空前の不況

空前の不況とＩＴバブル時期に導入した数々のＩＴ資産の運用コスト、その上に、内部統制、ＩＴ投資抑制と八方ふさがりのユーザ企業の情報部門の方々は頭の痛い事だらけではないだろうか・・・

事業拡大という瞑目で、ＩＴ投資を統制無く、イケイケで導入してきた、ある意味世の中が、当然のようにＩＴ投資をあおった。
気づいたら、ハード保守、運用管理保守、データセンター費、ネットワーク費・・・の請求書の山積みである。
情報部門がすっかりコストセンターである。

・・・で更に、内部統制である。
今まで、事業拡大に目線が行っているのに、ＩＴ統制なんて考えもしていない。

縦割りで、ふくれあがったＩＴ資産。
今更、統制など出来るわけがない。統制するにもお金がかかる。

なんて・・・　最悪のシナリオになっている企業はどのくらいあるのだろうか。

久しくブログの更新をしていなかった。
最近、仕事で情報セキュリティのリスク分析・評価の手法の確立をする業務をしていて、実際に手法を使ってリスク分析・評価とリスク対策案の作成、実施後のリスク評価まで一通りの手順を回し終わった。

詳細なリスク分析・評価を実施するのは初めてであったので、いろいろ迷いながらも、まあ、妥当なところで収束したと考える。

経済産業省の情報セキュリティ管理基準を参考に自社使用に仕立て直して、リスク分析する項目を抽出して情報資産を定義してリスク分析を行った。

情報セキュリティ管理基準を解釈するのに手間取ったが、専門のベンダー担当者に協力を得たおかげで挫折することなく、実施できた。
一安心。初めてということで、ハードルを下げた点も良かった。これから継続してステップアップする方向性も見えた。今のところ、ＩＳＭＳなどの認証を取得する予定はないが、やり方をマスターしたので、それも無理ではないだろう。
まあ、実際、取得してサーベイランスを受けるとなると、大変なことになるのだろうが・・・
この業務に集中させてもらえたことに、上司には感謝である。

この業務をして、気づいたのは、内部統制も、情報セキュリティ管理も、結局は業務を定義して責任者を設置して、行った業務の記録を残し、責任者が承認して、そのエビデンスがきちんと管理されている状態を維持することであると思った。

論理的には難しいことではない、が、現実はややこしくした業務、やややこしい組織が制約になって、難しくなってしまっている。
企業が大きくなるにつれ、悪のスパイラルにはまっていく。
この制約（聖域）にメスを入れるのはとても大変であろう。

後、フォーカスされるのが、アクセス制御。
アカウント管理システムなんて、導入しようものなら、規模によっては数億になる。
ＩＴベンダーにとってはいい金儲けのネタであろう。

ややこしいＩＴシステムをいれていなければ、前の論理で業務の記録が管理されていれば、多額の投資をしなくてもアクセス制御はできると思われる。

・・・・

まあ、とにかく、今の不況の重苦しい雰囲気で自分も含め生きた心地がしない人たちが多いと思う。
早く解消されることを願う。

情報セキュリティセミナー

7月の初旬にＩＰＡ主催の情報セキュリティセミナーを受講した。

場所は東京商工会議所、2日間のセミナーで1日目は基礎コースとマネジメントコース

2日目は技術基礎と技術専門コースで2日間無料である。

内容も充実しており、最新のウィルス情報やセキュリティの動向など実例を交えての説明であったので独学で勉強するよりもずっと理解が容易であった。

商工会議所で実施したこともあってなのか、中小企業を意識したセキュリティ対策の内容であった感がある。

セキュリティ対策に多くのコストをかけられない、企業向けにセキュリティ実施状況や自社のレベルを測定できる｢情報セキュリティ対策ベンチマーク｣を重点的に説明をしていた。

旧バージョンで昨年自分も実施してみた、現在はバージョン３にアップしているようである。ISMS認証基準の管理策がベースになっているが、質問数が25問で5段階で評価するので手間もかからず自己診断ができる。

