経営戦略、IT戦略、Web戦略、人材育成、内部統制整備のご支援を生業としています

カレンダー

08 | 2017/03 | 09
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 -

プロフィール

荒添美穂

Author:荒添美穂


☆公認システム監査人
☆システム監査技術者
☆ITCインストラクター
☆総務省電子政府推進委員
☆中小機構CIO育成チーフアドバイザー
・・・ 他

大学での講義や年間80件以上のセミナーを開催。
アイディア勝負のブルーオーシャン戦略支援を得意とする、中小企業の経営コンサル業を営み25年。
ネット活用の売上拡大支援では90%以上を売上3倍以上を、SEO対策は100%の成果を実現している。
創業支援から経営コンサルの育成・教育まで、「ありがとう」と言われるコンサルティングを身上とする。
※ 中小企業基盤整備機構、日本商工会議所、各所の中小企業支援センター、みらさぽ等の専門家派遣可


来て頂いて感謝♪


お世話になります!


RSSリンクの表示


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
先日、親しい中小企業診断士の先生からのお声かけで、
経営戦略や事業戦略、価値創造に資するITについての講演をさせて頂く機会がございました。

企業の中でのITは、
IT技術者やITに詳しい人に任せるべき、特別なものではありません。


経営の中の思いを
◆ もっと効果的に
◆ もっと価値をあげ
◆ もっと早く
◆ もっと広く
実現するためのツールです。


重要な事は、
「何を成したいのか」があり、
「どんな使えるツールがあるか」を知る
ことです。


織田信長は、
鉄砲をうまく使ったけれども、
鉄砲をつくることなんて、できませんでした。


小規模ながら、天下統一をしたいと思い、
鉄砲という武器の存在を知り、
ツールとして使いましたが、
決して、「自分は、鉄砲の専門家でないから、鉄砲の専門家に戦い方を任せよう」とは言わなかったでしょう。


Webサイトを含むITツールも同じように考えて、
「こう使いたい」と思う経営側の方が主導権を持つことが肝要と思います。


また、そのツールを手に入れたら、
必ず、
・ 狙いを定める
・ 引き金を引く(情報発信する)
ことをしないと、
そこにツールがあるだけでは、何も起こりません


ただ、 IT系のツールは、何がどうなんだかの区別がつきにくいのも事実かと思います。

たとえば、
クラウドって、言葉は知っているけれど、
どんな種類があり
どう違い
どれが最適か
どんなリスクがあるのか
肝心なところがぼやけているのも確かでしょう。


そもそも、IT系のいろいろは、
アルファベットがいくつか並んだものとか、
聞き慣れないカタカナ用語が多いので、

ITやWebをフル活用するご支援が多い私も、「うええ!!」と思いますし、 何より、「間違って口にしたら恥ずかしい・・」というプレッシャーもあります。


専門用語をできるだけ使わずに、クラウドを整理すると、
インターネット経由で、
欲しい情報やプログラムの入ったコンピューターを使うので、
どこにいても、いろんな情報やシステムを使うことができる
ってところでしょうか。


ただ、「便利」はリスクも伴います

ネットバンキングにしても、
営業さんが出先からアクセスする商品情報にしても、
ログインするための情報が漏れたら、 だれでも操作したり、閲覧したりができてしまいます。


そこで、間違いなく個人を特定するために、
iPhoneもPCも、銀行のATMや、入室も、
指紋認証顔認証で行うことが増えてきました。


そうすると、
非常にセンシティブな情報を認証のために提供することが、慣れっこになってしまいそうで怖くもありますが、便利さの前には太刀打ちできないですね!


クラウドだけでなく、セキュリティのことを言われると、どんなに巨額の資本を投下しても、100%の防御は不可能です。

企業を守る視点でいえば、
何か不備が起こっても、責を追求されないくらいにきちんと処理していますという姿勢と履歴を残しておくことが肝要かと・・・・・・








当ブログ記事に関し、
ご質問やお問合わせがございましたら、下記までお気軽にどうぞ!
 有限会社 インテリジェントパーク
 代表取締役 荒添 美穂
info@int-park.jp
スポンサーサイト
システム監査という言葉をお聞きになったことがおありでしょうか?


私の若いころ、
福岡の北九州市という土地柄では、
まだまだ、女性の名刺には、
無条件に「アシスタント」という冠が付くことが多くございました。


情報処理系の企業で働いておりました頃は、
とりあえず、
資格を取ってみたら、ちょっとは変わるかな?

