ドクターQがお届けするIT統制ブログ　ITサプリ

"セキュリティマネジメント"をテーマに据えて、情報セキュリティの現状をお伝えしている当シリーズ。今回は「セキュリティマネジメント」について考えてみましょう。

「マネジメント」は、一般的に経営や管理と訳されますが、本質的には必要な諸条件を整えて維持し、さらなる成長を目的とした戦略の立案・決定・実行することを指します。その手法をセキュリティにも適用し、セキュリティの向上を目指しているのが「セキュリティマネジメント」です。

　「セキュリティマネジメント」は、企業が情報を適切に管理し、機密を守るためのカギとなる重要なものです。「ISMS(情報セキュリティマネジメントシステム)適合性評価制度」などが注目されているのもセキュリティに対する関心の表れでしょう。

ISMSは、財団法人日本情報処理開発協会が推進するセキュリティ対策の完成度を第三者が評価する制度です。ISMSは評価基準として、10の管理分野と、36の管理目的、127の管理策から構成される「JIS X 5080」がベースとなっています。

　ISMSでは、まず作成したセキュリティポリシーに基づいて、情報セキュリティ対策の具体的計画、方針を策定します(Plan)。次に、その計画に基づいてセキュリティ対策の実施・運用を行って(Do)、実施した結果を監査します(Check)。最後に経営陣による見直しを行い、改善するサイクルを継続的に繰り返すことで(Action)、情報セキュリティレベルの向上を図ります。

　企業や自治体の中には、「ISMS」を取得していない企業との取引を行わないというケースも増えてきていると聞きます。今後企業がスムーズに他社と取引を行うためには「ISMS」の取得が必須となる時代がやってくるかもしれません。

以上、Dr.QがITサプリメントをお届けしました。
次回は「ISMSが提唱するPDCAモデル」に関してお話します。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第21回目です。

前回からスタートした、BtoB取引における統制活動。まず今回は、仕入先管理に関する統制活動に関して解説することにしましょう。

　多くの企業にとって、商品の仕入は生命線。通常、BtoBビジネスでは継続的に、また反復的に取引が行われています。そのため、仕入先に関して一定の情報を常時管理していくことが、リスク管理の面から非常に重要になります。それでは、具体的にどのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説することにしましょう。

■仕入先管理における想定リスク

具体的に、下記の2つのリスクを想定できます。
◎仕入先の経営状況や事業内容を把握していないため、不法行為などの不適切な取引に関わってしまうリスク
◎仕入先に適切な商品提供能力が無いため、必要な商品の仕入れができないリスク

例えば有害物質が含まれた海外生産品を仕入れてしまい、企業の信用を損なう恐れがあります。また仕入れの遅れによって自社の業務にも遅れが生じ、結果最終納品が遅れ、重要な顧客を失う可能性も考えられます。

■仕入先管理における統制活動

前述のようなリスクを軽減させる統制活動として、具体的に下記の3つをあげることができます。

1：信用調査の実施

仕入れ先に対して確実な信用調査を行なうことは、統制活動の中でも最重視すべき点です。また取引契約の締結前に行うことが重要です。
◎信用調査会社による、最新経営状況の把握
◎実際に仕入れ先を実際に訪問しての調査活動

リスク管理を徹底している企業では最近、管理部門の担当者が直接出向き、仕入れ先の商品提供能力を把握するケースが目立ってきました。CSR （corporate social responsibility　企業の社会的責任）の面からも、極めて重要な2点と言えるでしょう。

2：信用調査の定期的な実施

仕入先の経営状況なども短期間で急激に変動します。1の信用調査を、2年あるいは3年程度の期間で再度行うことが重要です。

3：取引基本契約書の締結

仕入先との適切な取引を行うために、取引基本契約書を締結する必要があります。

■契約期間
■品質保証
■支払条件
■納期 

などを明確に記載することで、万一の取引上のトラブル回避を図ります。

従来、日本企業の多くが仕入先に関しては「まず信用する」という考えを持って取引を行ってきました。
しかし、現在では国外からの仕入が当たり前になり、企業には一層のリスク管理が要求されているのが事実です。また株式市場や格付機関が、企業評価の尺度としてCSRの視点を取り入れるようになってきました。
こうしたCSRの観点からも、仕入先管理において統制活動をしっかりと行っていくことが重要です。

さて、あなたの企業は大丈夫でしょうか。
一つ一つ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「発注管理における統制活動」に関して解説します。
Dr.QがITサプリメントをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。
セキュリティ対策に関するツールなど、即役立つ情報を無料で手に入れることができます。
ただいまプレゼントが当たる、キャンペーン実施中です。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

セキュリティ＝生産性の低下は本当？

社内の「セキュリティ」を強化すると、社員は「禁止」されることが増えて、作
業効率や生産性が大幅に低下すると思われがちです。しかし、本当に「セ
キュリティを強化すると生産性が低下」するのでしょうか。

