無料ブログはココログ

2008年2月 2日 (土)

9月6日まで休載します

<第82回目> 情報システムは大丈夫か?
          亀の子モデリングもう一度

 J-SOX法で内部統制が大きな課題になっています.
そうしたことを考えても,また,システム監査の点からも
亀の子モデリングが情報システムの設計の根幹を成すことが
わかりました.

このブログでは,亀の子モデリングの周辺を書きましたが,
とうとうその本体には言及しませんでした.

それは,未だ熟していないからでした.
もう一度,ゆっくり時間を掛けて纏めたいと思います.
そのためには,理論武装も勿論必要ですが,
自分自身の力ももっともっと付けなければなりません.

そしてブログももっと魅力あるものにしなければなりません.

そこで,一旦で休載にします.

                9月6日につづく 

2008年1月25日 (金)

91回目です

<第81回目> 情報システムは大丈夫か?
       -情報システムキーワード2008-         
        2回目:2008年としての
            ”新しい”キーワード
       

  情報システム先端技術のシリーズとその情報システムの
  確実さを追究するシリーズを交互にしたいと思います.
  
          毎週土曜日午後5時更新しています.

        前  回   目  次
     
       1.はじめに

       2.2005年情報キーワード
       2-1.アーキテクチャ 
       2-2.システム
       2-3.ネットワーク
       2-4.セキュリティ

       3.2008年情報キーワード
       3-1.2008年注目のキーワード
       3-2.システム
       3-3.ネットワーク
       3-4.セキュリティ
       3-5.マネジメント

       4.キーワードの数
       5.2005年と2008年の両方にある
         キーワード
       6.2005年になくて
         2007年と2008年にあるキーワード
       7.2008年としての”新しい”キーワード

        今  回   目  次

       1.はじめに
       2.2008年としての”新しい”キーワード
       2-1.新しいキーワードの分類  
       2-2.各論
       2-3.コメント 

              
1.はじめに

 日経コンピュータの毎年1月号に付いています特別付録を
見ていく続きです.

 今回も,システム監査基準の前文の後半についてです.

   今回も,私なりに読み解いていきたいと思います.
   ①本文中の「・・」は,原文を引用した部分です.
   ②私なりの読み解きということで,
    節や段落などは,私の方で自由に付けていますし
    引用が多少前後しているものもあります.
   ③多くの場合数値上の詳細は省略させて頂きました.

2.2008年としての”新しい”キーワード

2-1.新しいキーワードの分類  

 まず新しいキーワードを,分類別に挙げます.

2008年注目のキーワード
 ①グリーンIT
 ②グローバルソーシング
 
システム
 ③オープンソース
 ④ストレージ統合
 ⑤iSCSI
  ⑥負荷分散
 ⑦リモートアクセス

セキュリティ
 ⑧アイデンティティ管理
 ⑨情報セキュリティ・ガバナンス
 ⑩セキュリティ監査
 ⑪ディザスタ・リカバリ

マネジメント
 ⑫連結経営
 ⑬ERP
 ⑭電子帳票
 ⑮BI

2-2.各論

①グリーンIT
  経産省はIT聴き全体の省エネを実現するための
 技術開発に向け,
 「グリーンITプロジェクト」を立ち上げるとのことです.
 
 米国では,2007年に,2つの団体が設立されました.
 
・The Green Grid
 主な取り組み:データセンターにおける電力利用の
        効率化に向けた調査,研究,規約つくり
 参加企業  :95社
 米国の主な参加企業:AMD,APC,デル,HP,IBM,インテル,
  マイクロソフト,サンマイクロソフト,VMwareなど

・ClimateSavers
 主な取り組み:IT機器の炭酸ガス排出量削減に向け,
        電力利用効率が高い製品の開発推進,
        利用ガイドラインの作成
 参加企業  :100社
 米国の主な参加企業:デル,EDS,HP,インテル,レボノ,
  マイクロソフト,PG&E,WWF(世界自然保護基金)など

・サーバー室内の工夫
 冷機を通す「クール・アイル」と,暖気を通す「ホット・
アイル」を分けるのが基本で,空気が効率的に流れるように
ラックの配置や衝立の設置などで最適化することだと
されています.

・パソコンの省エネ
 電源管理機能を使うと共に,プロセッサ処理の大きい
スクリーンセーバーを止めるなどのこまめの省エネ化
活動をすることのようです.

コメント
  二酸化炭素を削減する運動”グリーン”の1つで,
従来,性能重視一方できたエネルギー浪費型に対する
反省ですね.

 確かにパソコンは熱源です.
パソコン50台を超える受注センターをつくる時に,
最初に考えたのは暖房でなく冷房でした.

 地下に眠っていた炭素を燃やすのですから,
今は先進国中心ですが,巨大な中国や氷の国ロシアが
これに加わり,次々と国々がどんどん増えていけば,
地球温暖化もさることながら,酸素が不足するのでは,
地球も大変ですよね.

 その内に,石油も枯渇するでしょう.
電気エネルギーは原子力にしても,石油化学製品は
どうするのでしょう.

パソコンやサーバーについても, 
ソフトやハードの機能も見直すべきでしょう.

流石のマイクロソフトもここには気が付かなかった
ようです.
Windoes Vista は,グリーンITに真っ向から対峙する
ものです.

でも,マイクロソフトは先頭を行くというよりは,
二番煎じで,
嘗ては,軽くよくこけるが手軽さで大きくなってきた
パソコンソフトですから,
昔は本当によくこけるOSで,苦しめられました.

それが重厚長大になってしまったのですから,
新しい時代の要求が近づいているのでしょう.

それがグリーンITでしょうか.

②グローバルソーシング
 アウトソーシングを海外に委託することから
付けられたのでしょう.

コメント 
 日本では,情報システム部門の業務を,従来から中国,
インドなどに発注するオフショア,
そして,BPO(ビジネス・プロセス・アウトソーシング)で
データ作成や受発注業務などのコールセンター機能が中国の 
大連に置かれるなど,世界にソーシングするという傾向が
今後も続くということで,何か二本には産業は必要なく
虚業の国になるのでしょうか.

③オープンソース
 ソースコードを公開して誰でも利用可能にしている
ライセンス形態をとるソフトウエア.
GNU
GPL

オープンソースには,
OS では,Linux,  
Web サーバーでは,Apahce,
データベースでは,MySQL, PostgreSQL,
顧客情報管理では,SugarCRM,
ERPでは,Comiereなどが挙げられています.

コメント
 オープンソースは”オタクの作品”ですので,
造りたい人が作りたいように作るので,
バグというリスクが伴うのです.

だから,誰か面倒を見てくれる人が必要です.
それがディストリビュータです.

これを逆手に取ったのがIBMで,
インターネットの世界に,シーズを投げ込み,
ある程度育った処で,カストマイズして
製品にするのです.

オープンソースの逆をいくのがマイクロソフトで
中核は秘密で,インターフェースを公開する
方式です.

よく見ると,
オープンソースの周りにはクローズドソフトが囲み,
クローズドソフトの周りは,オープンのソフトが
群がるのです.

④ストレージ統合
 各サーバが個別に外部ストレージや内臓ストレージを
持たずに,ストレージ装置を共有すること.

コメント
 統合の主役はSAN とNAS であると述べています.
結局はSAN とNAS の話で,特に新鮮味はありません.

⑤iSCSI
 嘗てパソコンとハードディスクなどを接続するSCSI
(Small Computer System Interface) 装置へのアクセスを
IP ネットワーク経由で行う方式.

⑥負荷分散
 システムを構成する複数のサーバ間で,それぞれにかかる
負荷の偏りをなくすこと.

