空前の不況

空前の不況とＩＴバブル時期に導入した数々のＩＴ資産の運用コスト、その上に、内部統制、ＩＴ投資抑制と八方ふさがりのユーザ企業の情報部門の方々は頭の痛い事だらけではないだろうか・・・

事業拡大という瞑目で、ＩＴ投資を統制無く、イケイケで導入してきた、ある意味世の中が、当然のようにＩＴ投資をあおった。
気づいたら、ハード保守、運用管理保守、データセンター費、ネットワーク費・・・の請求書の山積みである。
情報部門がすっかりコストセンターである。

・・・で更に、内部統制である。
今まで、事業拡大に目線が行っているのに、ＩＴ統制なんて考えもしていない。

縦割りで、ふくれあがったＩＴ資産。
今更、統制など出来るわけがない。統制するにもお金がかかる。

なんて・・・　最悪のシナリオになっている企業はどのくらいあるのだろうか。

久しくブログの更新をしていなかった。
最近、仕事で情報セキュリティのリスク分析・評価の手法の確立をする業務をしていて、実際に手法を使ってリスク分析・評価とリスク対策案の作成、実施後のリスク評価まで一通りの手順を回し終わった。

詳細なリスク分析・評価を実施するのは初めてであったので、いろいろ迷いながらも、まあ、妥当なところで収束したと考える。

経済産業省の情報セキュリティ管理基準を参考に自社使用に仕立て直して、リスク分析する項目を抽出して情報資産を定義してリスク分析を行った。

情報セキュリティ管理基準を解釈するのに手間取ったが、専門のベンダー担当者に協力を得たおかげで挫折することなく、実施できた。
一安心。初めてということで、ハードルを下げた点も良かった。これから継続してステップアップする方向性も見えた。今のところ、ＩＳＭＳなどの認証を取得する予定はないが、やり方をマスターしたので、それも無理ではないだろう。
まあ、実際、取得してサーベイランスを受けるとなると、大変なことになるのだろうが・・・
この業務に集中させてもらえたことに、上司には感謝である。

この業務をして、気づいたのは、内部統制も、情報セキュリティ管理も、結局は業務を定義して責任者を設置して、行った業務の記録を残し、責任者が承認して、そのエビデンスがきちんと管理されている状態を維持することであると思った。

論理的には難しいことではない、が、現実はややこしくした業務、やややこしい組織が制約になって、難しくなってしまっている。
企業が大きくなるにつれ、悪のスパイラルにはまっていく。
この制約（聖域）にメスを入れるのはとても大変であろう。

後、フォーカスされるのが、アクセス制御。
アカウント管理システムなんて、導入しようものなら、規模によっては数億になる。
ＩＴベンダーにとってはいい金儲けのネタであろう。

ややこしいＩＴシステムをいれていなければ、前の論理で業務の記録が管理されていれば、多額の投資をしなくてもアクセス制御はできると思われる。

・・・・

まあ、とにかく、今の不況の重苦しい雰囲気で自分も含め生きた心地がしない人たちが多いと思う。
早く解消されることを願う。

情報セキュリティセミナー

7月の初旬にＩＰＡ主催の情報セキュリティセミナーを受講した。

場所は東京商工会議所、2日間のセミナーで1日目は基礎コースとマネジメントコース

2日目は技術基礎と技術専門コースで2日間無料である。

内容も充実しており、最新のウィルス情報やセキュリティの動向など実例を交えての説明であったので独学で勉強するよりもずっと理解が容易であった。

商工会議所で実施したこともあってなのか、中小企業を意識したセキュリティ対策の内容であった感がある。

セキュリティ対策に多くのコストをかけられない、企業向けにセキュリティ実施状況や自社のレベルを測定できる｢情報セキュリティ対策ベンチマーク｣を重点的に説明をしていた。

旧バージョンで昨年自分も実施してみた、現在はバージョン３にアップしているようである。ISMS認証基準の管理策がベースになっているが、質問数が25問で5段階で評価するので手間もかからず自己診断ができる。

診断結果も偏差値やレーダーチャートの図など絵的にわかり易くレポートが作成される。

実はセキュリティ対策の稟議申請にこの資料を参考資料として添付し、経営層への説得資料として使用する予定にしている。

直接的に利益に貢献しない、というか短期的には利益を食ってしまう対策にお金を出したくないのは当然と思う。しかも、今後想定した情報漏えいなどのリスクが起きるとも限らない、また対策を打っても情報漏えいが起きる可能性もある。

