————————————————————
■□■　平林良人の『つなげるツボ』Vol.278　■□■　　　　
　―　つなげるツボ動画版はじめました　―　　　　
＊＊＊　内部診断と内部監査21　＊＊＊
————————————————————
前回まで、サポート（支援）分野の情報セキュリティプロセスに
ついてお話しをしてきましたが、今回は同じサポート分野である
会計プロセスについてお話しをします。
会計プロセスはどのような組織にも必ずありますが、普段はあまり
意識しないプロセスです。組織の人が出張したり、備品を購入した
りした時に各種伝票を発行すると思いますが、その伝票インプット
をはじめ、各種お金の処理をするプロセスです。

■□■　会計監査　■□■
ここでは内部診断と内部監査を扱っていますが、世界で最初に
監査が行なわれたのは、会計監査だそうです。監査について私が
聞きかじったお話をします。
監査のことを英語ではご存じのように“audit”といいます。つなげ
るツボの今回一連のトピックス「内部診断と内部監査」を英語で
表現しようとすると、“internal diagnosis and internal audit”と
なります。

このauditの語源はaudioだそうで、監査は「音→聴く」という
のが元々の意味だそうです。そのため、会計監査はもちろん、
監査という行為は「聴くという行為」を意味していると言われて
います。監査においては、「監査員はあまりしゃべらない、一言
聞いた後は相手のしゃべることを注意深く聴く」という教えは、
この話で裏付けられます。

■□■サポート分野‐会計プロセス■□■
会計という業務は、組織の中のあらゆる仕事の中で最も標準化が
進んでいると思います。
標準化されているというこのことは万国共通で、組織の財務諸表
の作り方は国際標準となっています。したがって、内部で診断
したり監査したりするポイントは、この標準を知り、この標準に
沿ってチェックするということになります。
国内では組織の会計の原則が法律（会計法）で定められています。
その原則は「一般に公正妥当と認められる企業会計の慣行に従う
もの」というものです。

■□■　会計一般原則　■□■
企業会計原則には、一般原則、損益計算書原則、貸借対照表原則
の３つがありますが、後者2つは専門的になりますので、一般
原則を知っておればよいでしょう。

1．真実性の原則
「企業会計は、企業の財政状態及び経営成績に関して、真実な報告
を提供するものでなければならない。」というのが真実性の原則です。

2．正規の簿記の原則
「企業会計は、すべての取引につき、正規の簿記の原則に従って、
正確な会計帳簿を作成しなければならない。」というものです。
正規の簿記とは複式簿記のことで、組織は正確に仕訳を記帳し、
総勘定元帳その他の会計帳簿を作成しなければなりません。

3．資本取引と損益取引区別の原則
「資本取引と損益取引とを明瞭に区別し、特に資本剰余金と利益
剰余金とを混同してはならない。」というものです。
例えば、ある入金があったときに、これが資本取引として入金され
たのか、それとも損益取引（売上代金など）として入金されたのか
は厳密に区別しなければなりません。

4．明瞭性の原則
「企業会計は、財務諸表によって、利害関係者に対し必要な会計
事実を明瞭に表示し、企業の状況に関する判断を誤らせないように
しなければならない。」というものです。
会社の財務諸表（決算書）は利害関係者が閲覧しますので、利害
関係者が判断を誤らないように明瞭に表示しなければならないと
いう原則です。

5．継続性の原則
「企業会計は、その処理の原則及び手続を毎期継続して適用し、
みだりにこれを変更してはならない。」というものです。
例えば、固定資産の減価償却方法について、ある期は定率法を
採用し、ある期は定額法を採用するとなると、期間ごとに会計
方針が異なることになり、期間比較することが困難になってし
まいます。

6．保守主義の原則
「企業の財政に不利な影響を及ぼす可能性がある場合には、これ
に備えて適当に健全な会計処理をしなければならない。」というの
が保守主義の原則です。
例えば、ある会社に対する売掛金が貸倒れになる可能性があると
いうときは、実際に確定するのを待たず速やかに損失処理しておく
ことが健全な財政状態を示すこととなります。

