文字サイズ

コラム画像

2017.9.28

サイバーセキュリティの被害事例と必要性

皆様はサイバーセキュリティという言葉をご存知でしょうか?サイバーセキュリティとは、コンピュータに対するハッキングや破壊、情報漏洩、情報の改ざんといったサーバー攻撃から身を守ることを指します。2015年には経済産業省と情報処理推進機構が「サイバーセキュリティ経営ガイドライン」を策定しました。組織の情報漏洩などが頻繁に発生している昨今、経営者が果たすべき責任の一つとして、サイバーセキュリティがあります。それを広く実行させるために、経済産業省とIPAが共同で公表したのが、「サイバーセキュリティ経営ガイドライン」です。ITが生活の一部となり、今はいたるところにサイバー攻撃の可能性があります。現在、サイバーセキュリティの強化、対策が急務になっています。多くの経営者が、いまだに自分のところは大丈夫と考えています。しかし、日本での事例を挙げると、多くの会社がサイバー攻撃を受けていることを実感するはずです。

出展:情報処理推進機構<情報セキュリティ サイバーセキュリティ経営ガイドライン解説書>
https://www.ipa.go.jp/security/economics/csmgl-kaisetsusho.html
■サイバー攻撃の被害事例 アメリカのYahooがサイバー攻撃の被害に会い、5億人分の個人情報が流出したという事件は、昨年2016年の9月に発生しました。いくつか日本国内の事例も挙げます。20159月:千趣会の出産祝いギフトサイトに不正アクセス201510月:東京大学の学内メールサーバに不正アクセス、3万件以上の個人情報が流出20154月:株式会社サンリオでは「サンリオ株式ポイント倶楽部」から6000人以上の個人情報が流出20143月:下着メーカーのワコールのサーバーに不正アクセス。関連するサイトの閉鎖を余儀なくされる

20156月:日本年金機構のサーバーに不正アクセスがあり、125万人の年金情報が流出

こうしてみると、サイバー攻撃は人事ではないと感じないでしょうか?ここで挙げた事例の他にも多数のサイバー攻撃が報じられています。企業にとっては、何もおきなければただのコストにしか感じられない場合もあるかもしれません。ですが、いざ何かが起こってしまってからでは遅いのです。サイバー攻撃は、自社の被害だけでなく、パートナー企業や顧客、グループ企業など多くの関係各所に影響を与える可能性を孕んでいます。サイバー攻撃への防御は、経営者が果たすべき義務でもあるといえます。サイバーセキュリティは保険のようなもので、何かあったときに初めてその価値が示されます。まだサイバー攻撃に対する対策を講じていない企業も考えてみることをお勧めします。米ヤフー、5億人分の個人情報流出 サイバー攻撃か https://www.nikkei.com/article/DGXLASGN22H29_T20C16A9000000/

 

 

