経営情報論B 第5回経営情報システムの管理③（第7章） 3．情報セキュリティ情報システムの脆弱性 • 可視化の困難さデータおよび情報（デジタル信号） ※改ざんや複製されても発見が難しい（被害拡大） • 集中管理の危険性情報システム経由でハッキング大量データの盗難（USBで簡単に持ち運べる） ※広域化によって、自然災害や事故の影響を受ける情報セキュリティ（リスク）マネジメント • 脅威；損害や悪影響をもたらす事象（停電、火事、浸水、盗難） • リスク；具体的に発生する確率が想定できるもの（想定内）（リスクは発生する可能性の高い脅威なので危険と呼ばれる。）情報セキュリティ（リスク）マネジメントは、想定する脅威を絞り込んで、自然災害、障害、故意・過失等のリスクを未然に防止する仕組みを整備し、被害（悪影響）を最小限に抑えようとする管理活動。脅威の識別リスクの評価リスク分析目標設定、セキュリティ対策の策定、評価不可承認導入・運用管理状況の監視セキュリティ対策物理的対策；自然災害（耐震構造、自家発電装置購入など）盗難（防犯カメラ設置、施錠の徹底、警備員配置など）管理的対策；体制（運用管理規程、マニュアル、バックアップ体制整備）内部（監視、教育、訓練体制整備など）システム対策；個人（IDやパスワード管理の徹底）システム（ファイヤーウォールやセキュリティ・ソフト導入）人的対策；セキュリティ教育訓練、情報倫理教育、健康管理情報セキュリティの機能 1）防止損害を生じさせる可能性のある行動や事象及び影響を物理的・管理的・システム的に事前に封じ込める。 2）抑制倫理教育や監視体制によって、犯罪や事故が起こらないようにする。 3）検知リスクおよび損害の発生を速やかに検出し、回復作業を開始させる。 4）回復検知されたリスクや損害およびそれらの波及的影響を最小限に抑え、迅速に本来の機能を回復させる。 ※防止、抑制、検知、回復への投資は、コストパフォーマンスや重要性を考慮しながら決定 4. システム監査（集中化・広域化にともないリスク増大）システム監査の目的（法律上の義務ではない） • セキュリティ向上（リスク回避、悪影響最小化）システム監査の目的は、情報システムの信頼性、安全性および効率性の向上を図り、情報化社会の健全化を推進すること。 • 情報投資コストの妥当性情報投資のコストとパフォーマンスを比較（過剰投資や投資不足解消） • システム化の目的との整合性情報システム投資がその目的（業績向上のための業務改善）にどれだけ貢献したかを評価し、対応する。監査担当者と対象システム監査は、企画、開発、運用に関係のない第三者のシステム監査人がおこなうのが望ましい。電子商取引（eコマース）の進展によって、情報セキュリティ対策の重要性が増している。（3）インターネットを利用した直接販売製品や在庫情報出庫指示ウェブサイト（ICT）情報提供検索・注文（支払い）配送／商品受領（宅配市場の成長）直接販売のメリット • 効率的な販売（卸売りなどの仲介業者の排除） • 効率的な物流（注文データから送り状自動作成） • ウェブサイトで大量のデータを双方向で提供 • 24時間全国あるいは全世界から受注可能 • データベースも即座に作成 9 デル製品の発注から受領まで（オンライン）特急便は除く日顧客（国内）デル（中国）協力企業（中国） 1 注文・決済→ →受注・決済確認 2 生産準備中（生産・輸送計画） 3～5 受注生産← ←部品生産・輸送 6～12 受領←← 宅配（佐川急便）注文デルのウェブサイト部品発注・需要予測デル中国工場部品納入近接する協力企業群受領←輸送←組立デルの強さ：中間段階削除（マージンと製品在庫の削減） 10 消費者ニーズの把握と代金回収の速さ安価な部品（直近の価格；PC部品の値下りが早い）