しかし、セキュリティ対策を実施しないということは、情報漏えいをしてもいいと、従業員に承認しているようなものになる。

＜情報セキュリティ対策ベンチマーク（自己診断テスト）＞http://www.ipa.go.jp/security/benchmark/index.html

興味のあるかたは是非やってみてください。

対策の弱い部分に対する推奨する対策のコメントも参考になると思います。

自分はこれを参考にセキュリティポリシーを見直そうと考えています。

2日目の技術コースもＳＱＬインジェクションやクロスサイトスクリプティング、フィッシングなど代表的なセキュリティ攻撃の説明からその対策について具体的に説明があり、ややこしい内容も理解することができた。

あと、無料でＩＰＡが発行しているセキュリティ対策のしおり5冊あるが、とてもわかり易く、且つ薄いので携帯性もあって、社内の利用者向け教育読本を作成する参考にしようと考えている。

さて、久しぶりの更新になった。

本ブログのリンクにも追加しましたが、趣味用のブログサイトを今年の2月から立ち上げています。自宅のガーデニングとかおもちゃとか部屋の装飾やら、日記やらなんでもありのブログを公開しています。こちらもご覧いただければ幸いです。

＜ガーデンスタイル＞
http://watabu.seesaa.net/

内部統制（人の管理）

アカウント管理は内部統制を検討する上で避けて通れない課題であるが、アカウント管理を実施するために、まず会社として人の管理が正確にできているかの検討が重要である。会社が大きくなるほど正社員以外の従業員が多くなり、いろんな形態（派遣・契約・パート・アルバイトなど）の雇用者がチームとなって業務をすることになる。

人の管理をするのは人事システムであると考えられるが、人事システムは給与・勤怠管理を主な役割としている会社があるのではないかと思われる、そうなると直接給与を支払う従業員のみの人の管理しかできず、会社で業務を行う従業員の管理は別で行う必要がでてくる。

はたして日本の上場企業で従業員（正社員以外も含め）がいつどこでどんな業務に携っているか瞬時に正確に把握できる企業がどのくらいあるのだろうか？

セキュリティポリシー

セキュリティポリシー策定の手順をもう少し詳細にしてみると

１．経営トップにセキュリティ委員会を組織化とセキュリティポリシーの発行の承認を依頼する。
（策定計画作成）

昨今の情報漏洩事件とその対応例などを用いて対応によっては企業イメージを損ない売上げや株価に影響を及ぼすことを認識して頂く、例えばYahooBBの漏洩事故では損害賠償費で約６０億円、売上げの機会損失も数十億円と思われ、速やかに対応し顧客への不安を取り除くことが重要と考える。パロマの用に不祥事を隠蔽することは問題外だが、誠意を示す余り情報漏洩を公表後にその内容を何度も訂正をするようなことが無いように漏洩が発覚した時に速やかに対処できるよう分かりやすく手順化しておくことが大事である。漏洩件数など発表するたびに変わるようであると情報管理ができていないずさんな企業と思われてしまい、更に信頼をなくしてしまう。恐らくYahooBBの場合は公表をする度に漏洩件数が増えていった為、顧客の不安感が逆に高まり客離れを誘発したと思われる。
そういった意味では松下電気の石油暖房機の対応は徹底している。方針として全ての対象とする機器が回収できるまで活動を続けるという点、全ての宣伝活動を機器の回収に切り替えるなど一貫した対応により、顧客に安心感を与え企業イメージを損なわずにすんだのではないか。
個人情報保護法の対策として過去の顧客リストを削除することで情報保有のリスクを回避しようという対策が仇になったのだが、その責任をきちんととる姿勢が評価されているのではないか。日本を代表する企業であるので、一般的な企業が同じ対応ができるかといったら疑問であるが・・
漏洩事故や事件が起こらないように対策を打つのはコスト的にもビジネスを推進する上でも限度がある、その為、事故や事件が起こることを前提にした対応手順や体制を確立することがより重要である。
ということを経営トップが理解し全社員へ徹底できるような社内体制作りを経営トップが率先して実施頂くこと、且つセキュリティポリシーの発行者になって頂くことを依頼する。その為の計画策定と説得材料をまとめるステップである。

セキュリティポリシー

昨今の情報漏えいや不祥事に対する社会の目が厳しくなってきていることを背景に情報セキュリティポリシーを整備しようとしている企業は増えているのではないかと感じるが、いかがであろう・・・　セキュリティポリシーを策定する作戦として