コメント
 要はロードバランサーのこと.今更ですね.

⑦リモートアクセス
 公衆網からネットワークやコンピュータにアクセス
することで,インターネットへの接続は,基本的に RAS
機能を持つゲートウエイが主流になっている.

  RAS:リモートアクセスサーバ(Remote Access Saver).

コメント
 これのセキュリティには,ワンタイムパスワードが
使われており,利用者はワンタイムパスワード発生器を
携帯するもので,特に新しいものでもない.

⑧アイデンティティ管理
 アイデンティティ情報と言うのは,情報システムに
アクセスする利用者に対して,認証や権限を設定した
情報で,これを管理することを言う.

コメント
 内部統制のITへの対応が厳しくなったことから
注目されるでしょうと言うことで,一般的には常識の
範囲です.目新しさは全くありません.

⑨情報セキュリティ・ガバナンス
 統一的な考えに基づいて,組織体の情報セキュリティを
強化するための一連の取り組み.

⑩セキュリティ監査
 2面性がある.
 セキュリティポリシーの整備と運用という観点と,
セキュリティホールの洗い出しで,後者は議事攻撃などの
方法や内部から設定値のチェックをするなど技術面である.

⑪ディザスタ・リカバリ
 様々な天災や人災によりコンピュータシステムが
稼動できなくなったときに備えて,業務を継続するための
代替手段を用意しておくこと.

 最も初歩的な取り組みは,データのバックアップ体制の
構築である.

⑫連結経営
 
⑬ERP

⑭電子帳票

⑮BI

2-3.コメント

 グリーンITは,贅を尽くすようなコンピュータの発達に
警告をするもので,大きなキーワードになるでしょうし,
新しい方向が出てくる期待がもたれます..

 その他は今更のようなテーマばかりでした.
今年は,情報システムにとっては不作の年なのでしょうか.

                         つづく  

2008年1月17日 (木)

80回目です.

<第80回目> 情報システムは大丈夫か?
       -情報システムキーワード2008-         
        1回目:2005年との比較
       

  情報システム先端技術のシリーズとその情報システムの
  確実さを追究するシリーズを交互にしたいと思います.
  
          毎週土曜日午後5時更新しています.

        前  回   目  次
     
       1.はじめに
       2.システム監査基準の前文の後半その2
       2-1.情報システムにまつわるリスクに対する
           コントロールの
           適否についての監査上の判断の尺度
       2-2.システム管理基準に基づく監査に
           限らない場合
       3.システム監査基準の本文

        今  回   目  次
              
       1.はじめに

       2.2005年情報キーワード
       2-1.アーキテクチャ 
       2-2.システム
       2-3.ネットワーク
       2-4.セキュリティ

       3.2008年情報キーワード
       3-1.2008年注目のキーワード
       3-2.システム
       3-3.ネットワーク
       3-4.セキュリティ
       3-5.マネジメント

       4.キーワードの数
       5.2005年と2008年の両方にある
         キーワード
       6.2005年になくて
         2007年と2008年にあるキーワード
       7.2008年としての”新しい”キーワード

 

1.はじめに

 日経コンピュータの毎年1月号に付いています特別付録を
見ていきたいと思います.

 今回は,2005年と2008年の3年の間にどのような変化が
起きたか,変化の激しい情報産業で,どうであろうかを
見てみたいと思います.

 今回も,システム監査基準の前文の後半についてです.

   今回も,私なりに読み解いていきたいと思います.
   ①本文中の「・・」は,原文を引用した部分です.
   ②私なりの読み解きということで,
    節や段落などは,私の方で自由に付けていますし
    引用が多少前後しているものもあります.
   ③多くの場合数値上の詳細は省略させて頂きました.

2.2005年情報キーワード

 まずは,2005年のキーワードを,その当時の分類の通りに
羅列してみます.

2-1.アーキテクチャ
 01.グリッド・コンピューティング
 02.仮想化
 03.SOA[サービス指向アーキテクチャ]
 04.J2EE フレームワーク
 05.UML [統一モデリング言語]
 06.EA[エンタープライズ・アーキテクチャ]
 07.ユーティリティ・コンピューティング
 08.オブジェクト指向/アスペクト指向
 09.自律コンピューティング

2-2.システム
 10.JSF [JavaServer Faces]
 12.データマイニング
 13.ブレード・サーバー
 14.IAサーバー
 15.レガシー・マイグレーション
 16.フォールと・トレラント
 17.ITIL[ITインフラストラクチャ・ライブラリー]
 18.IT資産管理
 19.マルチコア
 20.Web サービス
 21.CMMI[能力成熟度モデル統合]
 22.ILM [情報ライフサイクル管理]
 21.BPM [ビジネス・プロセス管理]
 22.CPM [コーポレート・パフォーマンス管理]
2-3.ネットワーク 
 23.音声品質管理
 24.リッチ・クライアント
 25.NAS [ネットワーク・アタッチド・ストレージ]
 26.SAN [ストレージ・エリア・ネットワーク]
 27GE-PON [ギガビット・イーサネット・パッシブ・
       オプティカル・ネットワーク]
 28.IPセントレックス
 29.RFID [無線ICタグ]
 30.広域イーサネット
 31.アプリケーション・トラフィック管理
 32.KVMスイッチ[キーボード・ビデオ・マウス・スイッチ]
 33.電子メール・アーカイブ
 34.VPN [バーチャル・プライベート・ネットワーク]
 35.高速無線LAN
 36.UWB [ウルトラ・ワイドバンド]
 37.ギガビット・イーサネット
 38.SIP [セッション開始プロトコル]
2-4.セキュリティ
 39.セキュリティ・ホール
 40.スパイウエア
 41.スパムメール
 42.フィッシング
 43.個人情報漏洩防止/対策
 44.バイオメトリックス認証
 45.PKI [公開鍵暗号基盤]
 46.SSL [セキュア・ソケット・レヤー]
 47.検疫ネットワーク
 48.セキュアOS
 49.IDS/IPS [侵入検出/防止システム]
 
と,このようになります.

3.2008年情報キーワード

それでは,2008年はどうでしょうか.
分類自体もかなり変わってきています.

3-1.2008年注目のキーワード
 01.仮想化
 02.グリーンIT
 03.グローバルソーシング
 04.SaaS
 05.Web 2.0
 06.NGN
3-2.システム
 07.ブレードサーバー
 08.SOA
  09.ITIL
  10.オープンソース
 11.ストレージ統合
 12.iSCSi
  13.サーバー統合
 14.シンクライアント
 15.負荷分散
 16.リモートアクセス
3-3.ネットワーク
 17.ICT
  18.WiMAX (モバイルWiMAX)
 19.検疫ネットワーク
 20.VPN
  21.FMC
3-4.セキュリティ
 22.アイデンティティ管理
  23.情報セキュリティ・ガバナンス 
 24.セキュリティ監査
 25.情報漏洩
 26.フォレンジック
 27.ディザスタ・リカバリ
 28.バイオメトリックス認証
 29.UTM
  30.メールセキュリティ
3-5.マネジメント
 31.内部統制
 32.連結経営
 33.ERP
  34.電子伝票
 35.BI
  36.IT資産管理
 

4.キーワードの数

 2005年と2008年では,前者が49に対して,
後者は30でした.
これは,情報業界が停滞してきたとも云えるでしょうが,
2007年は51項目ありますので,編集者の方針が
変わったともいえると思います.