登録カテゴリ:
コラム画像

2017.8.18

第13章 ITのおけるリスクマネジメントの手法について~セキュリティ対策~

こんにちは、渡辺事務所代表の渡辺達文と申します。 私はシステム会社に勤めた後、2012年に独立しました。現在は、国内外の企業団体様に対し、ITを中心とした業務コンサルティングや企業顧問等をさせております。 本連載コラムでは、ビジネスの現場ですぐに活用出来るMS OfficeのWORD、EXCEL、POWER POINT等のスキルを身につけていただきます。 前回の講義では、身近な「たこ焼き」というものを用いて、飲食をテーマにリスクマネジメントについて解説しました。今日はITにおけるリスクマネジメントの一分野である「セキュリティ対策」についてお話しします。 セキュリティ対策は、ITのリスクマネジメント まず、リスクマネジメントのおさらい ? 病院のものは、なぜ白いものが多いのでしょうか。 ? リスクマネジメントとは、ざっくり言うと何のことでしょうか。 ? リスクマネジメントはどのような流れでやったでしょうか。 ? リスクの大きさは、何と何によって決まっていましたでしょうか。 ITにはどんなリスクがあるか すでにご存知の方もいるかもしれませんが、情報処理推進機構(IPA)のウェブサイト上で、毎年「情報セキュリティ10大脅威」というものが公開されています。 毎年新たな脅威が出ていますので、ぜひチェックしてみてください。 様々なリスクがあるが、どこから手を付けるか リスクマネジメントとしては、色々とやらなければならないことがありますが、いったいどこまでやればいいのでしょうか 全てのリスクの対策をして、リスクをゼロにすることは現実的に不可能です。 なので、優先順位をつけて取り組むことが必要です。 優先順位の付け方としては、リスクの大きさや、取り掛かりやすさ、他への影響の有無等によって決まります。 【課題1301】ITのリスクマネジメント(目安40分~) 今回の課題は、リスクマネジメントの手法を用いて、「日々スマホを使う上で、最も取り組むべき情報セキュリティ対策(リスクコントロール)は何か」をエクセルにまとめてください。印刷設定としては、A4サイズで1枚に収まるようにしてください。 書き方については、以下のたこ焼き屋を出店する場合の例を参考にしてください。なお、あくまで参考なので、書き方は任意とします。 次回は第14章、マネジメントシステムの国際規格であるISOを中心解説いたします。
登録カテゴリ:
コラム画像

2017.8.18

第14章 マネジメントシステム(MS)の文書化の方法について

こんにちは、渡辺事務所代表の渡辺達文と申します。 私はシステム会社に勤めた後、2012年に独立しました。現在は、国内外の企業団体様に対し、ITを中心とした業務コンサルティングや企業顧問等をさせております。 本連載コラムでは、ビジネスの現場ですぐに活用出来るMS OfficeのWORD、EXCEL、POWER POINT等のスキルを身につけていただきます。 前回のコラムでは、ITにおけるリスクマネジメントについて解説しました。 今回の授業では、マネジメントシステムの国際規格であるISOを中心に話を進めていきます。「ISOという言葉は聞いたことある」「しかし、実際にISOがどんなものかは見たことがない」という方が、ISOの文書をもう一歩踏み込んで分かるようになり。また、最後に審査の目線からISOを見ることも行います。 そもそもマネジメントシステム(MS)とは何か 日本工業規格JIS Q 19011:2012マネジメントシステム監査のための指針では以下のように定義されています。 マネジメントシステム(management system)方針及び目標を定め,その目標を達成するためのシステム。出典:http://kikakurui.com/q/Q19011-2012-01.html※ JISとは、ISOを日本国内で円滑に使うために日本語に翻訳されたもの。 マネジメントシステム(MS)は文書化されていることが多いです。 そして、MS文書はほぼOfficeで作られるので、Officeの操作になれることで、MSをスマートに構築できる様になります。 