平林良人の『つなげるツボ』Vol.275

————————————————————
■□■ 平林良人の『つなげるツボ』Vol.275 ■□■
― つなげるツボ動画版はじめました ―
*** 内部診断と内部監査18 ***
————————————————————
新型コロナウイルスはいったんコントロールされたかに見えま
したが、また感染が広がり出しました。3月からのコロナ禍の
経緯をみますとコロナが終息するには相当後ろの世界になりそう
です。もしかするとインフルエンザと同様に生涯付き合っていか
なければならないウイルスかもしれません。
前回に引き続き情報セキュリティプロセスの内部診断について
お話しします。

■□■ ウイルスに感染する経路 ■□■
ウイルスの感染経路として最も多いものが電子メールの添付
ファイルです。電子メールに添付されてきたファイルをよく
確認せずに開くと、それが悪意のあるプログラムであった
場合はウイルスに感染してしまいます。

次に多いのがUSBメモリからの感染です。多くのコンピュータ
では、USBメモリをコンピュータに差し込んだだけで自動的に
プログラムが実行される仕組みが用意されています。この仕組
みを悪用して、コンピュータを感染させるウイルスがあります。
このようなウイルスの中には、感染したコンピュータに後から
差し込まれた別のUSBメモリに感染するなどの方法で、被害を
拡大させるものまであります。

高度なウイルスになると自己増殖するウイルスがあります。
インターネットやLANを使用して、他の多くのコンピュータに
感染するワーム型と呼ばれるウイルスです。ワーム型は、自分
自身の複製を電子メールの添付ファイルとして送信したり、
ネットワークドライブに保存されているファイルに感染したり
するなど、利用者の操作を介さずに自動的に増殖していきます。

■□■ 情報漏洩(じょうほうろうえい) ■□■
ウイルスに感染することで一番被害が大きいものは、個人情報
の漏洩です。組織は個人情報保護法により顧客などの情報は個人
が特定されないように保護する責任を負っています。もし、
保有している個人情報が漏洩すると組織の被害は莫大なものに
なります。 漏洩した情報がインターネットに掲載され、公開
されてしまった場合は、その情報をネットワーク上から完全に
消去することは非常に困難です。組織の信用が失われ、財務的
にも場合によっては億を超える金銭的な賠償をせざるを得なく
なります。

■□■ インターネットの時代 ■□■
インターネットでは、通信している相手が本人かどうかを確認
する手段として認証と呼ばれる方法がとられます。
インターネットの認証は、利用者を識別する情報と、それを確認
する情報を組み合わせることで行われます。利用者を識別する
情報はIDと呼ばれサービス提供者が一人ひとりの利用者を区別
する符号です。IDと組み合わせて確認する情報がパスワードです。
パスワードは、IDを割り振られた本人だけが知る情報で、本人
であることを確認するための符号です。他人に自分の登録した
アカウントを不正に利用されないようにするには、適切なパス
ワードの設定と管理が大切です。

■□■ パスワードの内部診断 ■□■
情報セキュリティ内部診断の要点の一つにパスワードを挙げたい
と思います。 安全なパスワードとは、他人に推測されにくく
自動推定ツール※などで簡単に割り出されない次のようなものを
言います。
(1) 名前など個人情報は使用しない。
(2) 英単語などをそのまま使用しない。
(3) アルファベット(大文字、小文字)と数字が混在している。
(4) 10桁以上の長さの文字列である。
(5) アルファベットの並び方が乱数的である。

最近では、ノートPCなどを外部に持ち出すなどの機会が増えた
ため、利用者のPCが直接の不正アクセスの対象になっています。
アカウント情報(ID、パスワードなど)の管理の重要性は飛躍的
に高まっています。

※ 自動推定ツール パスワード自動推定ツールは、「パスワード
クラッカー」と呼ばれ機械的にパスワードを推測する機能を持って
います。パスワードでよく使われる単語が辞書として登録されており、
この辞書に載っている単語や簡単な英数字の繰り返し(123やabc、
aaaなど)を自動的に組み合わせることでパスワードを探し出そうと
します。