5.2005年と2008年の両方にあるキーワード

 2005年と2008年の両方にあるキーワードを探しますと,
  ①仮想化
  ②ブレードサーバー
  ③SOA
    ④ITIL
  ⑤検疫ネットワーク
  ⑥VPN
  ⑦バイオメトリックス認証
  ⑧IT資産管理

因みに,この内2007年にあるものを探しますと,
  ①仮想化
  ②ブレードサーバー
  ③ITIL
  ④検疫ネットワーク
  ⑤VPN
  ⑥バイオメトリックス認証
  ⑦IT資産管理
になります.
2005年にあって2007年になくなったSOA が
2008年が復活したようで,
それ以外は変わっていません.

6.2005年になくて2007年と2008年にあるキーワード

 2005年になくて2007年と2008年にあるキーワードは,
  ①Saas
    ②Web 2.0
    ③NGN
    ④サーバー統合
  ⑤シンクライアント
  ⑥ICT
    ⑦WiMAX
    ⑧FMC
    ⑨情報漏洩
  ⑩フォレンジック
  ⑪UTM
  ⑫メール・セキュリティ
  ⑬内部統制
になります.

7.2008年としての”新しい”キーワード

 2008年としての”新しい”キーワードは次のようになります.
  ①オープンソース
  ②ストレージ統合
  ③iSCSi
    ④負荷分散
  ⑤リモートアクセス
  ⑥アイデンティティ管理
  ⑦情報セキュリティ・ガバナンス
  ⑧セキュリティ監査
  ⑨ディザスタ・リカバリ
  ⑩連結経営
  ⑪ERP
    ⑫電子伝票
  ⑬BI
の13項目になります.
この中には,今更と云うものもあります.
それを挙げますと,      
   ①オープンソース
  ②負荷分散
  ③リモートアクセス
  ④連結経営
  ⑤ERP
    ⑥電子帳票
があります.

これは,その概念が変わったのか,もう一度見直され,
今年のポイントになるということでしょうか.

 次回から,2008年キーワードを次の順で見ていきます.

  2008年としての”新しい”キーワード,
  2005年になくて2007年と2008年にあるキーワード,
  2005年と2008年の両方にあるキーワード.

                         つづく  

2008年1月11日 (金)

79回目です.

<第78回目> 情報システムは大丈夫か?
       -システム監査の形骸化の危惧-         
        「システム監査基準」4回目
       

  情報システム先端技術のシリーズとその情報システムの
  確実さを追究するシリーズを交互にしたいと思います.
  
          毎週土曜日午後5時更新しています.

        前  回   目  次
     
       1.はじめに  
       2.システム監査基準の前文の後半その1
       2-1.本質抽出
       2-2.形骸化する恐れ
       2-3.用語の意味そのた

        今  回   目  次
       
       1.はじめに
       2.システム監査基準の前文の後半その2
       2-1.情報システムにまつわるリスクに対する
           コントロールの
           適否についての監査上の判断の尺度
       2-2.システム管理基準に基づく監査に
           限らない場合
       3.システム監査基準の本文

3-1.システム監査の目的

        
1.はじめに

 今回も,システム監査基準の前文の後半についてです.

   今回も,私なりに読み解いていきたいと思います.
   ①本文中の「・・」は,原文を引用した部分です.
   ②私なりの読み解きということで,
    節や段落などは,私の方で自由に付けていますし
    引用が多少前後しているものもあります.
   ③多くの場合数値上の詳細は省略させて頂きました.

2.システム監査基準の前文の後半その2

経済産業省のシステム監査基準は続けて曰く,
「 システム監査の実施に当たっては,組織体における
 情報システムにまつわるリスクに対するコントロールの
 適否を判断するための尺度が必要である.

システム監査は,本基準の姉妹編であるシステム管理基準を
監査上の判断の尺度として用い,監査対象がシステム管理基準に
準拠しているかどうかという視点で行われることを原則とする.

しかし,システム管理基準に基づく監査に限らず,各種目的
あるいは各種形態をもって実施されるシステム監査においても
本監査基準を活用することができる.」

2-1.情報システムにまつわるリスクに対するコントロールの
    適否についての監査上の判断の尺度

 後半部分にある2つのことの内の最初の1つを取上げます.
そして,この中は,さらに2つのことがあります.

リスクは,情報システムを危うくするかもしれないもので,
これに対するコントロールの尺度がシステム管理基準に
示されているとしています.

リスク管理の第1は,対応方針であり,次にリスク特定である
ことは,前回のごく一般的な事として述べています.

どうも,システム監査基準は,リスク特定については関心が
ないようで,コントロールばかりに偏っているようです.

そして,コントロールの尺度がシステム管理基準に書いて
あると云っています.

素直に読めば,システム管理基準には,リスクが示され,
それに対するコントロールが掲載されていることになります.

ここではここまでとどめ,システム管理基準のところで
考察したいと思います.

2-2.システム管理基準に基づく監査に限らない場合

 その場合でも,システム監査基準は活用可能と述べて
います.

原則を外しても良い.それなら,原則ではないと考えます.
これって,どういうことでしょう.

元々は,システム監査基準とシステム管理基準は1つでした.
情報セキュリティ監査基準が出来たときに,それに合わせて
2つに分けました.

恐らく,システム監査基準は,システム管理基準よりも
普遍性があるといっているのでしょう.

3.システム監査基準の本文

 システム監査の目的に曰く
「 システム監査の目的は,組織体の情報システムにまつわる
 リスクに対するコントロールがリスクアセスメントに基づいて
 適切に整備・運用されているかを,独立かつ専門的な立場の
 システム監査人が検証又は評価することによって,保証を与え
 あるいは助言を行い,もってITガバナンスの実現に寄与
 することにある.」

 リスクアセスメントとは,リスクを分析し評価することで,
リスク特定の次の段階の作業です.

これはどういうことでしょう?

これから先は暫く考えるとして,
次回は,お正月,年の初めに相応しく,
2008年のキーワードを話題に取り掛かります.

                         つづく          

2008年1月 3日 (木)

78回目です

<第78回目> 情報システムは大丈夫か?
       -システム監査の形骸化の危惧-         
        「システム監査基準」3回目

       

  情報システム先端技術のシリーズとその情報システムの
  確実さを追究するシリーズを交互にしたいと思います.
  
          毎週土曜日午後5時更新しています.

        前  回   目  次

       1.はじめに
       2.よくある話
       3.システム・コンサルタント
       4.システム監査の外観的強み
       5.システム監査は経営者の頼りになる味方

        今  回   目  次
     
       1.はじめに  
       2.システム監査基準の前文の後半その1
       2-1.本質抽出
       2-2.形骸化する恐れ
       2-3.用語の意味そのた

1.はじめに

 今回は,システム監査基準の前文の後半についてです.

   今回も,私なりに読み解いていきたいと思います.
   ①本文中の「・・」は,原文を引用した部分です.
   ②私なりの読み解きということで,
    節や段落などは,私の方で自由に付けていますし
    引用が多少前後しているものもあります.
   ③多くの場合数値上の詳細は省略させて頂きました.

2.システム監査基準の前文の後半その1

経済産業省のシステム監査基準は続けて曰く,
「 システム監査基準は,システム監査業務の品質を確保し,
 有効かつ効率的に監査を実施することを目的とした監査人の
 行為規範である.

 本監査基準は,監査人としての適格性及び監査業務上の
 遵守事項を規定する『一般基準』,

 監査計画の立案及び監査手続の適用方法を中心に
 監査実施上に枠組みを規定する『実施基準』,

 監査報告に係る留意事項と監査報告書の記載方式を規定する
 『報告基準』からなっている.

  システム監査基準は,組織体の内部監査部門等が実施する
 システム監査だけでなく,組織体の外部者に監査を依頼する
 システム監査においても利用できる.

 さらに,本基準は,
 情報システムに保証を付与することを目的とした
 監査であっても,
 情報システムの改善のための助言を行うことを目的とした
 監査であっても,
 利用できる.」

2-1.本質抽出
 
 ここでは,上記の文からその本質を抽出を試みます.

第1に,システム監査基準は(監査人の)行為規範であること,

第2に,基準には一般基準,実施基準そして報告基準があること,
    【逆に云えば,これだけあれば十分と述べています】

第3に,この基準は元々内部監査部門のような部署が
    システム監査を実施する場合のものであるが,
    システム監査業者などが使用することも出来る
    としているとしていること,
    【システム監査は組織体にとって任意監査ですので,
     公認会計士のような法的資格は存在しないのです】

第4は,システム監査の目的は,
   ・監査した情報システムに対するリスクコントロールが
    適切に整備・運用されていることを保証する場合と,
   ・その整備運用を改善する必要があるときは助言を
    行うこと,
と云うことになります.

2-2.形骸化する恐れ

 これらを突き詰めると,

システム監査は,
  ①現行システム立脚型のコンサルテーションと
   考えられますので,監査対象の情報システムが”完璧”
   であるとの保証を与えるものではなく,
  ②見つかった或は見つけられたリスクコントロール項目に
   について,適切に整備・運用をしていることを保証する
   ことなのです.

つまり,
情報システムの本質の良さ・悪さを監査しているのではなく,
あくまでも,情報システムに絡みつくリスクを捜して,
それをコントロールと読み替えて云々していることに
なりかねません.

そこには,形骸化の恐れが潜んでいます.

2-2.赤福や船場吉兆あどの”偽装”にみる賞味期限の
    本質

 形骸化について,最近の”偽装”問題を取上げて
考えてみましょう.

 確かに,製造日や賞味期限日を偽ることは悪いことです.
しかし,これらを食して,腹痛を起こした人やそのために
死亡者が出るなどの事故は起きていません. 
   
 製造日や賞味期限日を偽ることで,腐敗した商品を販売
してしまったわけではありません.

世界的な食糧事情としては,腐敗してもいないし,
味も悪くないもの
【本当はもっと美味かもしれませんし,ある程度日数が経った
 から美味になったのかもしれません】を廃棄処分にすることは
大きな無駄になりますし,
廃棄すれば,更に環境破壊に繋がります.

 製造日や賞味期限日を偽装することは悪いことですが,  
もっと悪いことは,賞味期限日はもっと長いのに,
それを短く偽ることです.

お役所のすることは,メーカに対して,
  ①偽装しないように組織体に体制を再構築する指導をし,
  ②本当の賞味期限を出させること,
ではないでしょうか.

1つ目だけが強調され,賞味期限の本質を忘れた形骸化した
指導になっています.

この2つ目がないから,
古い体質の企業経営者の眼が覚めないのでしょう.

経営者は,只管頭を下げて悲嘆にくれるだけです.
前近代的な経営者を救済し,貴重な資源を有効かつ効率的に
利用することが人類を救うことになると考えます.     

 システム監査も,こうした形骸化の心配があります.
監査は何かあった場合によく行われます.そうすると,
過剰に防衛し,本来の良さ・軽さが否定されて重厚長大
或は合理化に逆行してしまうことが十分考えられます.

システム監査を担当する人は,この点も十分配慮する必要が
あります.

2-3.用語の意味そのた

・「監査手続」
 独特の用語として,「監査手続」と云うのがあります.
 ”手続”というと,申込手続,入会手続など届出を想起して
 しまい,
 ”監査するための手続”と考えてしまいますが,
 ここでは,監査作業のことを指しています.

・文末決定性
 その他気になることは,
文章全体,重要なことやテーマが文末にきていることです.
結論が先にある現代の欧米風に馴れている者としては,
違和感を強く感じます.

・「リスク」
 既に前々回述べましたが,改めて探してみましたら,
 古代中国の外来語に「危惧」がありました.

「危惧」は,広辞苑によりますと,
「あやぶみおそれること.不安心.気がかり.」です.
如何でしょうか.

                        つづく

2007年12月26日 (水)

77回目です

<第77回目> 情報システムは大丈夫か?
       -システム監査は経営者の味方-         
        「システム監査基準」2回目
       

  情報システム先端技術のシリーズとその情報システムの
  確実さを追究するシリーズを交互にしたいと思います.

          毎週土曜日午後5時更新しています.

        前  回   目  次

       1.はじめに
       2.システム監査基準
       3.システム監査基準の前文その1
       3-1.「情報システムにまつわるリスク」の
           「まつわる」の意味することは何か
       3-2.リスクとは何か
       3-3.「リスクを適切にコントロール」の
           コントロールとは何か.
       4.システム監査基準の前文その2
       4-1.リスク管理とは何か
       4-2.システム監査基準の前文その2が
           意味するもの
       4-3.システム監査の基本的な姿勢 

        今  回   目  次

       1.はじめに
       2.よくある話
       3.システム・コンサルタント
       4.システム監査の外観的強み
       5.システム監査は経営者の頼りになる味方
       

1.はじめに
 
 前回の「システム監査基準の前文の前半部」を,
手前勝手に整理させて頂きますと,

 ①システム監査は,組織体に,その組織体の情報システムに
  まつわるリスクに対するコントロールが適切に整備・運用
  されているかを調べてくれるものであること.

 ②組織体の経営者が,情報システムに対して危惧している事は
  ・経営方針に従った戦略実行に役立っているのだろうか,
  ・故障は無く,業務に有効で,業務効率を上げているか,
  ・吐き出されるデータは信用できるものになっているか,
  ・違法,契約不履行,規則違反等はなってないだろうな,
  これらが全てではないでしょうが,基本になっていることは
  確かです.

 今回は,ここから出発しましょう.

2.よくある話

 コンピュータについて,中堅企業の経営者がよく問いかけるのは
「うちのコンピュータシステムを視てほしい.
 金食い虫で,役に立っておらん.
 何かと言うとパソコン処理すると言って,人食い虫も
 増えている.何とかならんのか?」です.

 それを聞きつけたパッケージ販売のセールスマンは,
大喜びで,機能が高く使い易いパッケージがありますと
売り込むのです.

そして,SEを送り込みます.
SEは,フィット&ギャップと称して,現行システムを
扱き下ろし,自分のパッケージが如何に優れ物かで整理し,

ユーザ担当者が何か言えば,待ってましたとばかりに,
アドホーン・プログラムを作ることを薦め,
これまた儲けとなります.

形が出来れば,検収をせがみ,「ハイ,それまでよー」
(昔の流行語そのまま).

になるのはよく見かける世相です..

3.システム・コンサルタント

 上述のお話は,実際に笑えない現実です.
この例では,中堅企業の経営者が相談する相手が悪かった
ですね.

では,どうしましょう.
システム・コンサルタントに相談すると言う手も
ありますが.

システム・コンサルタントは,その企業の本質に迫り,
最上の理想像を描いてくれます.

分かったような分からないデータモデリングが成果物に
なる場合もあります.

しかも,その間,ユーザー企業の担当者は散々に
このコンサルタントに叩かれ,何か書かせられるでしょう.

それでも,システム再構築そのものには,
まだスタートに至っていません.

改めて,コンピュータシステムで,どう実現するかの 
話が始まります.

そして,その前に,高いコンサルタント料の勘定書きが
きます.

4.システム監査の外観的強み 
 
「うちのコンピュータシステムを視てほしい.
 金食い虫で,役に立っておらん.
 何かと言うとパソコン処理すると言って,人食い虫も
 増えている.何とかならんのか?」と云っている先程の
中堅企業の経営者に,

正面きって,「何処が金食い虫ですか?」などと問うのは
それこそ愚問です.

