキュリティと言っても幅広い中でどう優先順位付けするか？エンジニアリング志向が強い会社でどうやって非技術的な施策もやっていけばよいか？ペンテストってどう学べばいいの？

わからないことは聞けばいい、と思ったが、聞ける人がいなかった。正確に言えばいたんだけど、セキュリティのごく一部を担当しているので、自分が知りたい広範囲の分野の答えはわかりそうになかった。

では、セキュリティにどっぷり浸かってる人に聞こうと思ったのだけど、セキュリティの世界はかなり閉鎖的なイメージを受けた。いわゆるなんとか協会みたいなところにお金を払って所属して、その中でゆるく交流するという感じだろうか（実際に経験したことないのでどこまで頻繁に交流があるかはわからない）

もっとオープンにお金がかからなくて、カジュアルにコミュニケーションが取れるコミュニティがほしいと思った。

そう、情シスSlackのセキュリティ版のイメージだ。

1年以上前からセキュリティコミュニティほしいと思っていたが、多くの人に流入してもらい、日常的にやり取りがされるコミュニティをつくる戦略が描けなかった。（自分で言うのも何だけど）今までは割と行動力あるほうだったのだけど、今回はなぜか考えすぎて行動できないみたいな状態に陥ってた。

でもとりあえず、Slackワークスペースは作っていた。

どんな人が対象か？

広義のセキュリティに関わるすべての人。ものすごく簡単に言ってしまえば下記の図に該当する人たちなら参加OKとしたいな。

セキュリティ関連の会社の人でもいいし、事業会社の人でもいい。従業員サイドのセキュリティ、プロダクトサイドのセキュリティ、ペンテストや脆弱性診断やってる人、CISOなどでセキュリティマネジメントやってる人....etc

他には監査、コンプライアンス、法務もOK。若干微妙かもだけど、人事の中でも個人情報を扱う人もいてもいいと思う。

セキュリティって、他の分野（ソフトウェア開発、コーポレートIT）に比べてノウハウが共有されていないなって感じた。共有されていたら、さっと情報がとれて、冒頭のような悩みってある程度解決できただろう。

なのでノウハウを共有することでそれぞれの企業のセキュリティを向上させたいし、これからセキュリティやりたいって人が、まずこのコミュニティに入っておけっていう場になったらなって思う。

イメージ的にはバーみたいな感じ。ふらっとコミュニティに行ったら、誰かがいて、カジュアルにゆるく話せる、そんなイメージ。

まずは人を集めないと行けないので、こうやってセキュリティ関連記事を書いたときに宣伝するとか、セキュリティイベントもやる予定なのでそこでも宣伝しようと思ってる。

ちょっとここはもうちょっとちゃんと考えたい。

考え中です。誰かアイディアください。仮でSecurity Labとしています。

ということで、見切り発車ではあるけど、slackワークスペースを公開しましたので、対象の方は入ってくれるとうれしみ（今は知り合いだけでわいわいやってる感じ）

この記事が気に入ったらサポートをしてみませんか？