１．経営トップにセキュリティ委員会を組織化とセキュリティポリシーの発行の承認を依頼する。（策定計画作成）

２．セキュリティ委員会として既存の業務規定などを監査をする委員会に併設を承認。

３．セキュリティポリシー文書（案）とリスク分析の仕方を作成し設置したセキュリティ委員会でレビュー。

３．リスク分析の仕方を参考に各部門でリスク分析の実施。

４．リスク分析を基にセキュリティ管理規定を作成、または既存規定類の見直し修正。

５．セキュリティポリシーに従って対策の実施とセキュリティ管理規定の見直しサイクルの確立（ＰＤＣＡ）。

以上のような手順で実施を考えている。ポイントは新たにセキュリティ委員会を組織化するのではなく既存の同じような機能を持った委員会を流用する。課題が増えるため委員会に属する担当者の負荷は増大するが、新たに組織化することや社内で新た認知させる労力より現実的であると考える。できれば委員会の担当者に対する人事的な考課、もしくは手当てを考えたいが、なかなか難しいところと思われる。あとはセキュリティポリシーを全社員に徹底させることが重要となるが、いくつもの規定類を見て理解する時間はなかなか取れないと思われる、自分の業務に関連するものであってもである。となると公開の仕方を工夫しなくてならない。何ページにもおよぶセキュリティ文書ではなくそれを要約したものを1ページ程度にまとめて常に目に付くようにしたい。事務所の壁に貼る、トイレに貼るなど・・・ある会社は事業方針をトイレの鏡越しにみれるようにしているという。

個人情報保護対策（その３

2ヵ月半ぶりに記事を書く、何事も続けることは難しい・・・文章を書く練習と思って6月からブログをはじめたが見事に3日坊主となってしまった。ここのところ会社の景気が悪く仕事をするための予算削減で、下期に向けた仕事の調整で方針が2点3点してすっかり仕事のやる気を失ってしまった。そんな感じで週末のウインドサーフィンのみが楽しみで過ごしてきた。

そんな中で私の会社で情報セキュリティポリシーを策定しようと作戦をねっている、セキュリティポリシーらしきものはあるが、全社的な経営陣によって発行されＰＤＣＡのサイクルをまわすような運用まではされておらず、ウィルス対策やファイアウォール設置など規定を定めたものまでは存在している。昨今のパロマやダスキン隠蔽問題などを考えたときに会社の不祥事がたとえここまで大きな問題でなくても社会の目が非常に厳しきなってきている。そんなことで最近の情報漏えい事件の報告数は非常に増えているようである、実際、消費者や顧客に悪影響をおよんでいないにもかかわらず報告数は伸びているようである。要は企業がそれだけ情報セキュリティに関して敏感になっていることが伺われる。私の会社においても危機感をかんじており情報漏えいや不祥事に対するスピーディな対処や漏洩しても消費者に悪影響を及ぼさない対策をとる必要性を感じ情報セキュリティポリシーの策定を進めるにいたった。策定で注意をしている点はセキュリティポリシーが絵に描いた餅にならないようにするかということである。市販の本から文章を抜き出してそれらしく作ることは可能であるが、それでは当然全く意味をなさない。どんな情報を保有、利用していて業務でどのように活用していてどんなリスクがあるかを明確にして、明確になったリスクを軽減する対策を明確にし文章にして業務の取り込むまでの対応が必要になる。

これらの対応は情報部門だけでは到底できない、実業務は各々の営業拠点や生産拠点、開発部門で日常業務であつかっている情報が対象となる。情報とついたとたん情報部門が主体で進めるように認識されがちであるがそうではない。情報セキュリティポリシーは経営方針と同様でトップダウンで推進していくものである。実は私の会社も例外でなくまずは情報部門が問題提起をして策定をすることになっている。私的には総務部門が旗振り役になってもらおうと考えている。その為にＩＳＯ文書や規定類を監査する委員会が総務部門主催で開催されているが、そこに情報セキュリティポリシー対策委員会を併設しようと考えている。

個人情報保護対策（その２

個人情報保護対策をはじめ、２００８年に施行されるＳＯＸ法対策においても、従業員の日々の業務における認識が重要になると思います。

基本的に日々業務で発生する情報というものは社外秘ではないだろうか？　クライアントから何らかのアウトプット（広告などの印刷物）を依頼されたとしても、社内の承認処理があって初めてクライアントへ提出されるべきで、製作の過程でかってに社外へ持ち出したり外部の人間の目に触れるようなことがあってはいけないのかと思う。ちょっと語弊があるかもしてません。要は仕事で作成されるアウトプットというものは個人の持ち物ではなくて会社のもちものであるということ。分りきっていることかもしれませんが、以外に自分が手間かけて作った成果物というものにはExceで作った顧客一覧表であっても仕事をした充実感とともに愛情がわく。そうなると社外秘や機密情報という意識が薄れるのではないだろうか・・・