なんて、浅はかな考えから、
当時の情報系の2種・1種・特種という資格を取り、
産休中に、システム監査を取りました。


何をするための資格かも考えずに・・・です(^^;


システム監査は、
この資格ができて、年齢制限クリア後すぐに取得できたため、
合格時は、九州には女性はひとりという状況で、
システム監査人協会九州支部立上げ期から参加させて頂けました。

その後、
実務経験の状況などから、公認システム監査人という資格が出来、
この取得とともに、システム監査学会にも参加させて頂いております。


あれから、20数年・・・
おかげさまで、協会や学会の皆さまからは、これまで、
多大なるお助けを頂き、感謝感謝でございます。


ひとりでは知る事のできなかった、
◆ 情報
◆ 事例
◆ 専門知識や法解釈の議論
など、システム監査人協会システム監査学会の皆さまから頂く知識や経験談は、 本当に、宝の山とも言えるご縁を頂き続けております。


先日より、頂いた資料の山を整理しておりましたところ、
銀行のカード偽造事件の記事で、目が止まり、
朝の情報番組で見かけたニュースを思い出したのでした。
「高校生3人がオレオレ詐欺、被害4億」
・550枚の他人名義のキャッシュカードを押収
・全国各地で160件の詐欺
550枚もの他人名義のキャッシュカードを
高校生数人で作れるはずもありませんが、

銀行のカードを偽造する事件は、
比較的発生頻度の高い
ものです。


そして、
その多くにシステムの開発や保守に関わる方が関わっており
結果、銀行側が 委託先の選定と管理責任を問われています。


委託先の選定と管理責任とは
外部へ業務委託した業務で、事件事故障害があった場合
委託先&元外で被害を被った方への責任は、委託元がとるべきという考え方です。

委託元が責任をとった上で、
委託先との契約や交渉において、
責任や賠償の分担を請求することとなりますが、

車のオーナーと車を借りて事故ったひとの関係と同じく、 最終的には、「相手を選んだ責任」を負うのです。

もし、個人情報を預けた先から情報漏洩したら、
預ける先を選んだ方が責任を取らなければなりません。


同様に、
無料のオープンソースを使ってシステムを作成した場合、 オープンソースを作った人ではなく、これを採用した側へ責任を求められるので、ご注意を!

でも、
重要な業務を委ねる先を
どう選び、管理するかの責任を取れ!と言われても、なかなか難しいでしょうが、
◆ 選定の基準を儲けること、
◆ 業務処理統制の監査、または、監査報告書に準ずるものを頂いておくことで、社会的責任からは少し免れるでしょう。


さてさて、
システム監査は、
信頼性安全性効率性の観点から情報システムを総合的に点検・評価する行為
とされています。

効率性」は、
システムを入れて、本当に業務は楽になったの?
ってことです。

信頼性」は、
故障しないで、いつもちゃんと動いてくれる?
ってことです。

安全性」は、
もし、故障しても、大ダメージを被らずにさっさと復旧してくれる?
という観点です。

安全性信頼性は、同じようにみられることも多いですが、
本来は、
信頼性を下げてでも、安全性を上げましょう・・ということもあるわけです。
※ 避難勧告を早めに出して、信頼性は落ちても安全性を高めるって感じでしょうか



情報セキュリティについては、情報セキュリティ監査として、 システム監査とは別とおっしゃる方もおられましょうが、

あくまでも私的には、
そのシステム、
バグなく、止まる事もなく、
データが消えたり壊れたり、盗まれたりしないで、
サクサク動いて、ちゃんと役に立ってますか?
の範疇に、バグやウィルスやOSのサービス打ち切りのようなことも入ると思っているので、システム監査の中のひとつとして、情報セキュリティ監査があり、


当ブログの前述のような、
カード偽造のような不正が行われないよう、
また、そのようなことがあったらすぐに気づき、追跡できるよう

システム周りの業務処理の統制確保も、システム監査の役割であるべきと思いつつ、監査の仕事も続けているような次第です。


業者さんに任せる場合も、
管理責任のひとつとして、
システム監査を!!!