ISOと皆さんの関わり方 ISOのMSは、皆さんの仕事でどのように関わるでしょうかいくつか以下に列挙します。 (ア) 従業員として、MSに沿った仕事をする (イ) 経営者として、会社を運営するためにMSを活用する (ウ) コンサルタントとして他社のMS構築を手伝う (エ) 審査員としてISO等の認証のあるMSが実際に機能しているかをチェックする 多くの場合は(ア)として関わることが多いと思いますが、それ以外の方法でかかわる可能性ももちろんありえます。また、ISOは国際規格なので、もし審査員になった場合、海外でも仕事をすることができます。 ISOとMSの対応 ISO9001品質マネジメントシステム QMS(Quality Management System) ISO14001環境マネジメントシステム EMS(Environmental Management System ISO15001個人情報保護マネジメントシステム PMS(Personal information protection Management Systems) ISO27001情報セキュリティマネジメントシステム ISMS(Information Security Management System) 実際のものを見てみる。 「iso 9001 ひな形」でググってみてください。 http://www.scott-m.com/iso9001/doc-list.html こちらのサイトを見ると文書メインのQMSを読むことができると思います。 しかし、実際問題、文書ばかりだと使いにくいので、うまく図を使ったりしてどこも運用しています。現役ISOコンサルタントが使っている図を上手く使った例をご紹介します。 (サンプル「株式会社Kei 年間マネジメントプロセス【CAP-Do】」) ※次ページの図は、WORDの表と図形を使って作成されています。?【課題1401】上のMSのCAP-Doについて(目安20分~) CAP-DoとはPDCAを変形させたものです。この、CAP-Doについて、以下の観点で調べたものを提出してください。WORDファイルで適宜レイアウトは工夫してください。 【観点1】PDCAとは何かP・D・C・Aのそれぞれの意味 【観点2】CAP-DoとPDCAの違いは何か (+α:時間に余裕があれば、以下についても記載してください) 【観点3】PDCAとDCAPの違いは何か 用語の説明 用語の説明は、ISOもしくはJISの用語と定義に記載があります。 http://kikakurui.com/q/Q19011-2012-01.html などをご覧になってください。 「MS規格要求箇条」とはなんだ サンプルの一番右の列にあるMS規格要求箇条とは何でしょうか 実は、この番号はとても重要な意味があるのです。この番号は、ISOの規格の番号を示しています。これがあることで、マニュアルとISOの規格が紐づくようになっています。 http://kikakurui.com/q/Q9001-2015-01.html で実際の規格を見てみてください。 【課題1402】審査してみよう(目安30分~) 規格を読みましたか この規格(ルール)をもとに、会社の運営がルールに沿っているかを見るのが審査員です。(あくまで、ルールに則っているかをチェックします。なので、業績の良し悪しや不良品の数などでは判断できません。) この課題では、審査員の目線に立って、規格に合っているかチェックして、不適合報告書をWORDで書いてください(WORDファイルは先ほどの課題1401と同じファイルで構いません。改ページをして、次ページに記載してください)。 読んでいただくのは以下の文章です。 不適合報告書は次のページにあるものを参考にしてください。 ? タイトルはゴシック体で、本文は明朝体にしてください。 ? 項目は次ページの通りとしてください。 ? 不適合の内容を1つ書いていますが、あともう1つ書くことができます。5.1.1. b)の書き方を真似して書いてみてください。 次回は、第15章アンケートの作成方法について解説します。
登録カテゴリ:
コラム画像