個人情報保護対策について

あるＩＴベンダーの担当者と個人情報の対策として一番効果的なものという話題で、性悪説で対応してもコストにみあった完全なツールはなく、結局扱う人間が節度を持って情報なりツールを使用しないとセキュリティホールができてしまう。結局一番のリスクは人間であって、その教育がやはり一番重要なのではないかと・・でも、現場というものは教育にあまり時間をかけたがらない、しかも直接売上げにつながらない教育はあまりしたくない。また管理部門もいつまでも現場に出向いて教育なんてできるものではない、前にも書いたとおり現場は人の入れ代わりが激しい、女性は平均３ヶ月、営業マンは平均５年である。一度教育した人間は数ヶ月、数年でいなくなる。よって時と共に現場の意識レベルは低くなってしまいます。となるとコンプライアンスの対策として有効なシステムはe-learningなのではないか・・・聞いたら１０００人以上の従業員をもつ企業の６０～７０％は教育システムを持っているとのこと・・　

一番リスキーなのは、通常業務を行いリスクのある情報を扱っていることを認識していない人間ではないか。これを防ぐ第一歩はツールではなく、現場の意識レベルを維持し続けることではないでしょうか。リスクのある情報を扱っていることを認識しないとツールを導入しても正しく利用されない。認識の無いなかでセキュアな環境をつくることは難しいのでは、性悪説に基づいたツール導入だけでは業務効率が落ちいずれルールを守らない人間が現れる、セキュリティホールができる、これをケアしないままでいるとそれはどんどん広がってツールの存在意義はなくなる。業務効率を維持しセキュアな環境を作りには情報を利用する人間の意識改革が重要となる。セキュリティ対策は情報倫理があって成り立つものとつくづく感じました。

内部統制セミナー（続き１

内部統制の一歩としてアイデンティティ管理というのはわかりますが、その前に現場での教育システムの確立も大事なのではないかと考えます。そうなると教育システム確立に重要となります。現場教育システムの確立。人が入れ替わっても常に一定の教育が受けられ同じ水準で業務ができる知識を早く植え付ける。業種にもよりますが、性悪説を前提としてセキュアな環境にするためのツール導入より、現場の知識水準を維持し続ける活動の法がコストを抑え且つ効果的なのではないでしょうか。

内部統制セミナー参加

5月末ですが、あるセキュリティベンダー主催のセミナーへ参加しました。品川の東京コンファレンスセンター行われました。数年ぶりに品川駅をおりたが、駅構内の工事が終わって近代的な外観に変わっていたのにびっくり。構内にはレストラン、本屋がある。中央口をおりると吹き抜けた高い天井、明るい景観。しばらく工事が続いていたので品川駅はとても歩き辛くてあまり寄りたくない駅でしたが、イメージを一層されました。私的にはモノレールの天王洲アイル駅が好きでビジネス街であるため休日の人の少なさと静けさがとても好きです。特に第一シーフォートホテルが好きでレインボーブリッジの夜景がなんとも心を打たれます。さて、今回は内部統制に向けたアイデンティティ管理ということで、情報収集のため参加しました。前日の寝不足がたたって１つ目のセッション（外資系システムベンダー）は眠いのをこらえながら聞いていました。外資系でＳＯＸ法対策を実施済みの会社であったので、経験を元に話しをききたかったのだが、あまりに淡々と話す口調であったのでほとんど覚えていない・・・幸、資料がわかりやすかったのでそれを読み返した。ポイントは職務分掌の明確化と情報システムではそれをアクセス権限に反映するということと思います。取引の承認や決済を正しい権限を持った人間が行うように定義してそれをシステムに反映させる、これを継続させ、監査証跡を残す。こうする為にはシステムを利用する人のアイデンティティ管理が重要であるということ。日本の組織によくある、縦割りの組織、縦割りのシステムではなかなか職務分掌の明確化が難しいと感じます。特にアカウント管理においてはシステムオーナー部門ではなく情報システム部門が管理するケースがあり。ＩＤ発行などのプロビジョニングはシステム部門が責任部門になったり、利用者まかせになったりする。そうなると利用されないＩＤが残りっぱなしだったり、退職者のＩＤを引継ぎ者がそのまま利用したりという状況が起こり得ます。こういった状況はなかなか経営層までは伝わらないことが多いと思います。

業務効率重視の文化を変えないことにはいくらシステム基盤を整備してもそれを活かすことができません。その文化を如何に変えたかはセミナーでは聞くことがなかなかできません。経営層の意識ではなく現場の意識を如何に変えるかが難しいと感じます。現場は人の入れ代わりは多く、且つ現場での教育システムが確立されていることはまずありません。新卒の新人教育はカリキュラムが組まれるが、現場での派遣者、パートにはきちんとした教育をする時間もとれません。

次回へ。