HOME › 2022年09月
情報管理の3原則について
今日は、仕事で下呂市へ
とある法人からの依頼で事務所内ネットワーク上のデータ共有環境を改善するため、
NAS(Network Attached Storage)の導入支援をさせていただいた。
最近、このような相談が少し増えていてNASの導入支援は今回で3社目。
この法人はネット通販サイトの運営をしており、購入者の個人情報など機微な情報も扱っている。
その情報はパソコンの外付けハードディスクで管理されており、事務所内LAN環境を通じて何台かのパソコンからも共有されている。
バックアップは行われておらず、情報のアクセス管理などもしていないので、これでは正直おそまつ極まりない。
ところで、情報管理には3つの原則がある。
とても基本的な事項で、情報処理技術者においては基本中の基本なのだが、
「可用性」:必要なときに情報を使える状況を維持すること
「機密性」:権限のない人が情報にアクセスできないようにすること
「完全性」:情報が欠損しておらず、かつ常に最新の状態であること
たとえ、小規模な事業者であっても情報を扱う以上、これらのことを念頭においた情報管理を意識するべきだ。
今回、導入したNASは2ドライブのシンプルなものだが、少なくともNAS上で情報は2重化されている。
つまり、可用性と完全性の両立を意識している。
また、バックアップ用のハードディスクも接続し、定期的にNAS上の情報をバックアップする。
また、瞬時停電の対策としてUPS(無停電電源装置)も合わせて導入した。
運用は作業スタッフ全員が読み書きできる共有フォルダに加え、特定の人しかアクセスできないフォルダを作成し、
機密性の高い情報にはアクセス制限をかける。
当たり前といえば当たり前のことだが、こういった情報管理がなされていない(小規模)法人が実に多いのである。
本当は最も重要な情報についてはクラウド環境に定期バックアップしておきたいところだが、今回は予算の関係で見送った。
自然災害で事務所が使用できなくなり、情報にアクセスできなくなった場合の復旧を考えると心許ない。
本来は事業継続計画の側面からも、このような情報管理を考えるべきだろう。
地元の経営者の方で、このような情報管理についてご相談いただければ、いろいろと提案させていただくので
気軽にお問い合わせいただきたい。
今日は下呂市に移動の合間、「ひのきや」さんで久しぶりに「けーちゃん定食」をオーダーしてみた。
このお店のけーちゃん定食は、何度食べても飽きません。
とある法人からの依頼で事務所内ネットワーク上のデータ共有環境を改善するため、
NAS(Network Attached Storage)の導入支援をさせていただいた。
最近、このような相談が少し増えていてNASの導入支援は今回で3社目。
この法人はネット通販サイトの運営をしており、購入者の個人情報など機微な情報も扱っている。
その情報はパソコンの外付けハードディスクで管理されており、事務所内LAN環境を通じて何台かのパソコンからも共有されている。
バックアップは行われておらず、情報のアクセス管理などもしていないので、これでは正直おそまつ極まりない。
ところで、情報管理には3つの原則がある。
とても基本的な事項で、情報処理技術者においては基本中の基本なのだが、
「可用性」:必要なときに情報を使える状況を維持すること
「機密性」:権限のない人が情報にアクセスできないようにすること
「完全性」:情報が欠損しておらず、かつ常に最新の状態であること
たとえ、小規模な事業者であっても情報を扱う以上、これらのことを念頭においた情報管理を意識するべきだ。
今回、導入したNASは2ドライブのシンプルなものだが、少なくともNAS上で情報は2重化されている。
つまり、可用性と完全性の両立を意識している。
また、バックアップ用のハードディスクも接続し、定期的にNAS上の情報をバックアップする。
また、瞬時停電の対策としてUPS(無停電電源装置)も合わせて導入した。
運用は作業スタッフ全員が読み書きできる共有フォルダに加え、特定の人しかアクセスできないフォルダを作成し、
機密性の高い情報にはアクセス制限をかける。
