連載インデックス

連載
ビジネスに差がつく防犯技術(10)


リスクに対応できるモニタリング技術とは

杉浦 司

2008/11/18

前のページ1 2第11回

情報セキュリティで求められるモニタリング

 情報セキュリティにおいてはモニタリングが特に重要となる。

 ウイルス対策や不正アクセス防止では、新種のウイルスが検知されなかったとか、ファイアウォールが破られてしまったといった話が後を絶たない。しかし、当初導入したセキュリティ対策の有効性がいつのまにか低下しているというケースは、何もウイルス対策や不正アクセス防止のような技術的対策に限られたものではない。

- PR -

 セキュリティポリシーやセキュリティ教育、誓約書、契約書の締結、訪問受け付け、パソコンや媒体の持ち込み・持ち出しといった人的・組織的な取り組みにおいても、放置しておけばどんどん有効性を失っていく。

 セキュリティ教育を例に挙げると、教育を受けていない新入社員がいたり、日常業務に追われて危機感をなくしてしまった社員が増えたりしていないだろうか。

 せっかく作ったルールであっても、守らない者に対する警告がされないと、人はルールを守らなくてもいいんだと勝手な解釈をしてしまう。駅前の違法な駐輪などを見ればよく分かるだろう。

 セキュリティポリシーやセキュリティ規程も、教育と監査を続けていかなければただのお題目になってしまうのだ。

 モニタリングといえば、記録点検や対面ヒアリング、業務観察といった方法を思い浮かべるかもしれない。しかし、継続的に情報収集された経理情報から見えてくる異常もある。地味な経理事務が巨大な不正を暴くこともあるのだ。管理会計が持つ異常点監視というもう1つの意義については次回見ていくことにしよう。

アンケート(テスト)や面談で人をモニタリングし続けよ

 機械以上に保守点検が必要となるのが人であるということを認識してほしい。

 放置しておけば、モラルもモチベーションも落ちていく。知識も失われ、実際に経験した事件ですら人は記憶を失っていく。この連載の初めに紹介した警報ブザーが鳴っても屋外に避難しようとせずに談話し続ける社員は、恐らく長い間、火災や地震などで怖い思いをしたことがないのだろう。

 人の意識や知識レベルが低下していないかを点検するには、アンケート(テスト)や面談が効果的だ。現状について知ることができることに加えて、アンケートを実施すること自体で、これは大事なことなのだという再認識をさせることができる。

 質問する場合は、「はい」か「いいえ」で答えられるものではなく、「なぜ社員証を常時着用しないといけないと思いますか?」とか「あなたが最後に退社することになったら何をしなければいけませんか」といった説明を求めるようなものがいいだろう。模範的な回答ができる人が以前より少なくなってきているようであれば、危険シグナルだと思っていいだろう。

内部統制で求められるモニタリング

 内部統制においてもモニタリングは重要だ。

 整備したコントロールがきちんと運用されて有効に機能しているかを確認することは、経営者として当然の責務である。

 見通しが悪くて信号機もない交差点を思い浮かべてほしい。意外とこのような危なそうな場所の方が事故が少なかったりする。事故が多いのは見通しがよく信号機も整備された所だったりする。歩行者も自転車も自動車もみんな信号機を過信し、自分の目で確認できる範囲がすべてだと安心しているようなときに事故が起きるのだ。

 しかし、現実には、信号機の変わり目に無理をするドライバーや平然と無視する自転車、歩行者がいたり、死角となって見えない所から飛び出してくる車や自転車があるといったように、見通しの悪い交差点以上に危険度が高かったりするのである。

 内部統制のモニタリングに話を戻そう。

 信号機はまさに業務ルールであり、青信号は適切な仕事への許可であり、赤信号は許されない不適切な仕事への却下である。黄信号は注意が必要な仕事ということになるだろう。

 重要なことは、信号機だけあっても守らなければ意味がないということだ。

 信号機が守られているかをモニタリングするのが交通警察官だとすれば、業務ルールが守られているかをモニタリングするのは内部統制の担当者だろう。警察でも厳しい反則取り締まりと併せて地道な交通教育を地域や学校で行っているように、業務ルールの社員教育が必要になるのはいうまでもないだろう。

 内部監査が持つ本来の目的は悪人狩りでもなければ恐怖政治のような心理的圧力を与えることによる安定を目指すものでもない。モニタリングの最も重要な役割は、「自分たちが取り組んでいることが間違っておらず、自信を持ってやっていっていいんだという『保証』を与えることなのだ」ということを、内部監査の担当者の方々にはぜひとも再認識していただきたい。

 今回は、リスク対策の有効性を確保するために知っておくことが不可欠である、バリデーション(妥当性確認)とベリフィケーション(有効性確認)という2つの検証の意義と違いについて説明した。

 次回は、このモニタリングの方法として、管理会計が強力なツールとして活用できることについて触れてみたいと思う。

筆者プロフィール
杉浦 司(すぎうら つかさ)
杉浦システムコンサルティング,Inc 代表取締役
京都生まれ。
MBA/システムアナリスト/公認不正検査士
・立命館大学経済学部・法学部卒業
・関西学院大学大学院商学研究科修了
・信州大学大学院工学研究科修了
京都府警で情報システム開発、ハイテク犯罪捜査支援などに従事。退職後、大和総研を経て独立。ファーストリテイリング、ソフトバンクなど、システム、マーケティングコンサルティング実績多数。
■要約
リスクは絶えず変化するものだが、現実ではその点があまり認識されておらず、肝心のリスク対策が“最初に設定したまま”という状況がよくある。リスクに対応するにはモニタリングが有効だ。

モニタリングと一口でいっても、大きく分けて2つの類型がある。1つは「バリデーション(妥当性の確認)」であり、もう1つは「ベリフィケーション(有効性の確認)」だ。「モニタリングがしっかりできている」組織の多くは、ベリフィケーションのことをいっており、バリデーションはあまり意識していないことが多い。しかし、バリデーションこそが非常に重要だ。

情報セキュリティにおいてはモニタリングが特に重要となる。セキュリティポリシーやセキュリティ教育など、放置しておけばどんどん有効性を失っていく。これらをモニタリングし続けていかなければ、ただのお題目になってしまうのだ。内部統制においてもモニタリングは重要だ。整備したコントロールがきちんと運用されて有効に機能しているかを確認することは、経営者として当然の責務である。
記事の先頭<Page1>に戻る

前のページ1 2第11回

リスクに対応できるモニタリング技術とは
  Page1
リスク(脅威とぜい弱性)は絶えず変化する
バリデーション(妥当性確認)とベリフィケーション(有効性確認)
→ Page2
情報セキュリティで求められるモニタリング
内部統制で求められるモニタリング

ビジネスに差がつく防犯技術 バックナンバー 連載インデックスへ»


ホワイトペーパーTechTargetジャパン

仕事の改善 新着記事
@IT情報マネジメント メールマガジン 情報マネージャのための情報源(無料)

@IT情報マネジメント 新着記事

この記事に対するご意見をお寄せください managemail@atmarkit.co.jp

キャリアアップ

- PR -
@IT Sepcial
→ @IT情報マネジメント Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る

TechTargetジャパン

@IT Sepcial
→ @IT情報マネジメント Special ヘ
ソリューションFLASH

求人情報