なんて、恩返し?普及活動をしてみました ^^







当ブログ記事に関し、
ご質問やお問合わせがございましたら、下記までお気軽にどうぞ!
 有限会社 インテリジェントパーク
 代表取締役 荒添 美穂
info@int-park.jp
先の4月1日、
消費税率の変更がありました。


切換え時のシステムトラブルで開店が間に合わなかった
大手スーパー「西友」さん「いなげや」さんのニュースは、お耳にされたかと思います。


ニュースにならなかった深刻な影響としては、
中小零細の店舗において、システムやPosレジの対応費用が捻出できないとして、 閉店を決断されたところもございました。


消費税率は、導入された時点で、
いつかは変更があることは、ほぼ確実なことでした。

そして、近いうちに再度の変更がある
のは必至です。


に、しては・・・私的には、
システム関連における、最近の騒ぎは、大きすぎる感があり、
ふと、昔の記憶がよみがえりました。


昭和の時代、私がSEをしていたとき、一度、
大手他社さん配下のプロジェクトに借り出されました。

和暦年号の変更がすぐにできるように設計したところ、
当時のPM(プロジェクトマネージャー)から、
・天皇陛下が亡くなる事を想定するなんて、人間性最悪
・変更時には、大規模改修による収入が確実なのにバカか
とのお叱りを受け、納得できない思いに悩み・・・・


ITが、
金食い虫でなく、
お金を残せるツール
となるためにはどうあるべきかを模索した結果、


ITは、
現状のマズイ業務を固定化する「今、どうしてますか」からスタートするシステム化手順を止め、

「どうありたいですか」と「組織と人の成熟度」から、今可能な最善の折り合いを考え、

業務改革を必ず並行実施し、
抽象的な言葉遊びでない費用対効果予測とライフサイクル&リスクを考慮した
ものでなくてはならない、と、考えるようになりました。


そのため、その後の25年の間に、自然と、
IT」に特化したコンサルではなく、
経営や業務、内部統制、組織、人材 + マーケティングの 全方向視点のコンサル業(経営のコンシェルジュ)という今の仕事となって来たのでした。


もちろん
技術革新とそれを取り入れる社会環境の変化が尋常でない早さで進んできた業界ですから、

どんなに予測しても、しきれないことは出てきます。


2014 年 4 月 9 日 (日本時間) 、WindowsXPのサポートが終了します。

WindowsXPが発売された2001年には、
今のように、スマホやタブレットの浸透とともに、Facebook YouTube Line等のSNS利用者がここまで膨らむと予測した方は、多くなかったでしょう。

そのため、WindowsXPには、現状のネットワーク活用に耐えうるだけのセキュリティ機能が搭載されていません。
Windows7以降に強化された主なセキュリティは、
多層化防御
ユーザー権限の強化
などです。


OSが変わるたびに、
 ・ 高額な基幹システムなどを入れ替える
 ・ 対応のための有償バージョンアップを行う
のは、会社の経費としては、大きな負担となりましょう。


ただ、システムの開発側としても、
どう変わるかわからない将来の「外部環境変化」であるOSの変更に、 無償での対応を宣言するわけにはいかないのも事実です。


冒頭述べた、消費税率変更に対応する経費が捻出できずに閉店したお店のような企業さんを 増やさないため、また、ベンダーさんも安定経営を実現するためには、

双方の知恵を出し合う必要があります。
が、難しい場合は、
専門家派遣の仕組みが、中小企業基盤整備機構などにございますので、ご活用ください。


また、私の経験としては、
困った事例のベンダーさんは、企業の規模とは比例しませんから、
選択に関しては、ブログ上で「これ!」といった正解を差し上げることは難しいのですが、

困った事例では、必ず、
1.依頼側の「どうしたい」が不明確で
  ITはプロに任す姿勢で他人事な打合せが行われる
2.価格交渉時に必須の仕様が漏れていく
3.おかしな(不当な)契約書が交わされる
という事象がみられます。


できるだけ、
 ◆ リスクを小さくする
 ◆ 効用を大きくする
ためには、


投資に関しては、
きちんと自分(自社)で、指針を持ち、
やりたいことを数値でも明確にし、
納得のできる契約を結ぶ
ことにご留意くださいますと、トラブルも減ってくるのではと、
願ってやみません。







当ブログ記事に関し、
ご質問やお問合わせがございましたら、下記までお気軽にどうぞ!
 有限会社 インテリジェントパーク
 代表取締役 荒添 美穂
info@int-park.jp
皆さまご存知の通り、
2014年4月9日、マイクロソフトのOS WindowsXP(以降、XPosと呼ぶ)のサポートが終了します。


マイクロソフトのOSやOfficeサポート終了って、
企業にとっては、経費的に大変に頭の痛いことですね。


この件にまつわる、トラブルや判断への助言のご相談は、本当に多いです。
【事例】
5年前、XPos下での基幹システムとハードや周辺システム、総額で1億5千万以上の投資を 行った製造小売業さんは、突然、ベンダーさんから、7osや8では動かないので、
 ・" サーバとパソコン買換えてください(新OS&office)
 ・" 基幹と周辺システム入れ替えてください
と、総額で1億3千万のお見積りを受け、どうしたら・・とのご相談。