当たり前といえば当たり前のことだが、こういった情報管理がなされていない(小規模)法人が実に多いのである。
本当は最も重要な情報についてはクラウド環境に定期バックアップしておきたいところだが、今回は予算の関係で見送った。
自然災害で事務所が使用できなくなり、情報にアクセスできなくなった場合の復旧を考えると心許ない。
本来は事業継続計画の側面からも、このような情報管理を考えるべきだろう。
地元の経営者の方で、このような情報管理についてご相談いただければ、いろいろと提案させていただくので
気軽にお問い合わせいただきたい。
今日は下呂市に移動の合間、「ひのきや」さんで久しぶりに「けーちゃん定食」をオーダーしてみた。
このお店のけーちゃん定食は、何度食べても飽きません。
タグ :DX
テレワークの推進と本人認証
9月より、新たな体制による市政がスタートした。
市議会では、田中新市長の政策に関する一般質問に触れる市議も多く、総合計画と公約との整合性について答弁が繰り返されたのは印象深い。
さて、私が以前から注目しているのは、高山市の「DX推進計画」である。
この8月には、「高山市DX推進計画」の2024年までの「工程表ロードマップ」が公開されたばかり。
これは、市が進めるDX推進計画を、「いつまでに」「なにを」「どの水準まで」具体化したものであり、
基本的には、この工程表に基づいてDX化を進めるという、公式見解を打ち出した内容となる。
詳細は、市のホームページに公開されているので、そちらを参照して欲しい。
今回は、その中で「テレワーク」について取り上げてみたい。
本工程表では、テレワークについて2つの方向性が示されている。
1つは、地元民間事業者のテレワーク環境の情報収集について、
1つは、市職員のテレワーク環境の推進について
中でも、後者について「BYODの導入」という項目が掲げられている。
BYODとは、”Bring Your Own Device”の頭文字を取ったもので、「個人端末の業務利用」と訳されている。
要するに市の職員が自宅で、「自分のパソコンを使って」リモートワークを行うことを推進する。
ということだ。
BYODのメリットは、テレワーク用のパソコンを配布する必要がなく、利用者も自分の使い慣れたパソコンをそのまま、
自宅であたかも職場のパソコンであるかのように業務ができるということにある。
しかし、一般的には自宅と職場を繋ぐネットワークは、一般の公衆回線を使う必要があり、この回線を使って職場とネットワーク接続するためにVPN(Virtual Private Network (仮想プライベートネットワーク))という仕組みを利用するケースが多い。
VPNとは、一般公衆回線を使いつつ(論理的に)専用線接続する方式で、VPNルーターなどのハードウェアを使う方法やソフトウェアを使う方法などがある。
近年、VPNルーターがハッキングされるなど、情報セキュリティ上の問題も指摘されている。
さらにテレワークでこのようなセキュリティを確保するために必要な要件がある。
・BYODの当該パソコンからのアクセスかどうかを保証できること(端末認証)
・認証されたパソコンを使っているのが本人がどうかを保証できること(本人認証)
つまり、本当にそのパソコンからアクセスしているかどうか、だけではなく、そのパソコンを使っているのが職員本人かどうかまでを保証できる仕組みが求められている。
本人認証について、現在さまざまな手段が講じられているが、その中心となるのは「生体認証」技術が最近のトレンドだ。
つまり、「指紋」や「顔」、さらには「虹彩」「静脈」といった本人固有の特徴を使って認証する技術を指す。
これらの技術は、スマートホンではおなじみの技術だが、この認証技術はすでに実用段階に入っている。
加えてVPNのような一般公衆回線を使わず、「無線閉域網」を使ったサービスが登場している。
「無線閉域網」とは、ドコモやauなど携帯キャリアが提供するSIMを使い、無線通信を行う方式は変わらないが、携帯基地局から携帯キャリア、そしてプロバイダー、事業者社内ネットワークを全てインターネットを使わず、完全な閉域網で結ぶ仕組みのことだ。
これにより、テレワークのパソコンから事業所内までのネットワークは全て閉域ネットワークで結ぶことができるため、公衆回線からは見えない専用線で結ばれることになる。