経営者は,分けの分からんコンピュータに
ホトホトまいっているのですから.
 
しかし,その経営者に,
「現行コンピュータシステムの監査をしませんか.」の
問いかけは,意外に効果的かもしれません.

それは何時も虐められている会計監査を思い浮べ,

平素分けの分からないことを云っているシステム部門に
一矢報いることが出来ると思い到るからです.

そして, 
「・経営方針に従った戦略の実行に役立っているか,
 ・故障は無く,業務に有効で,業務効率を上げているか,
 ・吐き出されるデータは信用できるものになっているか,
 ・違法,契約不履行,規則違反等にはなってないか,
 を調べましょう.」
と説明すれば,ウケルでしょう.

5.システム監査は経営者の頼りになる味方

 パッケージ業者のSEと異なり,システム監査の場合は,
現行システムについて,戦略性,安全性,有効性,効率性,
信頼性,遵法性のリスクコントロール項目について調査して,
結果を報告・説明してくれるというわけです.

 システム監査は,大変魅力的ではありませんか.

 こうなると,システム監査を,もっと具体的に知りたく
なります.

次回は,前文の後半に入ります.

                         つづく 

2007年12月19日 (水)

76回目です

<第76回目>-21世紀の情報システムの構築 -
    テーマ:情報システムは大丈夫か-その1
        「システム監査基準」1回目

  今回から当面,情報システム先端技術のシリーズと
 その情報システムの確実さを追究するシリーズを
 出来れば交互にしたいと思います.

          毎週土曜日午後5時更新しています.

        前  回   目  次

       1.はじめに
       2.事務処理系システム
       3.氏の指摘する
         「プロジェクト失敗の原因」
       4.氏の総括としての「真の原因」
       5.読み終えて
       5-1.古い懐かしい光景
       5-2.事務処理システムの定番化と
           差別化
       5-3.W_Modeling
       5-4.別の方法

        今  回   目  次

       1.はじめに
       2.システム監査基準
       3.システム監査基準の前文その1
       3-1.「情報システムにまつわるリスク」の
           「まつわる」の意味することは何か
       3-2.リスクとは何か
       3-3.「リスクを適切にコントロール」の
           コントロールとは何か.
       4.システム監査基準の前文その2
       4-1.リスク管理とは何か
       4-2.システム監査基準の前文その2が
           意味するもの
       4-3.システム監査の基本的な姿勢 

1.はじめに
 
 次々と生まれる,構築される情報システムは大丈夫ですか,
”大丈夫”とどうしたら判るでしょうか.
すぐに思いつくのは,「システムを監査する」ことですね.
そこで,経済産業省が策定している平成16年10月8日改定の
「システム監査基準」を,
何回かに分けて取上げたいと思います.

   今回も,私なりに読み解いていきたいと思います.
   ①本文中の「・・」は,原文を引用した部分です.
   ②私なりの読み解きということで,
    節や段落などは,私の方で自由に付けていますし
    引用が多少前後しているものもあります.
   ③多くの場合数値上の詳細は省略させて頂きました.

 今回はシステム監査テーマその1にします.

2.システム監査基準

 システム監査基準は,昭和60年(1985年) 1月に策定された
もので,その後,平成8年(1996年)1月に改定され,
平成16年10月8日改定は2度目の改定です.

 2度目の改定は,前年4月に創設された情報セキュリティ監査
基準との整合性を図り,従来の実施基準の主要部分を抜き出し
システム管理基準として独立させ,それぞれに大幅な加筆・
修正を行ったものです.

3.システム監査基準の前文その1

「 今日,組織体の情報システムは,経営戦略を実現するための
 組織体の重要なインフラストラクチャとなっている.
 さらに,それぞれの情報システムがネットワーク化される
 ことにより,社会の重要なインフラストラクチャとなって
 きている.

 一方,情報システムはますます多様化,複雑化し,それに伴い
 様々なリスクが顕在化してきている.
 また,情報システムに係わる利害関係者も組織体内にとどまらず,
 社会へと広がっている.

 従って,このような情報システムにまつわるリスクを
 適切にコントロールすることが
 組織体における重要な経営課題となっている.

 システム監査は,組織体の情報システムにまつわるリスクに
 対するコントロールが適切に整備・運用されていることを
 担保するための有効な手段となる.

 また,システム監査の実施は,組織体のITガバナンスの実現に
 寄与することができ,利害関係者に対する説明責任を果たす
 ことにつながる.

 ここまでで1区切りです.

 この部分の文章を読むと,これまで読んできたどの論文や
記事も余りにも隙だらけで,見劣りします.

読めば読むほど,無駄のない洗練された含蓄のある文章です.

 これをパラドックス的表現を借りて云えば,
 ”この文章を書いた人は,この文章を書きたくて,
  システム監査基準を作成した”ということようなことに
なりますか.

 この部分はシステム監査基準とシステム管理基準の文章
全体を通して,唯一最も卓抜していると思います.

3-1.「情報システムにまつわるリスク」の
    「まつわる」の意味することは何か

「まつわる」は,漢字を使うと,”纏わる”であることが
広辞苑に出ています.
   ①物に絡みつく.
   ②絶えずくついていて離れない.
   ③筋が通らなくなる.わけがわからなくなる.
   ④関係する.

3-2.リスクとは何か

 さて,それではリスクとは何でしょうか..
英語の RISK を「リスク」とカナ読みしたのです.
因みに,アメリカ原子力委員会などで使用されている定義は

  リスク=発生率×被害規模

そこで,リスクの定義を次のようにします.

リスク=【その事象が発生した場合の損害の大きさ】
         ×
    【それが発生する確率】

3-3.「リスクを適切にコントロール」の
    コントロールとは何か.

 コントロールは,再び広辞苑によりますと,
   ①制御すること.統制.管理.調節.
   ②野球で,制球.制球力
とあります.

そうすると,情報システムに絡みつくリスクなる悪党が
跳梁跋扈する中で,この悪党を制御するとはどんなこと
なのでしょう.

4.システム監査基準の前文その2

 その答に繋がるヒントが前文の続きにあります.

「 組織体が情報システムにまつわるリスクに対する
 コントロールを適切に整備・運用する目的は,
 以下の通りである.
 ・情報システムが,組織体の経営方針及び戦略目標の実現に
  貢献するため
 ・情報システムが,組織体の目的を実現するように
  安全,有効かつ効率的に機能するため
 ・情報システムが,内部又は外部に報告する情報の
  信頼性を保つように機能するため
 ・情報システムが,関連法令,契約あるいは内部規定等に
  準拠するようにするため

ここで,少し読み替えをしてみましょう.

 組織体が,情報システムに”絡みついて何時暴れだすか
      判らない好ましくない事象”【リスク】の
 管理【コントロール】を
 適切に整備・運用するの”何のため”か

 ①情報システムが戦略的にならないことのないように
 ②情報システムが故障したり,役立たずで,非能率的に
  ならないように
 ③情報システムの情報が信用できないことのないように
 ④情報システムが法破りにならないように

となります.

詰まる処,その目的は,
”稼動しだした情報システムが吐き出す”現象”が
 戦略的でなく,故障したり,役立たずになったり,
 使い難く,
 しかもそのアウトプットは信用ならず,法破りに
 ならないように管理する”となります.     

4-1.リスク管理とは何か

 文献を挙げる必要も無く,簡単に言えば,

リスク管理とは,
 第1は,どんなリスクであれ,これに対処する方針が必要で,
つまり,リスクが顕在化しないようにする普段の活動と
リスクが顕在化した場合の対応について決めることに
なります.

