2008年9月 6日

中小企業も容易に取り組める情報セキュリティ対策について

現実的な内部統制の強化について

 当社も情報セキュリティに関するコンサルティング依頼を受けることがあるのですけれど、 お客様の反応は「なぜ、そんなことをコストをかけてやるの?」ということもときどきあります。
 やはり、人間の本能として「セキュリティは形がみえないので想像がつきにくい」とか 「形の見えないものにコストはかけられない」といことでしょうか。

システム監査学会の提言
JSSAニュースを読んで
 専門監査人部会報告として次のような意見があがりました。
情報セキュリティの裾野の広がりと幅広い分野に対応するための現実的な施策が必要だからでしょう。 要旨を述べてゆきたいと思います。

  • 重要な情報資産は隔離スペースとするが、ガラス張りとする
  • 倫理意識の低い人は機密レベルの高い仕事につけない
  • パスワードは本人に覚えやすいものとする
  • 機密情報は窓のない部屋に隔離する
  • ICカードは、友連れ防止の考慮する
出所:JSSAニュース「情報セキュリティ監査に役立つ着眼点と監査ノウハウ」: (株)バルク、内藤裕之

考察

 現実的なセキュリティ提案は、資源の乏しい中小企業としては大歓迎であり、上記の提案について以下のように考えます。

  • 重要な情報資産の隔離は必須、ガラス張りとするのは管理のしやすさと、内部けん制効果を高めることでしょう
  • 倫理意識を高めることは5Sからはじめることが肝要だと思います
  • パスワードは本人に覚えやすいものとする理由はメモの禁止だと思います
  • 機密情報は窓のない部屋に隔離する<:これは結構、難しく、中小企業では執務室が1つのケースが多いです/li>
  • ICカードは、友連れ防止の考慮する:近年友連れ禁止のカードシステムがでていますね
 先日、大企業系の企業を訪問させていただきましたが、友連れ禁止のICカードシステムを体感しました。

まとめ

 機密レベルの意識向上も重要ですが、気楽に取り組める「面倒くさくない」セキュリティシステムは とても重要だと思います。当社もイントラネットシステムの導入により、ウィルス対策、外部攻撃対策が 自動化となり非常に管理時間が削減されており、有難いです。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 07:31

2007年12月23日

景気の減速傾向について(2007年12月)

景気後退が懸念されます

 日銀が14日発表した2007年12月の企業短期経済観測調査(短観)によると、「 企業の景況感を示す業況判断指数(DI)は大企業製造業でプラス19と、 前回9月調査に比べ4ポイント低下した。」
中小企業製造業の景況感は小幅改善したが低水準で、 「先行きは2005年3月以来のマイナス圏に低下」しました。  景気後退が懸念されています

原因として考えること
 原因として考えられることは
  • 原油高
  • 金属の原材料費の高騰:それにかかわらず価格転嫁できない
 現場からも次のような声が上がっています
  • 11月後半から仕事が激減している(中部地区・製造業)
  • 最近、仕事のキャンセルや物件の中断が多い(東北地区・システム開発)
 設備投資の手控えや、IT投資の手控えは景気の悪くなる傾向のひとつとして 既に知られています。従って、皆様におかれましては引き続き景気動向の監視 が必要と思われます。
消費について
 日経流通新聞に次のような記事が出ていました。該当アンケート56組に 調査したところ景況判断で次のような結果が出たそうです。
  • 景気はかなりよくなる:1.8%
  • 景気はちょっとよくなる:8.9%
  • 景気はかわらない:32.1%
  • ちょっと悪くなる:41.1%
  • かなり悪くなる:5.4%
  • 無回答:10.7%
ネットビジネスへの考察
私がシステムアナリストとして コンサルテーションしている顧客ついては等しくWebビジネスに着手しているので マイナス要因を吸収してあまりあるのですけれど、消費の低迷や設備投資控えは 結果的にネットビジネスへ影響されると思っているので注意が必要でしょう。


出所:「来年、家計悪くなる」46%:日経流通新聞2007年
12月17日版

BtoB専門のWebコンサルタント
(有)アイ・リンク・コンサルタント 代表取締役 社長 加藤忠宏




投稿者 kato : 15:09

2007年2月14日

USBメモリのセキュリティとリスク対策

USBメモリの価格実態

USBメモリの価格下落が続き、とうとう、2007年1月現在で1GBで2000円台のものが登場した。この背景として、 1GB程度のUSBメモリであれば、自分のPC環境をどこにでも携行できるため、仕事がはかどる ことが大きな要因と思われる。

USBメモリのセキュリティについて

 しかし、USBメモリには次のようなセキュリティ上の課題が残る

  1. 紛失・盗難の危険性
  2. 不正利用による、盗聴、閲覧の危険性
  3. データ破壊破損の危険性
  4. データ破壊破損の危険性

 特に、小指程度の大きさのメモリに、1GB程度のデータが入るため、大量の個人情報流出や企業情報の漏洩に 繋がる可能性も高い。これに対して過般性がたかいため、紛失・盗難などの危険性も高まる。