先の端末認証、本人認証と組み合わせることで従来のVPNネットワークと比較して、ネットワークセキュリティ強度が格段に高くなる仕組みだ。
私の知り合いの嶋村社長が経営する、「イニシャル・ポイント株式会社」
この会社が提供している、「多要素認証サービス”JinCreek”」は、その先駆けとなるサービスだ。
今後、このようなサービスが当たり前のように使われるようになるだろう。
現在、中央官庁などでの導入実績もあり、今後は地方自治体でも採用が進むと思われる。
当市においてもBYODを前提としたテレワークには、無線閉域網、端末認証、本人認証を含む三段階認証のインフラを是非、検討して欲しい。
市議会では、田中新市長の政策に関する一般質問に触れる市議も多く、総合計画と公約との整合性について答弁が繰り返されたのは印象深い。
さて、私が以前から注目しているのは、高山市の「DX推進計画」である。
この8月には、「高山市DX推進計画」の2024年までの「工程表ロードマップ」が公開されたばかり。
これは、市が進めるDX推進計画を、「いつまでに」「なにを」「どの水準まで」具体化したものであり、
基本的には、この工程表に基づいてDX化を進めるという、公式見解を打ち出した内容となる。
詳細は、市のホームページに公開されているので、そちらを参照して欲しい。
今回は、その中で「テレワーク」について取り上げてみたい。
本工程表では、テレワークについて2つの方向性が示されている。
1つは、地元民間事業者のテレワーク環境の情報収集について、
1つは、市職員のテレワーク環境の推進について
中でも、後者について「BYODの導入」という項目が掲げられている。
BYODとは、”Bring Your Own Device”の頭文字を取ったもので、「個人端末の業務利用」と訳されている。
要するに市の職員が自宅で、「自分のパソコンを使って」リモートワークを行うことを推進する。
ということだ。
BYODのメリットは、テレワーク用のパソコンを配布する必要がなく、利用者も自分の使い慣れたパソコンをそのまま、
自宅であたかも職場のパソコンであるかのように業務ができるということにある。
しかし、一般的には自宅と職場を繋ぐネットワークは、一般の公衆回線を使う必要があり、この回線を使って職場とネットワーク接続するためにVPN(Virtual Private Network (仮想プライベートネットワーク))という仕組みを利用するケースが多い。
VPNとは、一般公衆回線を使いつつ(論理的に)専用線接続する方式で、VPNルーターなどのハードウェアを使う方法やソフトウェアを使う方法などがある。
近年、VPNルーターがハッキングされるなど、情報セキュリティ上の問題も指摘されている。
さらにテレワークでこのようなセキュリティを確保するために必要な要件がある。
・BYODの当該パソコンからのアクセスかどうかを保証できること(端末認証)
・認証されたパソコンを使っているのが本人がどうかを保証できること(本人認証)
つまり、本当にそのパソコンからアクセスしているかどうか、だけではなく、そのパソコンを使っているのが職員本人かどうかまでを保証できる仕組みが求められている。
本人認証について、現在さまざまな手段が講じられているが、その中心となるのは「生体認証」技術が最近のトレンドだ。
つまり、「指紋」や「顔」、さらには「虹彩」「静脈」といった本人固有の特徴を使って認証する技術を指す。
これらの技術は、スマートホンではおなじみの技術だが、この認証技術はすでに実用段階に入っている。
加えてVPNのような一般公衆回線を使わず、「無線閉域網」を使ったサービスが登場している。
「無線閉域網」とは、ドコモやauなど携帯キャリアが提供するSIMを使い、無線通信を行う方式は変わらないが、携帯基地局から携帯キャリア、そしてプロバイダー、事業者社内ネットワークを全てインターネットを使わず、完全な閉域網で結ぶ仕組みのことだ。
これにより、テレワークのパソコンから事業所内までのネットワークは全て閉域ネットワークで結ぶことができるため、公衆回線からは見えない専用線で結ばれることになる。