 前者が所謂”リスク管理”で,後者が”危機管理”である
ことは,ご承知のとおりです.

 第2は,所謂”リスク管理”の進め方になります.
その最初のステップが,”リスク特定”です.

 第3がリスクアセスメントです.
これは,特定されたリスクを分析し,評価することです.

評価は,次の4つの分類のどれに当るかを判定することです.
    1.保有, 2.削減, 3.回避, 4.移転

保有:発生したらそのまま受容する.
削減:発生の確率を下げる或は損害を極小かする努力をする.
回避:リスクが絶対に顕在化しない方法をとる.
移転:発生した場合,その被害を経済的に補填する.

 第4が評価に基づいて,リスク対策を作ることになります.

保有の場合は,何も対策を立てません.

削減の場合は,情報システムのライフサイクル,
企画・設計・製作(開発と言う言葉は敢て避けました)・
運用・保守毎に,標準化やマニュアル化,教育・訓練,
設備の二重化投資などで,
四つの内,日常的に使われる”リスク管理”がこれです.

回避の場合は,簡単に言えば,情報システムを廃止することです.
よく業界誌を賑わすのは,「ERP導入の断念」です.
現実にかなり多いようでよく耳にします.
稼動させることによるリスクを回避するということです.

前回のテーマの「プロジェクト失敗」は,経営者としては,
リスクを回避する賢明な策をとったことになります.

 第5としては,”危機管理”ですが,
情報システムとしては,天変地異による計算センターや
通信網が破壊された場合のコンテンジェンシー計画立案に
繋がっていきます.

4-2.”システム監査基準の前文その2”が
    意味するもの

前述の
”稼動しだした情報システムが吐き出す”現象”が
 戦略的でなく,故障したり,役立たずになったり,
 使い難く,
 しかもそのアウトプットは信用ならず,法破りに
 ならないように管理する”となります.     
は,
 
戦略的でないと云うリスクが顕在化しないように,
故障を起こさせるリスクが顕在化しないように,
役立たなくするリスクが顕在化しないように,
使い難くさせるリスクが顕在化しないように,

その管理を適切に整備・運用することになります.

4-3.システム監査の基本的な姿勢

 もう一度整理しますと,   
 ①その情報システムは戦略的か    ⇒戦略性
 ②その情報システムは安全か     ⇒安全性
 ③その情報システムは有効か     ⇒有効性
 ④その情報システムは効率的か    ⇒効率性
 ⑤その情報システムは信頼できるか  ⇒信頼性
 ⑥その情報システムは遵法しているか ⇒遵守性

 つまり,戦略性,安全性,有効性,効率性,
信頼性,遵守性が,リスク管理の管理項目になります.

 オヤッ,「機密性がない!」と思われるでしょう.

私が考えるに,これは,
「システム監査」と「情報セキュリティ監査」の棲み分けの
結果ではないでしょうか.

前者は一生懸命つくってもリスクは絡みつくのに対する管理,
人間の性善説に立ったものであり,

後者は何時の世にもどんな所にも悪党はいるという
人間の性悪説に立ったものなのでしょう.

これは,少し穿った見方でしょうね.

 基本的なシステム監査は,
この6項目をコントロール【管理項目】として,
情報システムの診断を行うようです.

4-4.追補

 一般的に云われている管理項目としては,このほかに,
経済性,インテグリティ,可用性があります.

インテグリティも従来の古代中国からの外来語には当て嵌まる
ものはないようです.
当て嵌める場合は完全性ですが,データベースの更新処理など
情報処理において,”矛盾のない一貫して正しいこと”を
意味します.

可用性は,ジャパニーズ古代中国語で,情報システムで云えば
”許可されたら使える”という機密性の逆から視た管理項目です.

                          つづく

2007年12月11日 (火)

<第75回目>-21世紀の情報システムの構築 -
    テーマ:基幹システム構築における失敗
        について

       日本技術士会報 2007年 10月号
       野村氏の       
       「基幹システム構築における失敗の本質」

        に対して     

          毎週土曜日午後5時更新しています.

        前  回   目  次

       1.はじめに
       2.アンビエント・インテリジェンス社会
       3.アンビエント・インテリジェンスの
         センサー
       4.アンビエント・インテリジェンス
         システム
       5.まとめ

        今  回   目  次

       1.はじめに
       2.事務処理系システム
       3.氏の指摘する
         「プロジェクト失敗の原因」
       4.氏の総括としての「真の原因」
       5.読み終えて
       5-1.古い懐かしい光景
       5-2.事務処理システムの定番化と
           差別化
       5-3.W_Modeling
       5-4.別の方法

 今回は,日本技術士会報 2007年 10月号
     野村氏の       
     基幹システム構築における失敗の本質」
に対して,検討したいと思います.

   今回も,私なりに読み解いていきたいと思います.
   ①本文中の「・・」は,原文を引用した部分です.
   ②私なりの読み解きということで,
    節や段落などは,私の方で自由に付けていますし
    引用が多少前後しているものもあります.
   ③多くの場合数値上の詳細は省略させて頂きました.

1.はじめに
 
 冒頭の要約で,氏は
近年,情報システムは,ますます大規模化している.
 その一方で,情報システム構築の失敗事例は後を
 絶たない.このなかで今後の情報システムの発展を
 図っていくには,失敗の本質を見極めることが必要と
 なってくる.
 
 本稿では,筆者の体験した事例を通して,
 情報システム構築の失敗に関する本質的な原因を
 考察していく

と述べられています.

 氏の経験した情報システム,基幹システムは,
販売管理,生産管理,在庫管理,購買管理,物流管理,
会計,人事・給与の7種類の内,
販売管理,生産管理,在庫管理,購買管理,物流管理の
5つ同時立ち上げのビッグバン開発で,30億円超の
大規模投資で,期間は3年であるとのことです.

これに,氏はコンサルタントとして参加したと
自分の立場を紹介しています.

 果たして,失敗の本質を捉えたでしょうか.

2.事務処理系システム

本稿で取上げる基幹システムとは,主に企業内の
 事業活動を支援する事務処理系システムを指す.」
 
として,
「事務処理系の分野は,科学技術計算や装置制御
 システムと異なり,以下のシステム特性を
 持っている. 
 (1)複雑・膨大な情報を段階的に加工し,
  長期間保持しなければならない.
 (2)多様な人々が関わる事業活動と密接に
  関係してくる.
 (3)企業の成長や変化に,常に対応して
  いかなければならい.

と,述べられているが.

果たして,どうでしょう?

確かに,初期の装置制御システム,DCS
(Degital Control System)やシーケンサーは
そうでしたが,現在はそんなものではないでしょう.

ヒトゲノムの世界はテラバイトですから,
科学技術計算もこの分類には当て嵌まらないでしょう.

私の経験では,事務処理系システムは寧ろ定番化され,
その意味では,科学技術計算や装置制御システムは
未だ未知の部分は非常に大きいと思います.

3.氏の指摘する「プロジェクト失敗の原因」

 納期見直しを3回も行い,3回目で,
経営の判断によりプロジェクト中止になったと
述べています.

そして,その原因については,氏は

「業務担当者(以降,ユーザと呼ぶ)が仕様を
 なかなか決められないこと(二転三転)が
 原因で遅延を引き起こした.

 具体的に挙げると,
 
 昨日決めたはずの仕様が明日にはひっくり返ると
 いうことが頻発したり,
 
 遅延を挽回するためのスコープ縮小に多くの
 時間がかかりしている.