2017.8.18

第12章ビジネス現場で役立つリスクマネジメントの方法と手順

こんにちは、渡辺事務所代表の渡辺達文と申します。 私はシステム会社に勤めた後、2012年に独立しました。現在は、国内外の企業団体様に対し、ITを中心とした業務コンサルティングや企業顧問等をさせております。 本連載コラムでは、ビジネスの現場ですぐに活用出来るMS OfficeのWORD、EXCEL、POWER POINT等のスキルを身につけていただきます。 今回は、ビジネス現場で役立つリスクマネジメントの方法と手順の超入門です。 病院にあるものは、なぜあの色なのか 病院を思い浮かべてください。 包帯、ガーゼ、脱脂綿、医療用の機械、作業着、色々なものがあると思います。 どんな色をしているものが多いですか。 多くのものは、白い色をしていると思います。 では、なぜ白い色のものが多いのでしょうか。 それは、病院ならではのリスクを減らす目的があります。 ものが白ければ、汚れや血液の付着にすぐに気づくことができます。 しかし、もし茶色だったら赤かったら 汚れや患者の血液をそのまま放置することは、健康上のリスクになります。 なので、病院ではすぐに気付けるように、白いものが多いのです.身の回りにあるものは、危なくないように作られている 
1,倒れたら電源がOFFになるストーブ2,一定温度以上になったら消えるコンロ3,指が入らないようになっているシュレッダー4, 衝突しにくい車 5, 使用限度額のあるクレジットカード6, WEBの安全検索7, いざという時の保険これらの機能は、製品の目的を果たす上では必ずしも必要ではありません。 安全に、安心して生活できるように、企業等がリスクマネジメント(リスク管理、リスクをなんとかすること)した結果、実装されてきたものです。 このコラムにおけるリスクマネジメントとは 「リスク」「リスクマネジメント」はJIS規格で「目的に対する不確かさの影響。」「リスクについて,組織を指揮統制するための調整された活動。」と定義されています。 色々な考え方を内包しているので、このような難しい言い回しになっていますが、この授業においては、以下の様な考え方でかまいません。 リスクマネジメント = リスクを何とかしようとすること 今回学ぶリスクマネジメントのやり方 リスクマネジメントの全体像は多少複雑ですので、今回はシンプルに3つの流れだけ覚えてください。1. リスクを洗い出す2. リスクの重みづけをする3. 必要なものは対応する以下、あなたが「たこ焼き屋さん」だとして、安心安全なたこ焼きを出すためのリスクマネジメントをしてみましょう。 [ 1. リスクを洗い出す ] まず、たこ焼きのリスクを洗い出します。たとえば、こんな感じでしょうか。1. 熱くてやけどする 2. 丸のみして子どもののどに詰まる3. 青のりが歯につく4. ソースが唇につく5. 附属品の爪楊枝が指に刺さる6. 食中毒になる[ 2. 「リスクマトリックス」でリスクの重みづけをする ]洗いだしたリスクに対して、重みづけをします リスクの重みづけの公式は、ぜひ覚えてください。リスクの大きさ = 危害のひどさ × 頻度 この公式を表すものとして、よく「リスクマトリックス」というものが使われます。 ※ 今回は3×3のマトリックスですが、このマトリックスは、その時々によっていろいろな形があります。 先に洗いだしたリスクを、上のリスクマトリックスに当てはめたものを表にすると、下の様になります。 このなかで、項番2にあたるものは、必ず対処しないといけなさそうです。 項番1、3、4に当たるものは、できるだけ対処した方が良いでしょう。 [ 3. 必要なものは対応する(リスクコントロール) ] リスクマトリックスを用いて、危険なリスクとそうでないリスクが分かったと思います。このうちの、危険なリスクについては、リスクをコントロールしましょう。 項番2は命にかかわる内容です。 子どもが丸のみ出来ないようにすることが必要でしょう。 なので、「丸のみ出来ないように大きいサイズにする」「タコを大きいカタマリで入れない」「中はトロトロにして、のどに詰まらないようにする」という対応をすることにします。<リスクを発生させない> 項番1については、多少やけどする程度ですが、命までは取られません。 なので、「熱いので注意してください」と注意が書きをすることにしましょう。<リスクを受け入れる> 項番3については、頻繁に発生しますが、爪楊枝があるので良いこととしましょう。<リスクは発生するが、問題は低減させられる> 項番4については、頻繁に発生しますが、お手拭きを付けることで解消しましょう。<リスクは発生するが、問題は低減させられる> この対応ができたら、再度リスクの重みづけをして確認します。 3×3の大ざっぱなマトリックスなので、変わったのは下線で示されている所だけですが、×マークになっているところはないので、これでついに、たこ焼きを売り始めることができそうです。 【課題1201】リスクマネジメント実践(目安30分~) 上の「たこ焼き」を参考に、テーマを決めてリスクマネジメントをしてみてください。具体的には、何かテーマを決めて、リスクマトリックスを作り、リスクを洗い出して、リスクの大きさを計算して、リスクのコントロールをしてください。 テーマの一例を挙げます。ここから選んでいただいても構いませんし、独自に設定しても構いません。(ただし、たこ焼き以外で) テーマ例:「焼きそば」「エレベーター」「電気ケトル」・・・ 印刷設定としては、A4サイズで1枚に収まるようにしてください。 書き方については、以下のたこ焼きの例を参考にしてください。なお、あくまで参考なので、書き方は任意とします。
登録カテゴリ: