「システム監査の話題」カテゴリーアーカイブ

監査人が国際舞台で活躍する条件

国際舞台で活躍する条件は何でしょうか。
決勝トーナメントへ出場するサッカーの条件ではありません。同じく若手が活躍するゴルフでもありません。

我々の経済力、企業の競争力、ひとりひとりの競争力についてです。
日本の総合的な国際競争力の評価リストでベスト16から外れて久しいのですが、まだ復活の兆しも見られません。
日本を起点とした企業、つまり日本に本社をおき、海外で事業を展開する企業で活動する企業内監査人や、公認システム監査人に認定された監査人には、国際舞台で実務的に活動できる監査人がいます。
彼らと意見を交わしてみると、国際社会、国際試合で活躍する条件は、ルールを理解し基本的なスキルを身に付けた上で、自分で判断し行動できる選手を養成し国際試合の経験を積む(試合の場数を踏む)ことではないでしょうか。

人間としての身体の基礎能力に大きな違いがないとすれば、後は、その基礎能力を発揮する能力の差が勝敗をきめるのです。
日本企業が国際競争力No.1、No.2と言われたころに、経営の教科書はなく、現場の選手は無我夢中で情報を集め、その中から最適と思われるものを自分で選んで判断し行動した人が多かったようです。
日本の本社に相談して指示をうけないと意思決定できないという風刺もありましたが、それは経営判断のレベルであって、具体的な実践判断は本社ではわからない。現場の指揮官が判断し、その現場の指揮官の責任と権限の範囲で実践していたわけです。昨今の内部統制という観点では、よく統制とれていたと言えるでしょう。

決勝トーナメントに進むサッカーの日本選手を応援しながら思います。
ビジネスの国際舞台での、国内の基盤をより強固にしていくため、Netを活用した日本の進む道を一緒に考え、まず歩むことから動き始めよう。

「セキュア・ジャパン2010(仮称)」案が公開され、意見募集スタート

●「セキュア・ジャパン2010(仮称)」案を作成、意見の募集を開始
(NISC)
————————————————————
内閣官房情報セキュリティセンター(NISC)は6月15日、「セキュア・ジャパ
ン2010(仮称)」案を作成し、意見の募集を開始したと発表した。本案は、情
報セキュリティ政策会議が2010年5月11日に決定した「国民を守る情報セキュ
リティ戦略」の年度計画となるもの。本案では、セキュリティ事案に対する日
本全体の「基礎対応力」を常に向上させておくことが不可欠とし、官民連携の
総合的な政策推進体制の確立と国際的な連携の強化が必要としている。

また具体的な取り組みとして、
大規模サイバー攻撃事態への対処態勢の整備等や、
新たな環境変化に対応した情報セキュリティ政策を強化するために
「情報セキュリティ政策の強化」
「国民・利用者保護の強化」
「国際連携の強化」
「技術戦略の推進」などを挙げている。

意見は、所属、氏名、住所および連絡先を明記の上、
日本語で作成して、メール、FAXまたは郵送で次へ提出してください。

 ⇒  http://www.nisc.go.jp/active/k……j2010.html
———————————————————–
このサイトでは、情報セキュリティをテーマとするシステム監査を
どのように計画、実施、課題を抽出するか、というポイントで、
関連する情報を紹介しています。
業務の適正な運用を阻害する要因を取り除き、
早く業績向上にむけて活動できるよう応援しております。

通信相手、取引先が「なりすまし」だったら

通信相手、取引先が「なりすまし」だったらという、
「なりすまし」というセキュリティの課題での報告会に参加しました。

JIPDEC(日本情報処理開発協会)では、情報セキュリティに関するISMS制度、PMS(個人情報保護のPマーク)制度を運用しています。

そのJIPDECが主催する、
「なりすまし」というテーマでの研究報告会が開催されました。
IPA、JPCERTなどのセキュリティ対策を推進する主要な団体が協力して対応を検討するという趣旨で、経産省が後援するというものでした。

電子メール、ホームページサイト、ブログ、ツイッターという、
現在の情報交換の主役として利用されている、これらのツールについて、
情報の発信者側、受信者側からみた「なりすまし」リスクを、
並べて比較検討するというもの。