 しかしもっと深く考えると,そもそも,
 ユーザが何故仕様を決められなかったのかという
 点に行き着く.」

と述べている.

4.氏の総括としての「真の原因」

 本論文の総括で,氏は次のことを挙げています.

「(1)目的・方向性のメンテナンス
  プロジェクトは明確な目的・方向性を欠いたまま
  走り続けると必ず失敗する.
  これを避けるためには,目的・方向性を常に
  メンテナンスし,日々の活動に反映させ
  続けなければならない.

 (2)曖昧性を排除した意思疎通
  ステークスホールダ間の多義性,不明確性を生む
  最大の原因は,曖昧性を残したコミュニケーション
  にある.
  摩擦や軋轢を恐れず,相手の立場を考えた上での
  徹底的な議論が,風通しの良い意思疎通を生み出す.

 (3)現実を踏まえた合理的論理による説明
  経営者やプロジェクトのオーナーには,
  客観的事実を尊重した報告と行動結果の
  フィードバックを頻繁に行わなければならない.
  これを怠ると経営陣は,情報システムを永久に
  理解しなくなる.」

 そして,氏は最後に
「プロジェクトは属人的に進められる場合が多い.
 最近では,これを工学的に進めるために,
 様々な手法,ツールが発達している.

 しかし本質的には,属人的な部分を受け入れた上で,
 プロジェクトをコントロールすることが,
 成功への道になるのではないだろうか.」

と,結んでいます.
 
5.読み終えて

5-1.古い懐かしい光景

 この論文を読んでいきますと,このプロジェクトの様が
彷彿と浮かんできます.

目に付いたことを挙げてみますと,

①今回のプロジェクトは, 
 「販売管理,生産管理,在庫管理,購買管理,物流管理の
 5つ同時立ち上げ」ということですから,
 SCM(サプライチェーンマネジメント)そのものか
 それに近いものを構築しようとしたプロジェクトでしょう.

②”システムの仕様を決めるのはユーザ”としていますから
 コンサルタントやシステムインテグレータのSEは,
 二転三転するユーザ担当者の言われるままに,個々の仕様を
 書いたり消したりしているのでしょう.
 
 多分,沢山の同じような仕様ワープロ文書が出来て
 保管管理だけでも大変でしょう.思わず同情します.

③経営者に対して,システム部門長(システムの素人かも)が
 情報システム用語を並べ立てて,分かり難く,脇の下に
 汗をかきながら,説明・報告しているのでしょう.

 まだ,こんな光景があるのですね.

5-2.事務処理システムの定番化と差別化

 ”事務処理システムの定番化”は先程一寸述べました
ように,もう定番化しています.
その最右翼がERPです.

 ERPにはカストマイズ,アドホーンがつき物で,
それが基のERPの5倍はかかると言われていますが,
これがその企業の差別化です.

5-3.W_Modeling

 最左翼は,自社オリジナルソフト製作・構築と
なるでしょう.

 渡瀬流にやるとすれば,このブログの前のシリーズ,
W_Factoryになるでしょう.

 その中核は,15世紀のベニスの商人が考え出し,今や
全世界で使われている複式簿記の理論をベースに,
ピーター・チェーンのERDを捻って考案したW_Modelingです.

W_Modelingは,データベースの性質と振る舞いを設計する
手法です.

企業活動の1こま1こまをデータベースの性質と振る舞いで
表現できれば,システムの基本部分は出来上がります.

そして,この手法はERPのような定番化主体でなく,
差別化を首尾一貫した形で,設計できます.

5-4.別の方法

 W_Modelingなど構築手法論ではないものを探しますと,

稼動しているあるいは構築中の情報システムに対して,

保証を付与するあるいは改善の助言を与えるとしています
”システム監査”があります.

 次回から暫くは,この”システム監査”に焦点を
あててみまでょう.
 

                         つづく

2007年12月 6日 (木)

74回目です

<第74回目>-21世紀の情報システムの構築 -
    テーマ:安心・安全とアンビエント・インテリジェンス
        ・センシング

        The Ambient Intelligence and Sensing
                for Safty and Security

       日本技術士会報 2007年 12月号
       「安心・安全とアンビエント・インテリジェンス
        ・センシング」
                渡辺嘉二郎
 
       より     

          毎週土曜日午後5時更新しています.

        前  回   目  次

       1.はじめに
       2.ステガノグラフィとは
       3.ステガノグラフィの例
       3-1.テキストデータ
       3-2.音声データ
       3-3.画像データ
       4.「ステガノグラフィ」を読んで

        今  回   目  次

       1.はじめに
       2.アンビエント・インテリジェンス社会
       3.アンビエント・インテリジェンスの
         センサー
       4.アンビエント・インテリジェンス
         システム
       5.まとめ

 今回のテーマは,
「安心・安全とアンビエント・インテリジェンス
             ・センシング」
     渡辺嘉二郎

 技術士会報 「技術士12」2007年

より
色々勉強したいと思います.

   今回も,私なりに読み解いていきたいと思います.
   ①本文中の「・・」は,原文を引用した部分です.
   ②私なりの読み解きということで,
    節や段落などは,私の方で自由に付けていますし
    引用が多少前後しているものもあります.
   ③多くの場合数値上の詳細は省略させて頂きました.

1.はじめに

 Web 2.0 ,ユビキタス社会の次に来るものは何か,
21世紀の情報システムの展開は何か,が
このブログのテーマの1つです.
ユビキタス社会とは,何時でも何処でも情報受発信の
可能な社会というのが一般的な定義でしょうが, 

一寸粋に云えば,
ケータイ操作に見られる親指文化,指(ゆび)を動かす
文化,”ゆびに来たす”社会です.

 その次に来るものは何かで,
今回は,渡辺氏のアンビエント・インテリジェンス社会を
取上げます.

 氏によれば,ユビキタス社会は人間がITを使う環境で,
次に来るのは,そこにITが存在することを人間が
知らなて,ITが知的に活用されている"社会"と
予言しています.

それが,アンビエント・インテリジェンス社会だと
するのです.

それはどんな社会かそれでは,先に進みましょう.

2.アンビエント・インテリジェンス社会

 "アンビエント・インテリジェンス"社会を一寸
覗いてみましょう.

 家があり,Aさんが住んでいます.
今,真夜中の2時で,Aさんは静かに眠っています.
アンビエント・インテリジェンスITは,彼の安らかな
寝息を感知しています.

とそのとき,隣の家,Bさん宅に強盗が入りました.
すると,アンビエント・インテリジェンスITは,
これを知覚して,周囲の家に危急を知らせます.
   
Aさんの家の警報機も,Bさんの処に何者かが
突然侵入したと知らせます.

勿論,警備会社や警察にも連絡は入ります.

そうすることで,この地域全体の安心・安全が
確保されるのです.

 この巨大な黒子のようなITが
アンビエント・インテリジェンスなのです.

3.アンビエント・インテリジェンスのセンサー

 このアンビエント・インテリジェンスのキーは
これらの環境の全体に起こる様々な事象を時々刻々と
捉えるにはセンサーが必要です.

どのようなセンサーでしょうか,
渡辺氏によると,
「大きさ形状は,直径 8mm,長さ50mmの円筒状のもの」で
「前面と後面に受圧口をもつ指向性コンデンサーマイクロホン
 の一方の口を黒いスポンジ等の黒体を収納した透明な
 チャンバーで密閉したもの」や,「圧電セラミックなどの
センサー」で行うだそうです.
  
これで,環境の中の様々なものの変化に対して,
「空間の多様な兆候を検知していまう」.

4.アンビエント・インテリジェンスシステム

そして,「その原因が何であるかを判別させる知能
(インテリジェンス)を備えることで,
アンビエント・インテリジェンスシステムに
なるというものです.

