————————————————————
■□■　平林良人の『つなげるツボ』Vol.279　■□■　　　　
＊＊＊　総務プロセス-内部診断と内部監査22　＊＊＊
————————————————————
新型コロナウイルス終息後の世界について、予測も含めてこれ
からの変化を注視していく必要があります。そうした変化に備える
意味でもこの機会に自組織の内部診断（内部監査）を行ったらどう
でしょうか。前回は会計プロセスについてお話をしましたが、今回
は総務プロセスについてお話しします。

■□■　総務プロセス　■□■
どこのプロセスにも属さないで、組織に必要なことを遂行するのが、
総務プロセスであるとよく言われます。
管理部門の代表的な仕事が「企画」、「人事」、「経理」そして最近
では「情報」と呼ばれるものですが、組織の規模によってはこれら
すべての仕事を総務部門で行っている場合もあります。
総務プロセスに属しそうな仕事は、一般に以下のようなものが考え
られます。
・社会保険業務
・入退社管理
・福利厚生
・健康診断
・労働安全衛生
・防災訓練
・環境保全
・ホームページ管理
・秘書業務
・株主総会管理
・株式管理
・来客対応
・契約書管理
・社印管理
・慶弔業務
・備品、消耗品管理
・会社行事、イベント業務
・社有車管理
・営繕
・設備保全
・社内・社外広報
・官公庁との渉外
・地域との渉外
・社会貢献活動
・業務委託管理
このように、ざーっと考えただけでいろいろな仕事が浮かんできます。
内部診断の最初のポイントは上に列挙したような仕事が組織に必要で
あるか、列挙した以外の仕事で必要なものはどんな仕事か、必要である
と判断した仕事はどの部門で行われているのか、の現状確認です。

■□■　仕事と部門　■□■
ここで、仕事と部門の関係について考えてみたいと思います。仕事と
部門の関係は、目的と手段に置き換えることが出来ます。即ち仕事には
必ず目的があります。何のためにその仕事をやるのかを忘れていては
効果的な仕事をしたことになりません。効果的な仕事をするためには
目的を忘れてはなりませんが、仕事を効果的に、効率的に行うには
いろいろな工夫が必要です。この工夫の一つに仕事の専門性ごとに
人々のグループ（部門）を作るというものがあります。仕事には専門
性が必要になりますが、この専門性は組織の規模が大きくなればなる
程、幅と深さが大きくなっていきます。その結果、仕事の専門性ごと
にグループを作ることが仕事の目的を達成させる上で得策であるとい
う考えが出てきます。

いままで仕事と呼んできましたが、ISO ではプロセスと呼んでいます。
附属書SLではプロセスを「インプットをアウトプットに変換する、
相互に関連する又は相互に作用する一連の活動」と定義をしています。

■□■　仕事へのインプットとアウトプット　■□■
前々節で例として上げた多くの仕事の最初の社会保険業務につ
いてインプットとアウトプットを考えてみます。
【社会保険業務】へのインプット
　・該当する従業員の属性
　・健康保険、雇用保険の制度
　・会社の社会保険の栞
【社会保険業務】からのアウトプット
　・社会保険事務所からの通知
　・従業員健康保険証
　・社会保険手続き記録

一つ一つの仕事（上の例で25種類）にそれぞれ固有のインプットと
アウトプットがありますが、それぞれのインプットとアウトプットに
ついて次の観点から内部診断をします。
　１．インプットとアウトプットの明確化
　２．インプットとアウトプットの保管
　３．インプットとアウトプットの個人情報管理
　４．インプットとアウトプットの保管期限と廃却管理　など

■□■　仕事の管理状態　■□■
総務プロセスの仕事の種類は大変に多いので、担当者が変わる可能性
が高いと思います。そこで、内部診断のポイントとして担当者交代
管理が大切になってきます。
前項のインプットとアウトプットを含めて、仕事を適切に後任者に
引き継いでいけるかの視点で内部診断をします。
その時の診断の対象は次のようなものになります。
　・分担表
　・手順書
　・記録
　・管理者　など

————————————————————
■□■　平林良人の『つなげるツボ』Vol.278　■□■　　　　
　―　つなげるツボ動画版はじめました　―　　　　
＊＊＊　内部診断と内部監査21　＊＊＊
————————————————————
前回まで、サポート（支援）分野の情報セキュリティプロセスに
ついてお話しをしてきましたが、今回は同じサポート分野である
会計プロセスについてお話しをします。
会計プロセスはどのような組織にも必ずありますが、普段はあまり
意識しないプロセスです。組織の人が出張したり、備品を購入した
りした時に各種伝票を発行すると思いますが、その伝票インプット
をはじめ、各種お金の処理をするプロセスです。

■□■　会計監査　■□■
ここでは内部診断と内部監査を扱っていますが、世界で最初に
監査が行なわれたのは、会計監査だそうです。監査について私が
聞きかじったお話をします。
監査のことを英語ではご存じのように“audit”といいます。つなげ
るツボの今回一連のトピックス「内部診断と内部監査」を英語で
表現しようとすると、“internal diagnosis and internal audit”と
なります。

このauditの語源はaudioだそうで、監査は「音→聴く」という
のが元々の意味だそうです。そのため、会計監査はもちろん、
監査という行為は「聴くという行為」を意味していると言われて
います。監査においては、「監査員はあまりしゃべらない、一言
聞いた後は相手のしゃべることを注意深く聴く」という教えは、
この話で裏付けられます。

■□■サポート分野‐会計プロセス■□■
会計という業務は、組織の中のあらゆる仕事の中で最も標準化が
進んでいると思います。
標準化されているというこのことは万国共通で、組織の財務諸表
の作り方は国際標準となっています。したがって、内部で診断
したり監査したりするポイントは、この標準を知り、この標準に
沿ってチェックするということになります。
国内では組織の会計の原則が法律（会計法）で定められています。
その原則は「一般に公正妥当と認められる企業会計の慣行に従う
もの」というものです。

■□■　会計一般原則　■□■
企業会計原則には、一般原則、損益計算書原則、貸借対照表原則
の３つがありますが、後者2つは専門的になりますので、一般
原則を知っておればよいでしょう。

1．真実性の原則
「企業会計は、企業の財政状態及び経営成績に関して、真実な報告
を提供するものでなければならない。」というのが真実性の原則です。

2．正規の簿記の原則
「企業会計は、すべての取引につき、正規の簿記の原則に従って、
正確な会計帳簿を作成しなければならない。」というものです。
正規の簿記とは複式簿記のことで、組織は正確に仕訳を記帳し、
総勘定元帳その他の会計帳簿を作成しなければなりません。

3．資本取引と損益取引区別の原則
「資本取引と損益取引とを明瞭に区別し、特に資本剰余金と利益
剰余金とを混同してはならない。」というものです。
例えば、ある入金があったときに、これが資本取引として入金され
たのか、それとも損益取引（売上代金など）として入金されたのか
は厳密に区別しなければなりません。

4．明瞭性の原則
「企業会計は、財務諸表によって、利害関係者に対し必要な会計
事実を明瞭に表示し、企業の状況に関する判断を誤らせないように
しなければならない。」というものです。
会社の財務諸表（決算書）は利害関係者が閲覧しますので、利害
関係者が判断を誤らないように明瞭に表示しなければならないと
いう原則です。

5．継続性の原則
「企業会計は、その処理の原則及び手続を毎期継続して適用し、
みだりにこれを変更してはならない。」というものです。
例えば、固定資産の減価償却方法について、ある期は定率法を
採用し、ある期は定額法を採用するとなると、期間ごとに会計
方針が異なることになり、期間比較することが困難になってし
まいます。

6．保守主義の原則
「企業の財政に不利な影響を及ぼす可能性がある場合には、これ
に備えて適当に健全な会計処理をしなければならない。」というの
が保守主義の原則です。
例えば、ある会社に対する売掛金が貸倒れになる可能性があると
いうときは、実際に確定するのを待たず速やかに損失処理しておく
ことが健全な財政状態を示すこととなります。

7．単一性の原則
「株主総会提出のため、信用目的のため、租税目的のため等種々の
目的のために異なる形式の財務諸表を作成する必要がある場合、
それらの内容は、信頼しうる会計記録に基づいて作成されたもので
あって、政策の考慮のために事実の真実な表示をゆがめてはならない。」
というのが単一性の原則です。当たり前ですが、いわゆる裏帳簿と
いうものは作ってはいけません。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.277　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査20　＊＊＊
————————————————————
「ドコモ口座詐欺」のニュースが、先々週全国を駆け巡りました。
まだ真相は藪の中ですが、犯人が暗証番号をどのように入手したか
についていろいろ推測が行われています。その推測の一つに
275号でお話しした「パスワードクラッカー」があります。
銀行口座にアクセスするには、一般に口座番号とパスワード
が必要になりますが、今回はパスワードを取り上げます。

■□■　パスワードの記憶 ■□■
今まで述べてきたように情報セキュリティ対策の前提には、総て
の場面において他人に知られないパスワード管理が大切です。
パスワードは、その作成だけでなく、他人に知られないようかつ
自分でも忘れないようにしなければなりません。この他人に知ら
れないようかつ自分でも忘れないようにすることは結構難しい
ことです。例えば、パスワードを忘れないようにメモを作成した
場合は、それを肌身離さず持ち歩くことは却って無くす危険性を
増やします。しかもパスワードは世の中いろいろなところで必要
とされる時代になりました。しかし、覚えておくためにパスワード
を複数のサービスで使い回すことは推奨できません。

■□■　パスワードの診断ポイント ■□■
パスワードは複数のサービスで使わないようにします。ある
サービスから流出したアカウント情報を使って、他のサービスへ
の不正ログインを試す攻撃の手口が知られています。もし、重要
情報を利用しているサービスで、他のサービスからの使い回しの
パスワードを利用していた場合、他のサービスから何らかの原因
でパスワードが漏洩してしまえば、第三者に重要情報にアクセス
されてしまう可能性があります。
利用するサービスによっては、パスワードを定期的に変更する
ことを求められることもありますが、実際にパスワードを破られ、
情報が流出した事実がなければ、パスワードを変更する必要は
ありません。むしろ定期的な変更をすることで、パスワードの
作り方がパターン化し簡単なものになることや、数回前に使った
パスワードをまた使うことの方が問題となります。定期的に変更
するよりも、機器やサービスの間で同じパスワードを使わない、
それぞれ固有な頑強なパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、
2017年に、米国国立標準技術研究所（NIST）からガイドライン
として、サービスを提供する側がパスワードの定期的な変更を
要求すべきではない旨が示されています※１。
※１　NIST SP800-63B（電子的認証に関するガイドライン）
また、日本においても、内閣サイバーセキュリティセンター
（NISC）から、パスワードを定期変更する必要はなく、パスワード
流出時にだけ速やかに変更する旨が示されています※２。

※２ https://www.nisc.go.jp/security-site/handbook/index.html

■□■　パスワードの活用 ■□■
現在の一般的なOSのスクリーンセーバーでは、元の操作画面に
復帰する際にパスワードの入力を促す設定を行うことができます。
このように設定することで、離席中に不正な利用者がそのパソコン
を操作することを防ぐことができるようになります。ただし、
スクリーンセーバーが起動するには一定の時間が必要です。

さらに情報セキュリティを強化するためには、離席する際にログア
ウトを行い、パスワードを入力してログインしなければパソコンを
操作できないようにするなど、利用者が自発的にロックする方法が
有効です。

■□■　アフターコロナの世界 ■□■
これまで5回にわたって情報セキュリティの診断について話して
きました。このコロナ禍の中で多くの組織が売り上げの減少、欠損
に苦しんでいますが、その様子を横目に見ながら業績を伸ばしている
企業群があります。言わずと知れた情報関係の企業で、その代表が
GAFAと呼ばれるグーグル、アップル、フェイスブック、アマゾンです。
アフターコロナの世界を語るのにテレワーク、テル会議、リモート
イベント、リモート講義などへの重要性について触れない人はいない
でしょう。これらの世界に必須となるのがコンピュータなどの情報
機器、それらを操る情報リテラシー、そして情報セキュリティです。
今後の世界に対応するために「情報セキュリティポリシー」を作って
おきましょう。

■□■　情報セキュリティポリシー ■□■
情報セキュリティポリシーとは、組織の情報漏洩対策の基本的な
考え、対応策をいいます。組織の業態、組織規模、目的、予算、
期間などによって大きく異なります。ここでは、代表的な策定
手順を紹介します。
1.策定の組織決定（責任者、担当者の選出）
2.目的、情報資産の対象範囲、期間、役割分担などの決定
3.策定スケジュールの決定
4.基本方針の策定
5.情報資産の洗い出し、リスク分析とその対策
6.対策基準と実施内容の策定

■□■　情報セキュリティポリシー診断のポイント ■□■
効果的な情報セキュリティポリシーを策定するには、以下の点に
留意する必要があります。すなわち、情報セキュリティポリシー
診断のポイントとなるものを以下に示します。
・守るべき情報資産を明確にする。
・対象者の範囲を明確にする。
・できる限り具体的に記述する。
・社内の状況を踏まえて、実現可能な内容にする。
・運用や維持体制を考慮しながら策定する。
・形骸化を避けるために、違反時の罰則を明記する。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.276　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査19　＊＊＊
————————————————————
情報セキュリティについて内部診断の話をしていますが、
「ドコモ口座詐欺」のニュースが先週駆け巡りました。
まだ真相は藪の中ですが、犯人が暗証番号をどのように入手
したかについていろいろ推測が行われています。その推測の
一つに先週お話ししたパスワードクラッカー※があります。
前回に引き続き情報セキュリティプロセスの内部診断に
ついてお話しします。

※ 「パスワードクラッカー」は機械的にパスワードを推測
する機能を持ったツールです（詳しくは275号）。

■□■　テレワーク―在宅勤務■□■
テレワークは、ネットワークを通じて企業内サーバ（又は
クラウド）から必要データを在宅勤務職員が呼び出し、クラ
イアント端末（最低限の機能に絞られている）で作業を行う
という業務形態です。

新型コロナウイルスの蔓延により、テレワークが推奨されて
いますので、サーバの重要性が高まっています。テレワーク
のような業務形態は、職員の端末には重要な情報は保存され
ない、ソフトウェアのメンテナンスは情報管理担当者により
一元的に行われる、という点から情報セキュリティ対策とし
て有効なものと言えます。ただ、外部に持ち出した端末の
盗難や紛失への備えは大切ですし、ファイルの保護を行うこと、
ファイルが失われた場合に備え、重要情報のバックアップは
随時行うことが必須です。

■□■　社内サーバの診断ポイント ■□■
組織によってはクラウドサービスを使わずに、組織内に所有
のサーバで業務推進しているところも多くあります。特に
企業競争力に直接関係するような、重要機密情報は社内
サーバに蓄積している組織が多いようです。
その場合、社内サーバの情報セキュリティ対策は、今まで述
べてきた要点と比べて、なお重要度の高いものと言えます。
その社内サーバの情報セキュリティ対策のポイントは次の
ようなものです。
１．サーバは、使用後に常にログアウトしておくように
ルールを徹底する。
２．停電対策として、サーバには無停電電源装置UPSを
設置する。電気を供給できる時間はバッテリによって
異なり、数分から数十分程度であるが、無停電電源装置
の設定によって一定時間電気の供給が停止した場合には、
サーバを自動的にシャットダウンすることができる。
３．サーバに障害が発生したときのために、定期的にバック
アップをとっておくことが大切。社内の基幹サーバなど
のように、サーバの停止が業務に大きな影響を与える
場合には、あらかじめ同じソフトウェアをインストール
した交換用のサーバを用意しておくこともよい。
４．容易に推測されにくいログインパスワードを設定して、
他人には利用できないようにする。
５．ハードディスクを暗号化して利用する。