平林良人の『つなげるツボ』Vol.274

————————————————————
■□■ 平林良人の『つなげるツボ』Vol.274 ■□■    
 ― つなげるツボ動画版はじめました ―    
*** 内部診断と内部監査17 ***
————————————————————
前号Vol.273は「閑話休題」と称して発信しましたが、表題を
「ちょっと横道に」と訂正させていただきます。「閑話休題」を
反対の意味に取り違えていたことをお詫びいたします。
前々回Vol.272に引き続き情報キュリティプロセスの内部診断に
ついてお話しをしたいと思います。

■□■ 情報セキュリティ対策 ■□■
情報通信技術の進歩は速く、企業・組織の情報資産を脅かす
新しい脅威が次々に登場しています。情報管理責任者は、これら
の脅威について情報を収集し、必要に応じて経営者に報告し
継続的に組織全体の情報セキュリティ体制を見直していく必要が
あります。また、情報システムの管理・運用や、社員に対する
教育・監督を適切に行う必要があります。
前回組織全体の情報セキュリティ診断項目の例を挙げましたが、
もう一歩踏み込んだ診断項目を考えたいと思います。

■□■ 情報管理責任者の内部診断 ■□■
組織の情報管理責任者は、日常から情報セキュリティ対策を
行っていると思いますが、この対策がそのまま内部診断項目の
例になります。 ここにその例を挙げますが、前回の診断項目と
一部重複します。

診断項目の例は、技術的診断項目と管理的診断項目に分かれます。
<技術的診断項目>
・ソフトウェアの更新
・ウイルス対策
・ネットワークの防御
・不正アクセスによる被害と対策
・外出先で業務用端末を利用する場合の対策
・標的型攻撃への対策
・安全な無線LAN利用の管理
・ユーザ権限とユーザ認証の管理
・バックアップの推奨
・ログの適切な取得と保管
・サポート期間が終了するソフトウェア

<管理的診断項目>
・クラウドサービスを利用する際の情報セキュリティ対策
・SNSを利用する際の情報セキュリティ対策
・社員の不正による被害と対策
・廃棄するパソコンやメディアからの情報漏洩
・持ち運び可能な記憶媒体や機器を利用する上での危険性
 と対策
・サーバの設置と管理
・機器障害への対策

■□■ クラウドサービスの情報セキュリティ ■□■
最近は、企業が情報資産を管理する手段としてクラウドサービス
が急速に普及しています。また、個人が利用するインターネット
上のさまざまなサービスが、意識するかどうかにかかわらず、
クラウドサービス上で稼働するようになっています。
クラウドサービスを利用する場合には、データがクラウドサー
ビス事業者側のサーバに保管されていて自分たちの手元にない
ことを理解しておかなければなりません。
インターネットを介してデータなどがやりとりされることから、
十分な情報セキュリティ対策が施されていることが極めて重要です。
専門的なことなのでエキスパートに任せがちになりますが
診断においては、まずはクラウドサービスの情報セキュリティを
確認することをお奨めします。
クラウドサービスを利用することで情報セキュリティの管理から
解き放されたと思いがちです。クラウドサービスの契約をよく
理解すること、そして自社の責任範囲などは確認する必要がある
と思います。

■□■ インターネットの情報セキュリティ ■□■
現在、利用者側が最低限の環境であるPC、携帯情報端末、
インターネット接続環境などを用意すればどの端末からでも、
さまざまなサービスをインターネットで利用することができます。
しかし、インターネットの利用はいろいろな脅威を伴います。
インターネットを通じて、ウイルスに感染してサーバやシステムが
停止したり、ホームページが改ざんされたり、重要情報が盗みとら
れたりします。顧客情報などが漏洩(ろうえい)してしまった場合は、
その企業や組織の信用が大きく傷つけられてしまうのは言うまでも
ないことですが、過去には損害賠償にまで発展した事例もあります。

平林良人の『つなげるツボ』Vol.273

————————————————————
■□■ 平林良人の『つなげるツボ』Vol.273 ■□■    
*** ちょっと、横道に ***
————————————————————
内部診断の話だけでは単調で飽きますので、今回は「ちょっと、横道に」
にそれたいと思います。
最初にテクノファの動画ポータルサイトの宣伝をさせてください。
新型コロナウイルスの渦中にあって集合教育がしづらくなっており、
当社でもオンラインでのライブ講座が増えていますが、それに連動
させていろいろなトピックス(例えば、リモート監査など)を気軽
に動画で見ることができるサイト「テクノファ動画ポータル」を
新設しました。私が執筆している当メールマガジン「平林良人の
つなげるツボ」の動画版も、私の出演で配信しております。この
動画版では、メルマガでは伝えきれないこともお話していますので、
どうぞお立ち寄りください。