USBメモリのリスク対策

 このため、最近のUSBメモリではつぎのようなセキュリティ機能を実装するものも増えてきた。

  1. ファイルやフォルダーのパスワードロック、簡易パスワードの設定
  2. ファイルやフォルダーの[AES/Blowfish/Triple DES/DES]の4種類の暗号アルゴリズムの適用
  3. 他人に見られたくないデータをセキュリティ領域とフリー領域の設定も可能

 しかし、上記のようなハードウェアの充実だけでは情報漏えいは予防できない。このため 次のような対策が必要と思われる。

  1. USBメモリのセキュリティモードの設定、利用の周知、教育徹底
  2. 企業として管理対象とするUSBメモリの把握と管理、仕様場所の限定
  3. USBメモリへの複写してはいけないファイルのセキュリティの充実
  4. USBメモリ社外持ち出し・返却手続き、規約の整備
参考:「USBメモリ、パソコンどこでも自分仕様」
出所:日経新聞2007年1月31日
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kitta : 11:49

2005年8月18日

2005年8月18日 ブログのリスクと利点及びIT的対策

ブログを巡るリスク管理とマーケティング活用

ブログを巡る企業の思惑

 ブログを巡って、大企業の企業戦略が出現し始めている。本来、ブログの 趣旨からすると、「私的ページ」「日記的ページ」「独り言」という色彩が 強かったが、ブログの広範な広がりと多様な利用形態から無視できない状況になっている。

CRMツールとしてのブログ

 企業が、CRM(Customer Relationship Management) ツールとしてブログを活用する企業が増えている。企業はブログのもつ 「口コミ効果」を利用して製品や市場に対するマーケティング調査に 活用している。そのメリットは次の通りである。

  • 従来型のマーケティング調査で、把握できない本音や嗜好が収集できる
  • マーケティング調査コストが安価である。通常は数百万円~数千万円
  • 中立的な意見も得られる
  • 競合ブランドの評価も得られやすい
  • 自らが抱える良質な会員組織掲示板との比較で客観性が確保できる
ブログのリスクについて

 しかし、上記のメリットのほか「ブログのリスク」 も指摘されている。特に次のようなデメリットがある。

  • ブログは匿名サイトであることが多いため、情報の真実性が問われる
  • ブログによって、品質の高低があるため、マーケティング情報の品質 確保が難しい
  • ブログの匿名性を利用した誹謗中傷、虚偽情報を流されたときの社会的影響が大きい
システムアナリスト加藤のブログによる市場調査に関する意見
ブログのマーケティング調査について

 当社の場合、顧客企業のうち、宿泊施設や喫茶店などの飲食店のコンサルティング を依頼されたときに掲示板による評価を使っていた。その意味で、 ブログは掲示板とともに重要な顧客満足の測定場所として有効な場所だと思う。

ブログのリスクについて

 上記のようなブログリスクを調査するITシステムがある。それが、東京工業大学 奥村助教授の研究成果を製品化した「blog Watcher」である。ブログウォッチャーを 利用すると、製品や企業及びサービスに対して「否定的意見」「肯定的意見」など を分析して、企業評価を数値化して提示してくれる。便利なシステムで弊社も導入を 検討している。

参考:日経MJ 2005年8月12日「ネチコミに聞け」
(c)アイ・リンク・コンサルタント 加藤忠宏



投稿者 kato : 08:04

2005年6月19日

2005年6月19日 企業リスク開示拡大の動きについて

企業リスク開示が上場企業のスタンダードへ

企業リスク開示の現状と傾向

2004年6月、証券取引法の一部が改正になり上場企業は業績に影響を及ぼしかねないリスク情報について株主総会後に提出する有価証券報告書に掲載することが義務付けられるようになった。しかし、近年、それに先立ち決算短信でリスク情報を開示する企業が増えている。2004年度決算期では東京証券取引所では100社以上が開示している。

これは、リスク発生時に対策や情報開示が後手に回り、株価を低落化させたり、対処を誤り倒産や法人清算に至る企業が発生していることと無関係ではない。

例えば、ヤフーの場合は個人情報漏洩や不正アクセスを事業リスクとしてあげている。また、明治乳業などは冷夏などによりアイスクリームの売上低迷などをあげている。リスクの例は次のとおりである。

  • 情報管理:個人情報漏洩、不正アクセスなど
  • 自然災害や気象条件:地震や天候不順など
  • 新規事業や投資:事業不振や事業遅れなど
  • 特定の顧客や商品・地域への依存:ロイヤルティーの低下など
  • 特定の商慣習への依存:消費者意識の変化など
  • 会計的課題

詳細なリスク分析や管理手順については「UFJ総合研究所 金融調査・コンサルティング コラム」に詳しく掲載されている。

システムアナリスト加藤忠宏の所見

企業リスク開示の一般化の傾向は、監査制度の見直しに影響を与えることが予想される。日本公認会計士協会は、監査のあり方を見直し、企業リスクを考慮した監査手法へ切り替える方針を出している。

新システム監査基準でも保証型監査が提起された。ここでは、被監査企業と監査人が十分話し合いを持ち、監査情報の開示を行うことを定めている。保証型システム監査では監査報告書の責任をシステム監査人が責任を追うため、企業の開示情報だけでなく、監査人独自の手法を用いてリスクをあぶりだすことが求められることだろう。

参考:日本経済新聞2005年6月16日 「企業リスク開示拡大」



投稿者 kato : 15:19