診断結果も偏差値やレーダーチャートの図など絵的にわかり易くレポートが作成される。

実はセキュリティ対策の稟議申請にこの資料を参考資料として添付し、経営層への説得資料として使用する予定にしている。

直接的に利益に貢献しない、というか短期的には利益を食ってしまう対策にお金を出したくないのは当然と思う。しかも、今後想定した情報漏えいなどのリスクが起きるとも限らない、また対策を打っても情報漏えいが起きる可能性もある。

しかし、セキュリティ対策を実施しないということは、情報漏えいをしてもいいと、従業員に承認しているようなものになる。

＜情報セキュリティ対策ベンチマーク（自己診断テスト）＞http://www.ipa.go.jp/security/benchmark/index.html

興味のあるかたは是非やってみてください。

対策の弱い部分に対する推奨する対策のコメントも参考になると思います。

自分はこれを参考にセキュリティポリシーを見直そうと考えています。

2日目の技術コースもＳＱＬインジェクションやクロスサイトスクリプティング、フィッシングなど代表的なセキュリティ攻撃の説明からその対策について具体的に説明があり、ややこしい内容も理解することができた。

あと、無料でＩＰＡが発行しているセキュリティ対策のしおり5冊あるが、とてもわかり易く、且つ薄いので携帯性もあって、社内の利用者向け教育読本を作成する参考にしようと考えている。

さて、久しぶりの更新になった。

本ブログのリンクにも追加しましたが、趣味用のブログサイトを今年の2月から立ち上げています。自宅のガーデニングとかおもちゃとか部屋の装飾やら、日記やらなんでもありのブログを公開しています。こちらもご覧いただければ幸いです。

＜ガーデンスタイル＞
http://watabu.seesaa.net/

セキュリティ対策

セキュリティポリシー対策として、既存のセキュリティ規程類を会計士さんにチェックしてもらい、現実的に実施可能なものという観点で見直しを実施した。

厳密に実施可能なものに限定してしまうと、規程としてあまりに寂しい内容になってしまうので、こうありたいという希望も含め見直しをした。

今後、セキュリティ対策のＰＤＣＡをまわすにあたり、経済産業省から出している【情報セキュリティ管理基準】を参考に自社独自の管理基準を検討しようと昨年から読んでいた

が日本語が難しく具体的に何をしたらいいのかさっぱり理解できない。

専門家の人に聞いてみたらやはり、全ての企業に添う内容にしているので、表現的にあのようになってしまうとのこと。

それでも理解できないなりに、【情報セキュリティ管理基準】から必要と思われる項目を抜粋して独自管理基準をまとめ、現行の基準に対する修正事項や必要な管理策を洗い出した。非常に根気がいる仕事だったので、進み方も非常に遅い。

約１０００弱の管理項目から必要と思われる項目を抽出して内容を自分なりに解釈して対策案をまとめるのに約３ヶ月かかった。

一般的に必要とされる対応策については完了したとして、自社に必要なオリジナルのセキュリティ対策を検討する為に、リスク分析を実施しようと情報資産を洗い出そうとして作業がとまった。保護すべき情報資産とはどのレベルで洗い出したらいいのか、判断ができない。金融系であれば全社レベルで対応を打つ体制がとられているだろうが、製造業では、なかなかそういった体制はとれず、情報部門か特定の部門で対応案をまとめて上層部に提案するような方法になるのではないかと思われる。