■□■ PCR検査 ■□■
さて、最近はPCRという言葉を聞かない日はありません。
このメルマガでもPCR検査について品質管理の視点から閑話休題
としてお話ししたことがあります(Vol.267)。検査ですから必ず
誤りがあるという話ですが、繰り返しになりますので詳しく触れ
ません。PCR検査の精度(約70%と言われている)に関して、
「ぼんやり者の誤り」、「あわて者の誤り」という2種類の誤りが
あるという話をしました。 

■□■ PCRとは何か調べました ■□■
PCRを調べてみますと、Polymerase Chain Reactionの略で
「 ポリメラーゼ連鎖反応」という試薬を使った増幅応用技術の
ことだと分かりました。DNA(遺伝子)の量を大幅に増やす技術
のことだそうです。
DNAは4種類のパーツ(Aアデニン、Tチミン、Gグアニン、
Cシトシンと呼ばれるアミノ酸)が長く繋がったものです。
DNAの塩基である、AとT、GとCは互いに強く結びついており、
2本の鎖を構成し、2重はしご状になったものが螺旋(らせん)
状に結びついた構造を作っています。

■□■ DNAを増幅させる ■□■
この構造を加熱すると二重らせん状がほどけて2本の鎖に分か
れるので、そこにポリメラーゼという酵素※とその他の試薬を
加えると2本に分かれた鎖が二本ずつ倍に増えるのだそうです。
※酵素とは、生体で起こる化学反応に対して触媒として
機能する分子。

この操作を何回も繰り返すとコピーされたDNAは4本、8本と
倍々と増えていき、理論上は10億倍以上にも増幅します。実際
の操作は新聞などで報道されているように、数時間もかかる面倒
なステップが含まれているようです。
PCR検査は人の喉からウイルスを採取します。そのウイルスの
遺伝子を解析して、新型ウイルスの特有な配列が認められれば
その人は感染者(陽性)と判定されます。
PCR検査の精度が低いと言われるのは、採取できるウイルスの
数が極めてわずかであるからだそうです。

■□■ PCR検査の発明者 ■□■
PCRの原理はアメリカのMr.キャリー・マリスが1980年台初め
に思い付きました。
マリスは当時の同僚で交際相手のジェニファーを乗せてのドラ
イブ中に、DNA増幅方法のアイデアが突然に頭に浮かんだと
後日回想しています。この閃きに自分でも驚き車を路肩に寄せて、
手元にある紙片に化学式を書き留めながら、興奮の中で「自分が
思いつく位なら、他の者が既に発表しているはずだ」と過去の
関係しそうな論文を総て当たったそうです。

1983年12月、実験に成功しましたが、分子生物学を揺る
がすことになる発明を同僚らに話しても、重要性は伝わら
なかった代わりにビジネスマンの友人が「パテントを取得
してはどうか」と提案してくれた、という話が伝わっています。

■□■ ノーベル賞受賞 ■□■
マリスはその功績により、1993年にノーベル化学賞を受賞
しました。彼のお陰で、それ以降遺伝子鑑定ができるようになり、
世界中で科学研究、犯罪捜査などに使われてきました。私は今回
PCR検査の精度が70%位だと知り、親子鑑定などに使われている
現状に気がかりですが、きっとそれなりの補正を掛けたり、いろ
いろな工夫をしているのだろうと思います。
DNAは自然界のなかで自らを複製するように特化された極めて
稀有な存在ですが、PCRはその特性を利用して検査ができる程に
までDNAの数を増幅させる画期的な発明であったことを知りました。

