経営情報論B 第5回 経営情報システムの管理③(第7章)
3.情報セキュリティ 情報システムの脆弱性 可視化の困難さ データおよび情報(デジタル信号) ※改ざんや複製されても発見が難しい(被害拡大) ※改ざんや複製されても発見が難しい(被害拡大) 集中管理の危険性 情報システム経由でハッキング 大量データの盗難(USBで簡単に持ち運べる) ※広域化によって、自然災害や事故の影響を受ける
情報セキュリティ(リスク)マネジメント 脅威;損害や悪影響をもたらす事象 (停電、火事、浸水、盗難) (停電、火事、浸水、盗難) リスク;具体的に発生する確率が想定できるもの(想定内) (リスクは発生する可能性の高い脅威なので危険と呼ばれる。)
脅威の識別 情報セキュリティ(リスク)マネジメントは、想定する脅威を絞り込んで、自然災害、障害、故意・過失等のリスクを未然に防止する仕組みを整備し、被害(悪影響)を最小限に抑えようとする管理活動。 リスクの評価 リスク分析 目標設定、セキュリティ対策の策定、評価 不可 承認 導入・運用 管理状況の監視
セキュリティ対策 物理的対策;自然災害(耐震構造、自家発電装置購入など) 盗難(防犯カメラ設置、施錠の徹底、警備員配置など) 盗難(防犯カメラ設置、施錠の徹底、警備員配置など) 管理的対策;体制(運用管理規程、マニュアル、バックアップ体制整備) 内部(監視、教育、訓練体制整備など) システム対策;個人(IDやパスワード管理の徹底) システム(ファイヤーウォールやセキュリティ・ソフト導入) 人的対策;セキュリティ教育訓練、情報倫理教育、健康管理
情報セキュリティの機能 1)防止 損害を生じさせる可能性のある行動や事象及び影響を物理的・管理的・システム的に事前に封じ込める。 1)防止 損害を生じさせる可能性のある行動や事象及び影響を物理的・管理的・システム的に事前に封じ込める。 2)抑制 倫理教育や監視体制によって、犯罪や事故が起こらないようにする。 3)検知 リスクおよび損害の発生を速やかに検出し、回復作業を開始させる。 4)回復 検知されたリスクや損害およびそれらの波及的影響を最小限に抑え、迅速に本来の機能を回復させる。 ※防止、抑制、検知、回復への投資は、コストパフォーマンスや重要性を考慮しながら決定
4. システム監査(集中化・広域化にともないリスク増大) 4. システム監査(集中化・広域化にともないリスク増大) システム監査の目的(法律上の義務ではない) セキュリティ向上(リスク回避、悪影響最小化) システム監査の目的は、情報システムの信頼性、安全性および効率性の向上を図り、情報化社会の健全化を推進すること。 情報投資コストの妥当性 情報投資のコストとパフォーマンスを比較(過剰投資や投資不足解消) システム化の目的との整合性 情報システム投資がその目的(業績向上のための業務改善)にどれだけ貢献したかを評価し、対応する。
監査担当者と対象 システム監査は、企画、開発、運用に関係のない第三者のシステム監査人がおこなうのが望ましい。電子商取引(eコマース)の進展によって、情報セキュリティ対策の重要性が増している。
効率的な販売(卸売りなどの仲介業者の排除) 効率的な物流(注文データから送り状自動作成) ウェブサイトで大量のデータを双方向で提供 (3)インターネットを利用した直接販売 製品や在庫情報 ウェブサイト (ICT) 情報提供 検索・注文 (支払い) 出庫指示 配送/商品受領(宅配市場の成長) 直接販売のメリット 効率的な販売(卸売りなどの仲介業者の排除) 効率的な物流(注文データから送り状自動作成) ウェブサイトで大量のデータを双方向で提供 24時間全国あるいは全世界から受注可能 データベースも即座に作成
デル製品の発注から受領まで(オンライン) 特急便は除く デル製品の発注から受領まで(オンライン) 特急便は除く 日 顧客(国内) デル(中国) 協力企業(中国) 1 注文・決済→ →受注・決済確認 2 生産準備中(生産・輸送計画) 3~5 受注生産← ←部品生産・輸送 6~12 受領←← 宅配 (佐川急便) 部品発注・需要予測 デルのウェブサイト 注文 近接する協力企業群 デル中国工場 部品納入 受領←輸送←組立 デルの強さ:中間段階削除(マージンと製品在庫の削減) 消費者ニーズの把握と代金回収の速さ 安価な部品(直近の価格;PC部品の値下りが早い)