先の端末認証、本人認証と組み合わせることで従来のVPNネットワークと比較して、ネットワークセキュリティ強度が格段に高くなる仕組みだ。
私の知り合いの嶋村社長が経営する、「イニシャル・ポイント株式会社」
この会社が提供している、「多要素認証サービス”JinCreek”」は、その先駆けとなるサービスだ。
今後、このようなサービスが当たり前のように使われるようになるだろう。
現在、中央官庁などでの導入実績もあり、今後は地方自治体でも採用が進むと思われる。
当市においてもBYODを前提としたテレワークには、無線閉域網、端末認証、本人認証を含む三段階認証のインフラを是非、検討して欲しい。
タグ :DX推進計画
「自治体デジタル・トランスフォーメーション(DX)推進計画」等の改定について
令和4年9月2日に、総務省が自治体DX推進計画の改訂版を発表した。
本計画書は随時改訂されている。
今回の改訂内容を少し紐解いてみたい。
大きくは5つの項目に整理されている。
その中でも個人的に注目したのは、DX推進体制と人材育成の項目だ。
自治体デジタル・トランスフォーメーション(DX)推進計画【第2.0版】の中味を参照してみると、DX化の範囲は多岐にわたっており、
さらにはタイムスケジュールもタイトな印象を受ける。
このような大規模プロジェクトを推進してゆくためには、しっかりした体制を組む必要がある。
ポイントとして
・首長が本推進計画の内容について強力にコミットすること
・CIOを設置する。副市長等が望ましい
・CIO補佐官を任命する。民間などの外部人材が望ましい
・職員のスキルアップ教育
計画の内容と推進体制のことを考えると、町村レベルでは非常に大変だろう。
およそ全国1700自治体が一斉にほぼ同様の計画に取り組むわけだから、自治体間で共通の情報や手続き等は、
共有できるようにして、全体の生産性を高めるような仕組みを国がサポートする必要があるだろう。
遡ること20年ほど前、「電子政府」という言葉が使われていて、国や自治体のIT化推進への取り組みがあったことが懐かしい。
しかし、この20年間でどこまでIT化が進んだかといえば、現状の通りである。
河野デジタル大臣が以前、霞ヶ関からFAXを無くす発言をして大ブーイングが起こった始末である。
そう考えると自治体DXがどこまで進むのか、あまり大きな期待をしないほうが良いかもしれない。
ただでさえ、デジタル人材が少ないこの国で、どこまでIT先進国に追いつけるのかどうか。
少し気の長い話になりそうだ。
本計画書は随時改訂されている。
今回の改訂内容を少し紐解いてみたい。
大きくは5つの項目に整理されている。
その中でも個人的に注目したのは、DX推進体制と人材育成の項目だ。
自治体デジタル・トランスフォーメーション(DX)推進計画【第2.0版】の中味を参照してみると、DX化の範囲は多岐にわたっており、
さらにはタイムスケジュールもタイトな印象を受ける。
このような大規模プロジェクトを推進してゆくためには、しっかりした体制を組む必要がある。
ポイントとして
・首長が本推進計画の内容について強力にコミットすること
・CIOを設置する。副市長等が望ましい
・CIO補佐官を任命する。民間などの外部人材が望ましい
・職員のスキルアップ教育
計画の内容と推進体制のことを考えると、町村レベルでは非常に大変だろう。
およそ全国1700自治体が一斉にほぼ同様の計画に取り組むわけだから、自治体間で共通の情報や手続き等は、
共有できるようにして、全体の生産性を高めるような仕組みを国がサポートする必要があるだろう。
遡ること20年ほど前、「電子政府」という言葉が使われていて、国や自治体のIT化推進への取り組みがあったことが懐かしい。
しかし、この20年間でどこまでIT化が進んだかといえば、現状の通りである。
河野デジタル大臣が以前、霞ヶ関からFAXを無くす発言をして大ブーイングが起こった始末である。
そう考えると自治体DXがどこまで進むのか、あまり大きな期待をしないほうが良いかもしれない。
ただでさえ、デジタル人材が少ないこの国で、どこまでIT先進国に追いつけるのかどうか。
少し気の長い話になりそうだ。
タグ :DX 自治体
「夏のDigi田甲子園」飛騨市が全国準優勝!