平林良人の『つなげるツボ』Vol.272

————————————————————
■□■ 平林良人の『つなげるツボ』Vol.272 ■□■    
*** 内部診断と内部監査16 ***
————————————————————
新型コロナウイルスはいったんコントロールされたかに見え
ましたが、また感染が広がり出しました。3月からのコロナ
禍の経緯をみますとコロナが終息するには相当後ろの世界に
なりそうです。もしかするとインフルエンザと同様に生涯
付き合っていかなければならないウイルスかもしれません。
引き続き組織の内部診断についてお話しします。

■□■ 支援分野-情報セキュリティ ■□■
組織には3つのプロセス分野、すなわち、(1)経営(マネジメント)
分野、(2)主要(プロフィットセンター)分野、(3)支援(サポート)
分野のプロセスがあります。
前回まで(2)主要(プロフィットセンター)分野の内部診断に
ついてお話ししてきましたが、今回から(3)に入りたいと思い
ます。

支援(サポート)分野のプロセスとは、主要分野と経営分野の
仕事を文字通り支援する仕事のことを意味します。最初の診断
対象プロセスとして情報セキュリティプロセスを取り上げます。
情報セキュリティのプロセスは大変多岐に渡ります。

■□■ システムの脆弱性(ぜいじゃくせい)■□■
情報セキュリティを語るにはシステムの脆弱性(ぜいじゃくせい)
を知らなければなりません。システムを構成するOS(Operating
System)やソフトウェアには開発者が人智を尽くしてもプログ
ラムの不具合や設計上のミスに基づく欠陥が必ずどこかにあり
ます。
この欠陥のことを「システムの脆弱性」と言います。 脆弱性は、
セキュリティホールとも呼ばれ脆弱性が残された状態でコン
ピュータを利用していると、不正アクセスに晒されたり、ウイ
ルス(悪事を働くソフトウェア)に忍び込まれたりする危険性
があります。逆に言えば、ハッカー(PC内を覗く人、という
意味)は、 システムやソフトウェアの脆弱な部分をついて不正な
アクセスをして、ウイルスをまき散らします。
脆弱性が発見されると、多くの場合、ソフトウェアを開発した
メーカーが更新プログラムをユーザに提供し対策とします。
しかし、セキュリティホールは完全に対策を施すことが困難で
あり、次々と新たな脆弱性がハッカーに発見されているのが
現状です。

■□■ 情報セキュリティとは ■□■
情報セキュリティとは、たとえセキュリティホールがあっても
組織の情報資産を守ることを言います。
そのために、「機密性」、「完全性」、「可用性」を確立し、運用し、
維持することが必要です。
情報資産とは、組織が保有している顧客情報や販売情報など
の情報自体に加えて、それらを記載したファイルや電子メール
などのデータ、データが保存されているパソコンやサーバなど
のコンピュータ、CD-ROMやUSBなどの記録媒体、そして紙
の資料も含めた情報に関与する資源を言います。
機密性(Confidentiality)とは、許可された者だけが情報にアク
セスできるようにすることです。許可されていない利用者は、
コンピュータやデータベースにアクセスすることができないよ
うにします。
完全性(Integrity)とは、保有情報が正確であり情報が不正に
改ざんされたり、破壊されたりしないことを指します。
可用性(Availability)とは、許可された者が必要なときにいつ
でも情報にアクセスできるようにすることです。

■□■ 診断のポイント ■□■
情報セキュリティプロセスの診断の第一視点は、情報資産を
脅かす機密情報の漏洩(ろうえい)、不正アクセス、データ
の改ざんに対して、具体的対策を取っているかどうかにあり
ます。

組織においては、たった一人の不注意が、ウイルスへの感染や
情報漏洩(ろうえい)といった脅威につながります。社員一人
一人が、情報セキュリティ対策の必要性を理解し、自覚を
もって取り組むことが必要です。
組織によって、策定されている情報セキュリティ対策は異な
りますが、内部診断においては以下のことをチェック項目と
して診断することをお奨めします。
パスワード管理
ウイルス対策
電子メールの誤送信対策
標的型攻撃への対策
偽ホームページ対策
サーバのバックアップ
安全な無線LANの利用
廃棄するパソコンやメディアからの情報漏洩
外出先で業務用端末を利用する場合の対策
持ち運び可能なメディアや機器を利用する上での
危険性と対策、など