なので初めから手厚い予算はないが、セキュリティの対策をおろそかにはできない。

よって問題意識をもった人間がその仕事を抱えることになるが、結局特定の部門の担当者でなんとか出来る仕事ではない。

そういったわけで、リスク分析を自分だけでなんとかすることはあきらめることにして微々たる予算だが専門家の力を借りることにした。

ＢＰＭＮ

先週末にビジネスプロセスモデルのセミナーに参加した。

昨年から社内のシステム基盤を整備するというプロジェクトに参加し

個別最適化され、スパゲッティ状態になっている業務システムをスリム化しよう

という思惑でワーキングをしている。セミナーに参加してから、システムのスリム化

を如何にしようとしているのかを、ちょっと考えてみたが今やろうとしているのは

業務システムを可視化して無駄な機能や帳票を洗い出して、その不要な機能を

削減する対応をしようとしているのではないかと思った。

恐らくそれでは一時的には効果がでるかもしれないが、直ぐにまた元の状態に戻る

のではないか・・・

必要なのは業務プロセスを可視化して不要なプロセスや手順を改善して、業務プロセス

自体をスリム化しないとシステムのスリム化はできないのではないかと思う。

なのでビジネスプロセスモデリングが重要で、ビジネスプロセスを可視化して改善する

ＰＤＣＡサイクルをまわす、運用を確立することが重要ではないかと思った。

今回のセミナーは無料であったが非常に有意義なセミナーであった、主催者に

感謝。

続けること

風呂に入っていたときにふと、なぜ物事を続けることはむずかしいのだろうと思いにふけっていた。生きることに必要な食べることなど衣食住の基本的な欲求を満たすための活動はなんの迷いもなく続けるけど、それ以外の趣味だったり、自己向上の勉強だったりということを続けるのはとても難しい。本当に好きで生活の一部になっているものは何の苦もなく毎日続けるのだろうけど、そうなるまでには努力が必要である。

そんなことを考えてたときに、最近の若い人たちは3年で会社を辞めるのはなぜだろうと・・中年おやじの自分には抱えているものが多いので自分の気持ちだけでは行動できないが、今の若い人たちの環境が自分たちが若かったときとはきっと違うのだろうと思う。

自分たちが若かった時よりも執着心とか好奇心とか負けず嫌いというものが最近の若い人たちに少したりないのかなと思ったりする。なんでもスマートに生活していこうというように見える、がむしゃらとかなりふり構わないとかそういったことを最近聞かない。

恋愛にかんしてもクールがかっこいいと思ってるのかな・・・恋愛に関しても効率とか生産性みたいな、見返りがあってつきあうような。仕事においても恋愛とか趣味とか自分があっての物事のような気がするかな。自分たちにも自己中心的なことはあったけど、それともちょっと違うような、もう少し相手を考える余地があったと思う。

今の若い人たちは、がむしゃらとか、なりふり構わずに行動したところで、すぐ目先の効果を考えて途中でやめてしまうのかな、傷つくことに対する免疫が少し足りないような気もする。

自分たちはいろんな少なからず失敗を重ねて、傷ついて、成長してきた、みっともなくてもかっこ悪くてもどうでも良い時があってもいいんじゃないかな。

内部統制（人の管理）

アカウント管理は内部統制を検討する上で避けて通れない課題であるが、アカウント管理を実施するために、まず会社として人の管理が正確にできているかの検討が重要である。会社が大きくなるほど正社員以外の従業員が多くなり、いろんな形態（派遣・契約・パート・アルバイトなど）の雇用者がチームとなって業務をすることになる。

人の管理をするのは人事システムであると考えられるが、人事システムは給与・勤怠管理を主な役割としている会社があるのではないかと思われる、そうなると直接給与を支払う従業員のみの人の管理しかできず、会社で業務を行う従業員の管理は別で行う必要がでてくる。

はたして日本の上場企業で従業員（正社員以外も含め）がいつどこでどんな業務に携っているか瞬時に正確に把握できる企業がどのくらいあるのだろうか？

久しぶりの投稿

久しぶりにブログに投稿する、1年ぶりくらいかもしれない。

どんなことでも続けることの難しさを痛感する、よっぽど夢中になって始めたことでも

何かのきっかけでとたん情熱が冷めてしまうものだ。

最近は内部統制がらみの仕事が多く、良く話題になるアカウント管理の対策を行っている。

業務の正当性を保証するために、ログ採取のソリューションが数多くでているが、ログを採取する前にそのログの正当性を保証するためのアカウントが正しく個人に割り振られ業務をする人に正確にアカウントが紐つく必要がある。そうして初めてログの正当性が保証される。

ＩＴが生産性向上の目的で導入されていた時はアカウントで個人を特定して業務制御をするという観点はあまりないときに多くの業務システムを導入してきたおかげで、業務システムごとにアカウント体系や内容はばらばらでそれを個人に紐付けることなど非常に困難である。そんなわけでいまアカウント統合を如何に行うかで苦労している。

ブログのテーマ

最近、このブログのテーマについて考えることがあって当初はユーザ企業におけるシステム構築の実際について記載をしていくことにしていたが、書く内容がセキュリティ関連の色が強くなってきたことと、しばらくブログを中断していたのは株やＦＸについてセミナーや書籍から少し勉強をしていたことがあって今まで得たマネーに関して自分なりに得た知識を公開して頭を整理したくなった。そこでブログのテーマをマインドマップ的に表現してみた。今後は不定期になると思うが、テーマに絞った内容で書いていきたいと思う。ブログの画面向かって右にブログテーマのマイリストを追加している。