”内閣官房が行う「夏のDigi田(デジデン)甲子園」において、電子地域通貨「さるぼぼコイン」を活用した取り組みが評価され飛騨市が岐阜県代表に選ばれ、インターネット投票により、準優勝となりました。”
ということで、飛騨市がみごと全国で準優勝を果たした。
デジタル地域通貨というのは、地方での経済を環流させる重要な決済基盤で、全国的にも注目されており、「さるぼぼコイン」は、その中でも先駆的な事例とされている。
しかし、PayPayのようなQR決済や当市のような観光都市ではJTBが提供する「C→REX」などと競合するため、普及にはそれなりの仕掛けが必要となる。
今回の飛騨市の事例は、実に地域通貨らしい事例として他のキャッシュレス決済との差別化が分かりやすい。
高山市も、さるぼぼコインの利用は増加しており、加盟店数も流通総額も飛騨市と比較して多いのだから、飛騨市の事例を参考に行政がまちづくり政策として参考にするだけでも多くの成果を上げることができるだろう。
良いものはパクれば良いし、さらにさまざまな企画を追加してゆけば、飛騨市以上の成果が獲得できるはずだ。
せっかく、このような決済基盤があるのだから、使わない手はない。
ということで、飛騨市がみごと全国で準優勝を果たした。
デジタル地域通貨というのは、地方での経済を環流させる重要な決済基盤で、全国的にも注目されており、「さるぼぼコイン」は、その中でも先駆的な事例とされている。
しかし、PayPayのようなQR決済や当市のような観光都市ではJTBが提供する「C→REX」などと競合するため、普及にはそれなりの仕掛けが必要となる。
今回の飛騨市の事例は、実に地域通貨らしい事例として他のキャッシュレス決済との差別化が分かりやすい。
高山市も、さるぼぼコインの利用は増加しており、加盟店数も流通総額も飛騨市と比較して多いのだから、飛騨市の事例を参考に行政がまちづくり政策として参考にするだけでも多くの成果を上げることができるだろう。
良いものはパクれば良いし、さらにさまざまな企画を追加してゆけば、飛騨市以上の成果が獲得できるはずだ。
せっかく、このような決済基盤があるのだから、使わない手はない。
タグ :DX 地域通貨
事業継続力強化計画をつくろう
平和の定義が変わった。
今までは、戦争のない社会が「平和」だと長らく考えられてきた。
しかし、コロナウィルスの感染拡大で世界中の人たちが、これまでの常識を見直さざるを得なかった。
また、年々増大する大規模自然災害も、想像できなかった規模に拡大している。
加えて、遂にウクライナ戦争まで勃発し、昨今の中国による台湾侵攻により我が国も有事に備えねばならなくなってきている。
コロナ禍は相変わらず続き、第七波はいまだに落ち着きを見せていない。
また、自然災害は10年以内に、南海トラフ地震の可能性が高まっている。
加えて、東京直下型地震や富士山の噴火の汽船系も叫ばれている。
私たちはこの先、さまざまなリスクに備えて、生き残って行かなければならない。
この国の経済はいまだに低迷し、出口が見えない。
政府もさまざまな対策を講じてはいるが、十分ではなく、それどころか緊縮財政路線で増税の噂も絶えない。
そんな中で、我々経営者達は、持続可能な事業運営を念頭に置き、あらゆるリスクを想定しておかねばならなくなっている。
こと、デジタル化については災害発生時に経営を継続できるようなデータ保全について日頃から備えておかねばならない。
仮に地震で事務所が倒壊しても、リモートワークで仕事が継続できたり、クラウドストレージに重要な情報を定期的にバックアップを取っておくような基本的な対応なども大切だ。
中小企業庁は、中小企業の持続可能な経営を担保するため「事業継続力強化計画」の作成と認定を推奨している。
当該計画は、上記のリスクだけでなく、経営者が突然の事故で亡くなるようなケースなども含め、いざという時にどのように対応しておくべきなのかをあらかじめ計画として織り込んでおくものだ。
私も昨年、この計画を作成し認定を受けている。
認定を受けるだけでは不十分で定期的に計画を見直し、常に最適化しておく必要があるのは言うまでもない。
もし、自社にそのような計画が無い場合には、調べておくと非常に参考になるはずである。
今までは、戦争のない社会が「平和」だと長らく考えられてきた。
しかし、コロナウィルスの感染拡大で世界中の人たちが、これまでの常識を見直さざるを得なかった。
また、年々増大する大規模自然災害も、想像できなかった規模に拡大している。
加えて、遂にウクライナ戦争まで勃発し、昨今の中国による台湾侵攻により我が国も有事に備えねばならなくなってきている。