似たようなご相談や、セミナーのご依頼は、今年だけでも10件は超えたかと思います。


対策セミナーの多くは、自社サービスの紹介&販促であるようで、
実際には、何をどうしたら良いかわからない


とのご意見も多いため、
今回は、この件のご案内をさせていただこうかと思います。


サポートが終了するということは、、
 更新プログラム・パッチがなくなる
 動かなくなってもサポートが受けられない
ということですので、使い続けることは可能です。


ではなぜ、リスクが高いと叫ばれているのでしょう?

1. XPOffice2003についての理解
XPosは2001年から販売されています。
XPosを設計製作している時代は、現在のようなSNSやタブレットの普及など
これほどのネット活用社会を想定していません。
ですから、XPosには多層化防御のしくみがなく、
ユーザ権限の機能性能が低いのです。

統計的には、XPosのウィルス感染率は、7osの10倍と言われています。

ですから、サポート終了やハードの性能が低いことを抜きにしても、セキュリティ的に弱いのは事実です。


ただ、だからと言って、社内全台入替えは、資金的に難しい企業さんもおられます。

事実、2013年4月の段階では、ビジネスに使われるXPosのパソコンはまだ、1419万台残っていました。2013年年末には、860万台となる見込みが出ています。
※ マイクロソフト発表

では、どうするか・・を考えるために、
以下、サポート終了の影響と、どのような対策があるのかをご紹介して参ります。


2. サポート終了の影響
サポートが終了すると、バグ改修やセキュリティ強化のパッチが配付されなくなり、 狙われやすくなります。
このため、XPosを対象に導入した、パッケージソフトやオリジナルシステムの 開発業者さん(ベンダーさん)も、一緒にシステムの保守やサポートを終了させることがほとんどです。

ウィルスソフトもXPos対象のものは、なくなります。
※ もちろんこの市場を狙ったサービスも登場していますが・・


とりあえず、何の対策もせずに使い続けるとすると、こんな影響も考えられます。
以前起こった、韓国におけるデジタルテロは、
まずセキュリティの弱い小さな企業や個人サイトが浸食され、 そこから、ネットワーク経由(メールや取引、決済など)に侵食を広げ、 銀行や政府など、国の中枢機関ににまで至ったのだそうです。

特に大きな企業は、事業承継の対策として、常識的に取引相手の統制レベルに敏感になっています。

XPosやoffice2003のまま、無策に使い続けていると、企業の信用的に問題となる可能性がございます。



3. 自社にあう対策を考えよう
企業で使われる 数千万台のPCが入れ替わる(現在の残りは1000万台を切るくらいと予測されますが)、 大きな市場ですから、結構いろんな対策商品が出されています。

1.XPのPCやシステムを使い続けるための
   ・ ファイアーウォールやセキュリティプログラム
   ・ 仮想化システム
     ※サーバーを仮想化するXenAPP
      アプリケーションを仮想化するThinAPP
      マイクロソフトのAPPV
  同じサービスでも、価格は、業者さん毎に格差あり。

2.XPos以外で動かないシステム(VB6や古いAccessなど)の自動変換ツール
   ・ 自動変換成功率は、85%
    (帳票は手作業改変になることもあり)
   ・ 変換の経費は、10%程度となることもあり


3.今回は総入れ替えをするが、今後は自衛する
   ・ クラウド、プライベートクラウドの選定基準を知る
     <ダウンロード>      ※クラウド安全利用のススメ(IPA)
     ※クラウドサービス利用のための
情報セキュリティマネジメントガイドライン(経産省)

   ・ OS変更時含む、バージョンアップサービスの
     有無と価格を確認する



まだ、社内にXPosがかなり残っていて、お悩みの方は、
まずは、自社の状況を整理してみて下さい。
【自社状況の整理】
・ 異なるOSが混在することによる不具合はないか
・ ネットに繋ぐ必要のないPCはどれか
・ XPパソコンの購入時期
  (7OSをインストールできるものできないもの) ・ 利用中のシステム類で、連動して保守が終わるものはないか


きちんと自社内で、適切な入替え計画をたてて頂きたい!
でも、そんな人材がいないとおっしゃる方は、

前述のガイドラインなどを確認の上、
いろんな機関で行っている専門家派遣の補助などもご利用くださいませ。

 | BLOG TOP | 


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。