5.まとめ

 今回のテーマは,
このブログでの66回から3回に亘って取上げました
矢野氏の「センサーは Web を超える」と軌を一にする
もの(註1)で,
センサー及びセンサーネットとしての応用の1つを
示そうとするものです.

 矢野氏は,知識労働者の生産性向上に,
 渡辺氏は,安心・安全社会の実現に
センサー及びセンサーネットを活用しようと
しています.

 
註1:情報処理学会の会報「情報処理」2007年2月号に
   掲載されました 矢野和男氏の解説論文
   「センサは Web を超える
     -省力化から知覚化-」

                   (このテーマ完) 
 

                         つづく

2007年11月28日 (水)

第73回目です

<第73回目>-21世紀の情報システムの構築 -
    テーマ:情報セキュリティのステガノグラフィ
        A Steganography of Security

       日本技術士会報 2007年 11月号
       「情報セキュリティのステガノグラフィ」
            脇山正博 田中義人 田中宏 
       より     

          毎週土曜日午後5時更新しています.

        前  回   目  次

       1.はじめに
       2.TCG (Trusted Computing Group)
       3.検疫ネットワークのが必要とされる背景
       4.TNC (Trusted Network Connect)の狙い 
       5.TNC の動作
       5-1.TNC の物理的構成
       5-2.TNC の動作ステップ
       5-3.ソフトウエアスタック
       6.TPM
       6-1.TPM の一般的な機能
       6-2.Trusted Boot
       6-3.PCR の認証管理
           (Identity Management)
       6-4.TNC のIR (Integrity Report)
       6-5.IR の検証
       7.検疫ネットワークの技術動向
       8.日本国内におけるTCG 普及活動
       9.結びで
      10.検疫ネットワーク記事を読んで

             

        今  回   目  次

       1.はじめに
       2.ステガノグラフィとは
       3.ステガノグラフィの例
       3-1.テキストデータ
       3-2.音声データ
       3-3.画像データ
       4.「ステガノグラフィ」を読んで

    
 今回のテーマは,
情報セキュリティのステガノグラフィで,
日本技術士会報 2007年 11月号に掲載されました
脇山正博,田中義人,田中宏の3氏による
「情報セキュリティのステガノグラフィ」より
色々勉強したいと思います.

   今回も,私なりに読み解いていきたいと思います.
   ①本文中の「・・」は,原文を引用した部分です.
   ②私なりの読み解きということで,
    節や段落などは,私の方で自由に付けていますし
    引用が多少前後しているものもあります.
   ③多くの場合数値上の詳細は省略させて頂きました.

1.はじめに

 Steganographyの紹介で,三氏まず曰く,
「 人間は有史以来,他人に気づかれることなく,
 自分の仲間とこっそり意思の疎通を図る方法を捜し
 求めてきた.

  現代のステガノグラフィとは,
 秘密の情報が人目に触れないように,
 これを何か別の目立たないデータ
 (「カバーデータ」と呼ばれる「埋め込みデータ」)の
 中に,こっそりと秘密情報を埋め込む情報技術のこと
 である.

 具体的には,画像データや音声データなどに秘密情報を
埋め込んで隠すことである.

 2001年9月11日のユーヨークの同時多発テロ事件で,
国際テロ組織アルカイダが連絡用に利用していたそうです.

最近では, Web 上でプログラムで容易に手に入いる
そうです.

しかしながら一般ユーザへのステガノグラフィの
 浸透度は低く,
 埋め込める秘密情報の大容量化や秘匿性の向上などの
 課題も残されており,
 さらに研究を進める必要性がある.

2.ステガノグラフィとは

 情報秘匿技術は,暗号と情報ハインディングに分類され,
情報ハイディングが更にステガノグラフィと電子透かしに
分類されるのです.

つまり,

  ・暗号 (Crytography)
  ・情報ハイディング (Information Hinding)
        ・ステガノグラフィ(Steganography)
        ・電子透かし(Watemarking)

のようになっているとのことです.

 透かしについては,お札などでお馴染みのように
ある電子データに対して,著作権等を主張する際に
その旨のマークなり音声なりを埋め込むことに
なりますので,
(電子)透かしは,誰にでも認識できるものです.

 これに対して,ステガノグラフィは,特定の人以外には
分からないように,データに埋め込みます. 
 
 その点では,暗号技術と似ていますが,
一般に暗号化されたデータは,グチャグチャで,
意味を持たないものであるの対して,

ステガノグラフィは,
それ自体は,誰でもわかる変哲のない情報で,
その中に秘密情報が入っているという技術です,

その情報は,ビット単位(つまり0or1)に
バラされていますので,拾い出したビットを
繋ぎ合せて,ある意味にしようとするものですから,
例えば,1つの文字を表すのに8ビット,
8個の秘密文字が必要になります.

勿論,そのビットが「0」か「1」かで,ゴーか
キャンセルなど取り決めてあれば,
それでも良いわけです.

3.ステガノグラフィの例

 例を挙げた方が分かり易いとおもいますので,
3氏の解説の例を,咀嚼して掲げます.

3-1.テキストデータ

 まず,文字列のビット変換コード表を準備します.
3氏の例では,

ビット「0」の文字列:コンピュータ,分野,
           人工知能,人間,知的な
           機能  ,実現する.

ビット「1」の文字列:計算機   ,領域
           AI  ,人 ,知能を持った
           振る舞い,持たせる

 つまり,コンピュータといえば「0」で,
     計算機といえば「1」と云うようになります.

次のような何の変哲もない文章が挙げられています.

「 コンピュータ分野の1つである人工知能とは,
 コンピュータに人間のように知的な機能を
 実現することが目的です.

これに秘密情報を埋め込んだ文章が注ぎ様だとします.

「 コンピュータの分野の1つであるAIとは,
 計算機に人間のように知能を持った振る舞いを
 持たせることが目的です.

そうすると,何の変哲もない文章の意味は変わらず
中に,8ビットの情報を埋め込めます.

つまり,コンピュータ⇒0
    分野      ⇒0
    AI          ⇒1
    計算機    ⇒1
    人間      ⇒0
    知能を持った⇒1
    振る舞い  ⇒1
    持たせる  ⇒1
と,なります.

成る程,できることはできますが,
長い込み入った情報の伝達は
実際上無理でしょうね.

3-2.音声データ

 音声をデジタル録音することで,音声をデジタル化
できます.これを活用するのだそうです.

3氏の解説によると,
 8ビットづつのバイナリデータの最下位のビットを
 対象にして,0or1を埋め込んでいく
ことになります.

これによって,
埋め込みの前後の音の変化を最小限に抑えることが
 可能となる.

こうすることで,
埋め込みによって音声は変化するが,
 その変化は人間に認識できない程度」にすることが
可能というのです.

 しかし,音楽家の耳までも騙せますかね.

3-3.画像データ

 音声データと同様の方法で行うことになります.

4.「ステガノグラフィ」を読んで

 ステガノグラフィの場合,2段になっていますね.
  ①秘匿されたデータを取り出す.   
  ②取り出したビット情報を解読する

テキストの場合は,1段目では,お互いにコード表を
持つ必要があり,

2段目は,「ニイタカヤマノボレ」のような
もうひとつの暗号解読が必要になるでしょう.
そうでないと,連絡データは長くなり過ぎて
しまうでしょう.

音声や画像データは,埋め込まれていると怪しめば,
コンピュータ処理が出来るでしょうから,
1段目は,以外に簡単に破られそうです.

(今回テーマは完)

                        つづく

«72回目です

2018年9月
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30