　確かに、セキュリティを向上させるために「USBメモリや外部メディアの利
用禁止」、「ノートパソコンの持ち出し禁止」などの制限を設けて、情報漏え
いリスクを低減させるというソリューションも存在します。こういったソリュー
ションは、情報を「出さない」という面では非常に優れています。しかし、機密
情報の如何に関わらず情報をすべて持ち出せないのでは、生産性が低下
するのは当然です。

　生産性が低下する主な要因は、守るべき情報と守らなくてもいい情報を分
類していないという点に起因します。情報を整理しないまま、それも全社一斉、
一律のセキュリティポリシーによって「禁止」してしまっているため、生産性を
大幅に低下させるという事態が引き起こるのです。

　つまり、「生産性が低下する」のは、社内の状況を把握する前に、全社的
に厳しいセキュリティ対策が施され、大幅な運用制限を実施していることが
原因です。セキュリティソリューションの導入により、生産性・運用性が低下
すれば、企業活動が鈍化し、業務効率は低下します。これによって、たとえ
情報漏えいを防ぐことができたとしても、肝心のビジネスがうまくいかないの
であれば意味がありません。作業者にとっても経営者にとっても、こういった
状況が大きな問題となりつつあります。

　「禁止」に軸足をおいたソリューションを適切に利用すれば、強固なセキュ
リティ環境を構築することができます。しかし利用方法をひとつ間違えると、
持ち出してもいい情報まで持ち出せなくなるという不条理な事態を招くことに
なり、企業内の情報のやり取りまでもが困難となってしまいます。このような
トラブルは、セキュリティのPDCAサイクルに代表されるセキュリティマネジメ
ント、「Plan（計画）-Do（実施）-Check（点検）-Action（処置）」を適切に行なわ
なかったために生じるケースが多いようです。

　また、個人情報などを含む「機密情報」や「重要情報」、漏えいしても問題と
ならない「一般情報」など、その情報の重要度に応じた分類をせずに、すべて
の情報をひとまとめにして処理してしまった結果、業務効率が大幅に低下す
るというトラブルも増えてきているようです。
　また、情報にはライフサイクルが存在するということも忘れてはなりません。
ある一定の時期はトップシークレットとして扱われていても、その期間を過ぎ
れば一般に公開されたり、廃棄可能となる情報は多いです。その際、情報を
適切な方法で処理し、情報の漏えいを防ぐことも必要です。このような情報の
ライフサイクルまで含め、作成から運用、廃棄まで管理するソリューションを
使うことで、初めてうまく運用できるといえるでしょう。

なおクオリティでは、USBメモリなど外部記憶媒体からのデータ利用は許可し
たまま、外部記憶媒体へのデータコピーを禁止、すぐに情報漏えい対策を実
現できる『eX WP』をご用意しております。
『eX WP』は利便性を高めるために、書き出しを一時解除する機能を有してい
ます。この一時解除機能は、クライアントPC利用者自身で実行できず、システ
ム管理者管理の許可の下でのみ実行されます。また、『eX CLT』と連携させる
ことで、書き出しを一時解除した際の操作ログを記録することも可能です。

>>『eX WP』、『eX CLT』に関する詳細はクオリティ Webサイトをご覧ください。
   >>コンピュータセキュリティ 対策 - クオリティ株式会社

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第20回目です。

さて、今回から新たな連載です。今後の企業情報システムは、リスクマネジメントを基点にした構築が極めて重要になります。そこで、BtoB取引の各プロセスにおいて必要とされる、具体的なリスクと統制活動に関して解説していきたいと思います。対企業で商品の仕入販売を行う企業の場合、すでに各プロセスで管理業務が行われていると思われます。しかし、それらの管理業務にも実に様々なリスクが存在しています。

例えば、得意先管理において、最新の財務情報に基づいた調査を行わなかったために、実質倒産寸前の企業と取引をしてしまうケースがあります。結果、自社の収益だけでなく、マーケットでの企業イメージまで悪化させることも予想されます。これが、得意先管理におけるリスクです。こうしたリスクを低減させるために、有効的な統制活動を講じていく必要があります。

一般的に、BtoB取引における企業内の業務は、仕入関連の管理業務、在庫管理業務、販売関連の管理業務に3つに大きく分けることができます。中でも仕入管理業務と販売管理業務には、さらに細かい管理業務が存在します。

1)仕入関連の管理業務（仕入先管理→発注管理→検収管理→支払管理）
2)在庫管理業務
3)販売関連の管理業務（得意先管理→受注管理→出荷管理→入金管理）

それぞれのプロセスで様々なリスクが発生する可能性があります。では、それらのリスクを低減させるには、どのような統制活動が必要になるのでしょうか。

次回から、各プロセスの統制活動を分かりやすく解説していきます。ぜひ定期アクセスをよろしくお願いします。 想定リスクを一つ一つ正確に判断しながら、新法対応型の強固な内部統制を確立してください。もちろん、Dr.Qもしっかりお手伝いします。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。