いろいろな課題が潜んでいて、3-4時間の事例紹介や講演、討議で
解決するような内容ではありません。
また、選挙活動での利用を想定した議論もされている様子。

会議の内容は、後日、JIPDECサイトで公開されるということですが、公開しただけでは、その貴重な情報は利用者には到達しないのです。
ここに、セキュリティ被害が一向に減らない原因の一つがあります。

このような会場で示されるような内容を、多くのパソコン、携帯電話、
iPhoneやiPadのような新しい機器を購入し利用する人に、
直接、語りかけて安全な利用方法を指導する役割の重要性を
改めて認識しました。

なお、席上で、セキュアジャパン2010というセキュリティ対策方針が示された、という報告がありました。後日、確認して紹介します。

ソフトウェア資産管理(SAM)のユーザーズガイドが公開されました

会社のなかには、いろいろな種類のソフトウェアが利用されていて、
どの種類のソフトが何本利用されているか、という観点でチェックするのは、
SAMの一部の機能です。

実際、どのような管理が必要かというと
・バージョンは、
・他のツールやハードとの互換性は
・セキュリティホールへの対応は、
・サポート体制は、

など、実際の運用に合わせた管理が必要です。

特に2000年以降のソフトウェアの種類は、その前より格段に増え、
しかも利用者端末機器であるパソコンの動作に影響します。

「SAMって知ってるかい」という1分動画を、先月ですが作成したのですが、当時はあまり関心は大きくなかったようです。

年内にWindowsXPのサポートな中止されると、他のOSへの移行計画も必要になってきます。企業規模とパソコンなどの利用者数が多いと、利用形態も異なり、とても複雑です。

実際、SAMとしての全体管理は容易ではありません。

ソフトウェア資産管理(SAM)に関する文書 
  http://www.isms.jipdec.or.jp/s……index.html
というものが、次の通り
財団法人日本情報処理開発協会(JIPDEC)から公開されました。

この文書が、貴社での管理を少しでも楽にするよう期待しています。

SAMの効率的な体制構築、定期監査など、ご相談に対応させていただきます。慣れないうちは、技術もわかる監査人にお任せください。

———————————————————–
以下のソフトウェア資産管理(SAM)に関する文書は、
PDF版をダウンロードできます。

●SAMユーザーズガイド -導入のための基礎- 2010.6.16
  ⇒  http://www.isms.jipdec.or.jp/s……index.html
 SAM導入について、より実践的な解説を踏まえ、SAM導入におけるポイントを説明しているガイド。 主な読者は、実際に

SAMの導入を経験している組織の管理責任者並びに管理担当者の方を想定している。

● SAMユーザーズガイドの概説 2010.6.16
  ⇒  http://www.isms.jipdec.or.jp/s……index.html
 SAMユーザーズガイドの概要を説明している冊子。その他、SAMの取組み事例についても紹介している。

小惑星探査機「はやぶさ」雑感

先日、無事役目を果たした小惑星探査機「はやぶさ」の目的と役割について、
宇宙科学研究所の公式サイトでは、次のように紹介しています。

1.工学技術実証
 (将来の本格的なサンプルリターン探査に必須で鍵となる技術を実証)
2.サンプルリターン技術の確立
3.4つの重要技術の実証(イオンエンジンを主推進機関として用い、惑星間を航行すること/光学情報を用いた自律的な航法と誘導で、接近・着陸すること/微小重力下の天体表面の標本を採取すること)

打ち上げが、2003年5月9日
帰還が、2010年6月
ですので、丸7年にも及ぶ長期活動です。

その間、行方不明となったり、故障を抱えての宇宙旅行だったわけです。

「はやぶさ」には、現在の地球、日本、日本人の生活はどのようにみえるのでしょうか。
その間に私たちが、得たもの、学んだものはなんでしょか。
私たちが失ったものは何でしょうか。

そこには、
・重要な役割(ミッション)に対する考え方
・故障した時に役割を継続する緊急時対応の考え方
・長期間安定して稼働させる事業継続の考え方
・企画、製造、運用、監視などシステム最適化の考え方
などのもとに、実践されているという事実があります。

壮大な役目を果たした「はやぶさ」に対して、このような自問をして、
システム監査という仕組みを評価する役割を果たしていきたい。