リスクに対応できるモニタリング技術とは:ビジネスに差がつく防犯技術(10)(2/2 ページ)
情報セキュリティで求められるモニタリング
情報セキュリティにおいてはモニタリングが特に重要となる。
ウイルス対策や不正アクセス防止では、新種のウイルスが検知されなかったとか、ファイアウォールが破られてしまったといった話が後を絶たない。しかし、当初導入したセキュリティ対策の有効性がいつのまにか低下しているというケースは、何もウイルス対策や不正アクセス防止のような技術的対策に限られたものではない。
セキュリティポリシーやセキュリティ教育、誓約書、契約書の締結、訪問受け付け、パソコンや媒体の持ち込み・持ち出しといった人的・組織的な取り組みにおいても、放置しておけばどんどん有効性を失っていく。
セキュリティ教育を例に挙げると、教育を受けていない新入社員がいたり、日常業務に追われて危機感をなくしてしまった社員が増えたりしていないだろうか。
せっかく作ったルールであっても、守らない者に対する警告がされないと、人はルールを守らなくてもいいんだと勝手な解釈をしてしまう。駅前の違法な駐輪などを見ればよく分かるだろう。
セキュリティポリシーやセキュリティ規程も、教育と監査を続けていかなければただのお題目になってしまうのだ。
モニタリングといえば、記録点検や対面ヒアリング、業務観察といった方法を思い浮かべるかもしれない。しかし、継続的に情報収集された経理情報から見えてくる異常もある。地味な経理事務が巨大な不正を暴くこともあるのだ。管理会計が持つ異常点監視というもう1つの意義については次回見ていくことにしよう。
アンケート(テスト)や面談で人をモニタリングし続けよ
機械以上に保守点検が必要となるのが人であるということを認識してほしい。
放置しておけば、モラルもモチベーションも落ちていく。知識も失われ、実際に経験した事件ですら人は記憶を失っていく。この連載の初めに紹介した警報ブザーが鳴っても屋外に避難しようとせずに談話し続ける社員は、恐らく長い間、火災や地震などで怖い思いをしたことがないのだろう。
人の意識や知識レベルが低下していないかを点検するには、アンケート(テスト)や面談が効果的だ。現状について知ることができることに加えて、アンケートを実施すること自体で、これは大事なことなのだという再認識をさせることができる。
質問する場合は、「はい」か「いいえ」で答えられるものではなく、「なぜ社員証を常時着用しないといけないと思いますか?」とか「あなたが最後に退社することになったら何をしなければいけませんか」といった説明を求めるようなものがいいだろう。模範的な回答ができる人が以前より少なくなってきているようであれば、危険シグナルだと思っていいだろう。
内部統制で求められるモニタリング
内部統制においてもモニタリングは重要だ。
整備したコントロールがきちんと運用されて有効に機能しているかを確認することは、経営者として当然の責務である。
見通しが悪くて信号機もない交差点を思い浮かべてほしい。意外とこのような危なそうな場所の方が事故が少なかったりする。事故が多いのは見通しがよく信号機も整備された所だったりする。歩行者も自転車も自動車もみんな信号機を過信し、自分の目で確認できる範囲がすべてだと安心しているようなときに事故が起きるのだ。
しかし、現実には、信号機の変わり目に無理をするドライバーや平然と無視する自転車、歩行者がいたり、死角となって見えない所から飛び出してくる車や自転車があるといったように、見通しの悪い交差点以上に危険度が高かったりするのである。
内部統制のモニタリングに話を戻そう。
信号機はまさに業務ルールであり、青信号は適切な仕事への許可であり、赤信号は許されない不適切な仕事への却下である。黄信号は注意が必要な仕事ということになるだろう。
重要なことは、信号機だけあっても守らなければ意味がないということだ。
信号機が守られているかをモニタリングするのが交通警察官だとすれば、業務ルールが守られているかをモニタリングするのは内部統制の担当者だろう。警察でも厳しい反則取り締まりと併せて地道な交通教育を地域や学校で行っているように、業務ルールの社員教育が必要になるのはいうまでもないだろう。
内部監査が持つ本来の目的は悪人狩りでもなければ恐怖政治のような心理的圧力を与えることによる安定を目指すものでもない。モニタリングの最も重要な役割は、「自分たちが取り組んでいることが間違っておらず、自信を持ってやっていっていいんだという『保証』を与えることなのだ」ということを、内部監査の担当者の方々にはぜひとも再認識していただきたい。
今回は、リスク対策の有効性を確保するために知っておくことが不可欠である、バリデーション(妥当性確認)とベリフィケーション(有効性確認)という2つの検証の意義と違いについて説明した。
次回は、このモニタリングの方法として、管理会計が強力なツールとして活用できることについて触れてみたいと思う。
筆者プロフィール
杉浦 司(すぎうら つかさ)
杉浦システムコンサルティング,Inc 代表取締役
京都生まれ。
MBA/システムアナリスト/公認不正検査士
- 立命館大学経済学部・法学部卒業
- 関西学院大学大学院商学研究科修了
- 信州大学大学院工学研究科修了
京都府警で情報システム開発、ハイテク犯罪捜査支援などに従事。退職後、大和総研を経て独立。ファーストリテイリング、ソフトバンクなど、システム、マーケティングコンサルティング実績多数。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。