ダウンロード thema.JPG (54.1K)

セキュリティポリシー

セキュリティポリシー策定の手順をもう少し詳細にしてみると

１．経営トップにセキュリティ委員会を組織化とセキュリティポリシーの発行の承認を依頼する。
（策定計画作成）

昨今の情報漏洩事件とその対応例などを用いて対応によっては企業イメージを損ない売上げや株価に影響を及ぼすことを認識して頂く、例えばYahooBBの漏洩事故では損害賠償費で約６０億円、売上げの機会損失も数十億円と思われ、速やかに対応し顧客への不安を取り除くことが重要と考える。パロマの用に不祥事を隠蔽することは問題外だが、誠意を示す余り情報漏洩を公表後にその内容を何度も訂正をするようなことが無いように漏洩が発覚した時に速やかに対処できるよう分かりやすく手順化しておくことが大事である。漏洩件数など発表するたびに変わるようであると情報管理ができていないずさんな企業と思われてしまい、更に信頼をなくしてしまう。恐らくYahooBBの場合は公表をする度に漏洩件数が増えていった為、顧客の不安感が逆に高まり客離れを誘発したと思われる。
そういった意味では松下電気の石油暖房機の対応は徹底している。方針として全ての対象とする機器が回収できるまで活動を続けるという点、全ての宣伝活動を機器の回収に切り替えるなど一貫した対応により、顧客に安心感を与え企業イメージを損なわずにすんだのではないか。
個人情報保護法の対策として過去の顧客リストを削除することで情報保有のリスクを回避しようという対策が仇になったのだが、その責任をきちんととる姿勢が評価されているのではないか。日本を代表する企業であるので、一般的な企業が同じ対応ができるかといったら疑問であるが・・
漏洩事故や事件が起こらないように対策を打つのはコスト的にもビジネスを推進する上でも限度がある、その為、事故や事件が起こることを前提にした対応手順や体制を確立することがより重要である。
ということを経営トップが理解し全社員へ徹底できるような社内体制作りを経営トップが率先して実施頂くこと、且つセキュリティポリシーの発行者になって頂くことを依頼する。その為の計画策定と説得材料をまとめるステップである。

セキュリティポリシー

昨今の情報漏えいや不祥事に対する社会の目が厳しくなってきていることを背景に情報セキュリティポリシーを整備しようとしている企業は増えているのではないかと感じるが、いかがであろう・・・　セキュリティポリシーを策定する作戦として

１．経営トップにセキュリティ委員会を組織化とセキュリティポリシーの発行の承認を依頼する。（策定計画作成）

２．セキュリティ委員会として既存の業務規定などを監査をする委員会に併設を承認。

３．セキュリティポリシー文書（案）とリスク分析の仕方を作成し設置したセキュリティ委員会でレビュー。

３．リスク分析の仕方を参考に各部門でリスク分析の実施。

４．リスク分析を基にセキュリティ管理規定を作成、または既存規定類の見直し修正。

５．セキュリティポリシーに従って対策の実施とセキュリティ管理規定の見直しサイクルの確立（ＰＤＣＡ）。

以上のような手順で実施を考えている。ポイントは新たにセキュリティ委員会を組織化するのではなく既存の同じような機能を持った委員会を流用する。課題が増えるため委員会に属する担当者の負荷は増大するが、新たに組織化することや社内で新た認知させる労力より現実的であると考える。できれば委員会の担当者に対する人事的な考課、もしくは手当てを考えたいが、なかなか難しいところと思われる。あとはセキュリティポリシーを全社員に徹底させることが重要となるが、いくつもの規定類を見て理解する時間はなかなか取れないと思われる、自分の業務に関連するものであってもである。となると公開の仕方を工夫しなくてならない。何ページにもおよぶセキュリティ文書ではなくそれを要約したものを1ページ程度にまとめて常に目に付くようにしたい。事務所の壁に貼る、トイレに貼るなど・・・ある会社は事業方針をトイレの鏡越しにみれるようにしているという。