■□■　スマートフォンの診断ポイント ■□■
スマートフォンを業務で利用する機会も増えています。
スマートフォンは携帯電話と比較すると、紛失・盗難の場合
の影響が格段に大きくなります。常に持ち歩く、どこかに
置いたまま放置しないなど、紛失・盗難のリスクを最小限に
する対策が必要です。また、スマートフォンでは、紛失した
場合に備え、GPS機能を使ってスマートフォンの位置を
検索する、遠隔操作で端末のロックや内部データの消去など
を行うことのできる技術が、セキュリティ対策ソフトや、
企業向けの携帯情報端末管理システムなどにより提供されて
います。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.275　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査18　＊＊＊
————————————————————
新型コロナウイルスはいったんコントロールされたかに見えま
したが、また感染が広がり出しました。3月からのコロナ禍の
経緯をみますとコロナが終息するには相当後ろの世界になりそう
です。もしかするとインフルエンザと同様に生涯付き合っていか
なければならないウイルスかもしれません。
前回に引き続き情報セキュリティプロセスの内部診断について
お話しします。

■□■　ウイルスに感染する経路 ■□■
ウイルスの感染経路として最も多いものが電子メールの添付
ファイルです。電子メールに添付されてきたファイルをよく
確認せずに開くと、それが悪意のあるプログラムであった
場合はウイルスに感染してしまいます。

次に多いのがUSBメモリからの感染です。多くのコンピュータ
では、USBメモリをコンピュータに差し込んだだけで自動的に
プログラムが実行される仕組みが用意されています。この仕組
みを悪用して、コンピュータを感染させるウイルスがあります。
このようなウイルスの中には、感染したコンピュータに後から
差し込まれた別のUSBメモリに感染するなどの方法で、被害を
拡大させるものまであります。

高度なウイルスになると自己増殖するウイルスがあります。
インターネットやLANを使用して、他の多くのコンピュータに
感染するワーム型と呼ばれるウイルスです。ワーム型は、自分
自身の複製を電子メールの添付ファイルとして送信したり、
ネットワークドライブに保存されているファイルに感染したり
するなど、利用者の操作を介さずに自動的に増殖していきます。

■□■　情報漏洩（じょうほうろうえい） ■□■
ウイルスに感染することで一番被害が大きいものは、個人情報
の漏洩です。組織は個人情報保護法により顧客などの情報は個人
が特定されないように保護する責任を負っています。もし、
保有している個人情報が漏洩すると組織の被害は莫大なものに
なります。 漏洩した情報がインターネットに掲載され、公開
されてしまった場合は、その情報をネットワーク上から完全に
消去することは非常に困難です。組織の信用が失われ、財務的
にも場合によっては億を超える金銭的な賠償をせざるを得なく
なります。

■□■　インターネットの時代 ■□■
インターネットでは、通信している相手が本人かどうかを確認
する手段として認証と呼ばれる方法がとられます。
インターネットの認証は、利用者を識別する情報と、それを確認
する情報を組み合わせることで行われます。利用者を識別する
情報はIDと呼ばれサービス提供者が一人ひとりの利用者を区別
する符号です。IDと組み合わせて確認する情報がパスワードです。
パスワードは、IDを割り振られた本人だけが知る情報で、本人
であることを確認するための符号です。他人に自分の登録した
アカウントを不正に利用されないようにするには、適切なパス
ワードの設定と管理が大切です。

■□■　パスワードの内部診断 ■□■
情報セキュリティ内部診断の要点の一つにパスワードを挙げたい
と思います。 安全なパスワードとは、他人に推測されにくく
自動推定ツール※などで簡単に割り出されない次のようなものを
言います。
(1) 名前など個人情報は使用しない。
(2) 英単語などをそのまま使用しない。
(3) アルファベット（大文字、小文字）と数字が混在している。
(4) 10桁以上の長さの文字列である。
(5) アルファベットの並び方が乱数的である。

最近では、ノートPCなどを外部に持ち出すなどの機会が増えた
ため、利用者のPCが直接の不正アクセスの対象になっています。
アカウント情報（ID、パスワードなど）の管理の重要性は飛躍的
に高まっています。

※ 自動推定ツール　パスワード自動推定ツールは、「パスワード
クラッカー」と呼ばれ機械的にパスワードを推測する機能を持って
います。パスワードでよく使われる単語が辞書として登録されており、
この辞書に載っている単語や簡単な英数字の繰り返し（123やabc、
aaaなど）を自動的に組み合わせることでパスワードを探し出そうと
します。