平林良人の『つなげるツボ』Vol.271

————————————————————
■□■ 平林良人の『つなげるツボ』Vol.271 ■□■    
*** 内部診断と内部監査15 ***
————————————————————
新型コロナウイルスはいったんコントロールされたかに見え
ましたが、また感染が広がり出しました。3月からのコロナ禍
の経緯をみますとコロナが終息するには相当後ろの世界になり
そうです。もしかするとインフルエンザと同様に生涯付き合っ
ていかなければならないウイルスかもしれません。
引き続き営業プロセスの内部診断についてお話しします。

■□■プロフィットセンター‐営業プロセス■□■
営業プロセスの業務は、大きく分けると新規営業、既存営業、
営業支援(電話営業、営業事務)に分けることができます。
当然のことですが会社によって分け方、名称は異なります。
自社の分課分掌規程を当ってみてください。
新規営業は、取引も面識もない会社に対して、電話や直接
訪問など何かしらの方法でアプローチし、新規顧客として
獲得をする活動のことです。
既存営業は、顧客の現状抱える課題を深堀りすることで、
自社商品と絡めた課題解決方法を提案します。現状の取引
とは別の案件が発生する可能性もあるほか、顧客との信頼
関係が深まることで別顧客の紹介を貰えるかもしれません。
営業支援は、内勤営業とも呼ばれるもので、社外にいる営業
担当者が顧客との交渉などに注力できるように、社内での
事務業務をサポートする仕事です。

■□■ 営業プロセス診断の視点 ■□■
営業プロセスの診断で特に留意すべき視点は、(1)「業務プロ
セスの明確化」,(2)「業務の標準化」,(3)「業務管理の見え
る化」の3点だと思います。
営業業務には次のようなプロセス例がありますが、まず(1)自社
の業務プロセスがどの程度明確化になっているか診断します。
・広告
・訪問
・製品・サービスの説明
・見積もり
・提案
・契約
・納品
・代金回収など
その際、個々のプロセスについては,集めるべき情報(インプット),
次のプロセスに引き渡すべき情報(アウトプット)がはっきり
されているか診断します。

■□■ (2)業務の標準化 ■□■
訪問営業においても,直接訪問、店頭セールス,ネット販売など
の様々な形態があります。また、顧客及び代理店などの声を聞き
ながら,多様なニーズを持つ顧客への対応を個々のケースとして
処しており,個人の能力に依存して業務を多くあります。このた
め,プロセスの標準化があまり進んでおらず、個人が行っている
営業活動を見てみると,いくつかの共通するステップや行動が
あります。
逆に,成功したケースの出来栄えを比較すると,成功したケース
には一定のパターンを見つけることができます。したがって,
成功パターンを標準として定め,守ることをすれば営業目標を
計画通り達成する可能性が高くなります。自社の営業プロセスが
どの程度標準化されているかが2番目の視点です。

■□■ (3)業務管理の見える化 ■□■ 
営業の基本的な仕事は、電話をかけ相手企業のキーマンや決裁者
とのアポイントを得ることです。日頃からアポイントをうまく
得るには、話し方の訓練など営業の基礎となるスキルを身につ
けることが必要です。しかし、このような努力が実らないと
業務目標は達成できません。電話を掛けることは手段であって
目的ではありません。
営業プロセスにおいても管理項目を設定することが必要です。
営業の管理項目というとすぐに売上げが思いつきますが,これ
だけではプロセスに対する適切な評価にはなりません。例えば,
訪問営業は,訪問(引き合いの創出)→提案→デモ→契約→
納入→フォローという一連の活動になります。最終の評価項目
売上だけでなく、一連の活動に対応して,訪問件数や訪問計画
達成率,引き合い件数/訪問件数,デモ依頼件数/提案件数,
契約件数/デモ件数,納期遵守率などを可視化することを考え
るのが推奨されます。このように活動と対応づけた管理項目を
設定することで,最終目標との結びつけもでき、また結果に
結びつかない活動も見えるようになります。業務管理を効果的
に行うためには,次の点を診断するとよいでしょう。
– 日報等を活用し,日々の営業活動の進捗状況を把握してい
 るか。
– 上司と部下が,営業活動の進捗状況の情報の共有し,次の
 処置を検討しているか。
– 管理項目はグラフなどを活用し,職場に掲示しているか、
 など