コロナ禍は相変わらず続き、第七波はいまだに落ち着きを見せていない。
また、自然災害は10年以内に、南海トラフ地震の可能性が高まっている。
加えて、東京直下型地震や富士山の噴火の汽船系も叫ばれている。
私たちはこの先、さまざまなリスクに備えて、生き残って行かなければならない。
この国の経済はいまだに低迷し、出口が見えない。
政府もさまざまな対策を講じてはいるが、十分ではなく、それどころか緊縮財政路線で増税の噂も絶えない。
そんな中で、我々経営者達は、持続可能な事業運営を念頭に置き、あらゆるリスクを想定しておかねばならなくなっている。
こと、デジタル化については災害発生時に経営を継続できるようなデータ保全について日頃から備えておかねばならない。
仮に地震で事務所が倒壊しても、リモートワークで仕事が継続できたり、クラウドストレージに重要な情報を定期的にバックアップを取っておくような基本的な対応なども大切だ。
中小企業庁は、中小企業の持続可能な経営を担保するため「事業継続力強化計画」の作成と認定を推奨している。
当該計画は、上記のリスクだけでなく、経営者が突然の事故で亡くなるようなケースなども含め、いざという時にどのように対応しておくべきなのかをあらかじめ計画として織り込んでおくものだ。
私も昨年、この計画を作成し認定を受けている。
認定を受けるだけでは不十分で定期的に計画を見直し、常に最適化しておく必要があるのは言うまでもない。
もし、自社にそのような計画が無い場合には、調べておくと非常に参考になるはずである。
タグ :DX 持続可能
中小企業の情報セキュリティについて
つい先日、お取引先の経営者と話しをする機会があった。
その中で情報セキュリティの話になったわけだが、彼は「ウチの会社で情報漏洩して困るような情報はないよ」
というような事をおっしゃっていた。
実際、そうだろう。
しかし、その認識は大きく間違っている。
最近流行のマルウェアは、社内のパソコンに忍び込み、ディスクのデータをパスワード付きの圧縮ファイルにして、
データを人質に取り業務を妨害する。
また、エモテットというウィルスは巧妙に迷惑メールを配信し、ウィルスに感染したパソコンから、取引先などのメールアドレスをハッキングして迷惑メールをバラまき散らす。
このような手口で業務に支障がでたり、迷惑メールを配信することで企業の信用を損なうような多大な影響を及ぼすことになる。
このような被害が出た場合に、あらかじめ対応策を検討し実際の被害があった場合に速やかに適切な対応を進められるような計画が必要だ。
IPAは中小企業の情報セキュリティに関して、セキュリティ簡易診断プログラムを提供している。
簡単なアンケートに答えるだけで、自社のセキュリティレベルがどの状況にあるのか判断でき、どんな対応が必要なのか、客観的に把握ができる。
これまで、何社かこのプログラムを試していただいたが、どの企業も「いつ、何が起こっても不思議では無いレベル」との診断が出ている。
重要なことは、これらの結果を受け止め、可能な範囲からセキュリティ対策を講じてゆくことだ。
弊社はこのような対策に対する相談も受け付けているので、まずは相談して欲しい。
その中で情報セキュリティの話になったわけだが、彼は「ウチの会社で情報漏洩して困るような情報はないよ」
というような事をおっしゃっていた。
実際、そうだろう。
しかし、その認識は大きく間違っている。
最近流行のマルウェアは、社内のパソコンに忍び込み、ディスクのデータをパスワード付きの圧縮ファイルにして、
データを人質に取り業務を妨害する。
また、エモテットというウィルスは巧妙に迷惑メールを配信し、ウィルスに感染したパソコンから、取引先などのメールアドレスをハッキングして迷惑メールをバラまき散らす。
このような手口で業務に支障がでたり、迷惑メールを配信することで企業の信用を損なうような多大な影響を及ぼすことになる。
このような被害が出た場合に、あらかじめ対応策を検討し実際の被害があった場合に速やかに適切な対応を進められるような計画が必要だ。
IPAは中小企業の情報セキュリティに関して、セキュリティ簡易診断プログラムを提供している。
簡単なアンケートに答えるだけで、自社のセキュリティレベルがどの状況にあるのか判断でき、どんな対応が必要なのか、客観的に把握ができる。
これまで、何社かこのプログラムを試していただいたが、どの企業も「いつ、何が起こっても不思議では無いレベル」との診断が出ている。
重要なことは、これらの結果を受け止め、可能な範囲からセキュリティ対策を講じてゆくことだ。
弊社はこのような対策に対する相談も受け付けているので、まずは相談して欲しい。
