元情シス、学会に行く!

2023年10月24日

PCNW運営委員、元情シスの(今でも仕事内容はほぼ情シスの)山田です。
今回は、昨年11月のITトレンド勉強会がきっかけで起こったことについてコラムにしてみました。

昨年11月、「身代金支払いますか?」と題して、ITトレンド勉強会に登壇。ホットな話題だったこともあり、沢山の方にご参加いただき(ネタを積みすぎて時間ギリギリになってしまいましたが)、ランサムウェア被害の特徴や、重要インフラ(医療)のBCPについてお話しいたしました。

通常、セキュリティに関するセミナーといえば、脆弱性対策やツールの導入等、被害予防を目的としたものが多く、被害に遭った組織の「悲惨さ」ばかりが紹介されることもあります。しかし、このセミナーでは、システムが使えなくなったときの事業継続、すなわちBCPと、BCP体制下で働く職員の状況の紹介、災害用BCPからサイバー攻撃被害にも共通する部分を探し、サイバー攻撃被害に特徴的な部分と組み合わせる考え方を紹介しました。つまり、脆弱性対策の話も出て来なければ、アップデートの話も出てこないセキュリティセミナーです。

実は、この視点は、以前のコラムにも書いており(「システムが止まったその後どうするの?~思考訓練のススメ」)、その翌年には、講師兼受講生としてセキュリティのリカレント教育での学びとその中の一つとしてのBCP演習を紹介しています。いわば、私にとっては「専門分野」なのです。

さて、本題です。
このセミナーの後しばらくたって、参加された方から、日本セキュリティ・マネジメント学会の研究会での登壇のお話をいただきました。今までも情報教育系の学会では登壇経験があるものの、初めての分野の学会です。約2か月で新たな内容を追加し、発表から質疑応答まで2時間を乗り切りました。そして、その結果、年次大会でも登壇する運びとなったのです。

そこで、実は一つ、壁にぶつかりました。
今まで発表してきた内容は、手持ちのテキストやWEBメディア等からのザッピング、当事者の講演からの書き起こしを参考にし、情報の新しさを重視して構成したものです。それを、学会での登壇に耐えうるようにするには、以下のような課題がありました。(単に本人がさぼっているだけかもしれませんが。)

  1. 災害医療・BCPの視点にたつか、セキュリティの視点にたつかで2つの事例への評価がそもそも分かれている
  2. 医療とサイバーセキュリティ、ITの3分野でそれぞれ用語の定義が異なっている
  3. 参考文献を網羅しきれていない。軸になった考え方自体を著した書籍がない(各国の軍隊や自衛隊の中で行われてきた教育がベースの為、一般向けの書籍がない)
  4. 掲載期限のあるメディアや動画等、抄録執筆時点でアクセスできないものがある
  5. これまでのアウトプットがスライドのみのため、筋道を立てた文章を残していない(実は、スピーチ原稿を書かないタイプなんです)

大学のリカレント教育で指導にあたっているとはいえ、担当しているのは、実務者としての活動が教育のベースになった科目です。土台となっている理論も、やはり実務経験者の体験がもとになっています。ノウハウと理論の間にある、知恵と知識の間にある、そのような状態でした。

ノウハウは資料や録画にも残ってても、理論化されていない、経験者の知恵はあってもそのベースになる知識が系統だって整理されていない、その状態から論文に落とし込むのですから、まずは欠けているものを探すことからスタートです。

たとえば、事業継続に関する医療従事者向けの教科書を拠り所にし、データの根拠として当事者からの公開情報を調査報告書だけでなく経営資料や議会関連資料も併せてセレクトし、参考資料として2つの事例やランサムウェアを扱った技術雑誌と報道記事の中からいわゆる「煽り」がないものを選ぶところから始めました。

詳細は省略するとして、今回のような試みに慌てないために、カジュアルなプレゼンテーションから学会発表につなげるためのポイントをいくつか残しておきたいと思います(いや、実際そんなこと滅多にないし!いえいえ、滅多にないからこそ、万一のときに備えましょう)

  1. 参考文献は、普段から読むときは付箋やしおりを用意し、必要なページがわかるようにする。スライドの最後に文献リストを非表示で作っておく(必要であれば表示する)。書籍の場合はそのときにISBNを必ず記載。これがあれば、だいたい何とかなる
  2. 報告書等の公開情報で、ダウンロード可能なものは、ダウンロードしておく
  3. WEBメディアはスクリーンショット、PDF出力等で保存する
  4. カジュアルなプレゼンテーションでも、導入部分は一度文章にしておく(使わなくてもよい)
  5. 没にしたスライドも削除せずに別のフォルダ等に整理しておく
  6. まとめサイトやSNSを参考にする場合は根拠を確認し、あわせて示す

ざっくりとまとめれば、情報をできる限り整理して残し、記録をこまめにとる、これに尽きるのですが、中々それも難しいものです、この中では特に、1,4が抄録を準備するのに役立ちました。また、プレゼンテーションではカジュアルなタイトルをつけることも多いのですが、それでも、普段から、タイトルはあまり長すぎないものを用意したほうが良さそうです。プレゼンテーションと同じ感覚で考えたところ、事前に提出したタイトルが長すぎて、抄録用のフォーマットからはみ出ておさまりが悪くなってしまいましたので。

抄録ができれば、次はプレゼンテーションの作成ですが、基本的には抄録の用語と不整合がないようにします。学会によってはテンプレートが指定されている場合もあるので、文字を詰め込むスライドが多い人は、ポイントを絞ったり、図を簡略化することも求められます。図表や写真を更新した場合はその旨を明記すること、クローズなプレゼンテーションでは問題されなかった写真の映り込みにも注意が必要です。

ここまで準備できれば、実際のスピーチは、それほど固くなる必要はなくて、(少なくとも自分が登壇した学会では)、読み上げ原稿を用意するよりは、各パートの要旨を用意しておくほうが良いかもしれません。また、質問の想定と回答の準備も大事です。自分の主張したい点についての想定質問と回答はほぼ必須。とはいえ、学術的な活動が情シスの本分ではないと割り切って、「実務においては検討の対象外だった」と怖気づくことなく答えるのも必要です。

システム管理が学術として成り立つのかどうか、成り立つべきかどうかは、正直、私自身も分かりかねるところですが、ゲストや自由演題等、普段とは違う人の目に触れることで、新しい視点でのアドバイスがもらえたり、自分の思考をじっくり整理するきっかけになったりすることもあります。もし、チャンスがあれば、そのときに慌てないために、あるいは、うっかり引き受けてしまった時(そういうこともありますよね?)に困らないために、このコラムがほんのわずかでも役にたてば幸いです。(酔った勢いで大学に行ってしまったり、イエスかノーかの返事をする前に日程調整の回答をしてしまったがために、各地に講師に赴いている本人がここにおりますので、他の方にも起こらないとは限りませんよ)

社会医療法人愛仁会 山田 夕子

「人見知りの勝手に情シス」から公認セキュリティ監査人補へ、激流に流されるがごとく突っ走り、「机上演習の中の人」を経て、現在は「できたてSIRTの中の人」。
災害用BCPをサイバー攻撃被害発生時に応用するメソッドの研究と机上演習のファシリテータがライフワーク。
趣味は楽器演奏と古代史など。夫が城と戦国時代を語ると長いのが悩み

© PC・ネットワークの管理・活用を考える会