7．単一性の原則
「株主総会提出のため、信用目的のため、租税目的のため等種々の
目的のために異なる形式の財務諸表を作成する必要がある場合、
それらの内容は、信頼しうる会計記録に基づいて作成されたもので
あって、政策の考慮のために事実の真実な表示をゆがめてはならない。」
というのが単一性の原則です。当たり前ですが、いわゆる裏帳簿と
いうものは作ってはいけません。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.277　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査20　＊＊＊
————————————————————
「ドコモ口座詐欺」のニュースが、先々週全国を駆け巡りました。
まだ真相は藪の中ですが、犯人が暗証番号をどのように入手したか
についていろいろ推測が行われています。その推測の一つに
275号でお話しした「パスワードクラッカー」があります。
銀行口座にアクセスするには、一般に口座番号とパスワード
が必要になりますが、今回はパスワードを取り上げます。

■□■　パスワードの記憶 ■□■
今まで述べてきたように情報セキュリティ対策の前提には、総て
の場面において他人に知られないパスワード管理が大切です。
パスワードは、その作成だけでなく、他人に知られないようかつ
自分でも忘れないようにしなければなりません。この他人に知ら
れないようかつ自分でも忘れないようにすることは結構難しい
ことです。例えば、パスワードを忘れないようにメモを作成した
場合は、それを肌身離さず持ち歩くことは却って無くす危険性を
増やします。しかもパスワードは世の中いろいろなところで必要
とされる時代になりました。しかし、覚えておくためにパスワード
を複数のサービスで使い回すことは推奨できません。

■□■　パスワードの診断ポイント ■□■
パスワードは複数のサービスで使わないようにします。ある
サービスから流出したアカウント情報を使って、他のサービスへ
の不正ログインを試す攻撃の手口が知られています。もし、重要
情報を利用しているサービスで、他のサービスからの使い回しの
パスワードを利用していた場合、他のサービスから何らかの原因
でパスワードが漏洩してしまえば、第三者に重要情報にアクセス
されてしまう可能性があります。
利用するサービスによっては、パスワードを定期的に変更する
ことを求められることもありますが、実際にパスワードを破られ、
情報が流出した事実がなければ、パスワードを変更する必要は
ありません。むしろ定期的な変更をすることで、パスワードの
作り方がパターン化し簡単なものになることや、数回前に使った
パスワードをまた使うことの方が問題となります。定期的に変更
するよりも、機器やサービスの間で同じパスワードを使わない、
それぞれ固有な頑強なパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、
2017年に、米国国立標準技術研究所（NIST）からガイドライン
として、サービスを提供する側がパスワードの定期的な変更を
要求すべきではない旨が示されています※１。
※１　NIST SP800-63B（電子的認証に関するガイドライン）
また、日本においても、内閣サイバーセキュリティセンター
（NISC）から、パスワードを定期変更する必要はなく、パスワード
流出時にだけ速やかに変更する旨が示されています※２。

※２ https://www.nisc.go.jp/security-site/handbook/index.html

■□■　パスワードの活用 ■□■
現在の一般的なOSのスクリーンセーバーでは、元の操作画面に
復帰する際にパスワードの入力を促す設定を行うことができます。
このように設定することで、離席中に不正な利用者がそのパソコン
を操作することを防ぐことができるようになります。ただし、
スクリーンセーバーが起動するには一定の時間が必要です。

さらに情報セキュリティを強化するためには、離席する際にログア
ウトを行い、パスワードを入力してログインしなければパソコンを
操作できないようにするなど、利用者が自発的にロックする方法が
有効です。

■□■　アフターコロナの世界 ■□■
これまで5回にわたって情報セキュリティの診断について話して
きました。このコロナ禍の中で多くの組織が売り上げの減少、欠損
に苦しんでいますが、その様子を横目に見ながら業績を伸ばしている
企業群があります。言わずと知れた情報関係の企業で、その代表が
GAFAと呼ばれるグーグル、アップル、フェイスブック、アマゾンです。
アフターコロナの世界を語るのにテレワーク、テル会議、リモート
イベント、リモート講義などへの重要性について触れない人はいない
でしょう。これらの世界に必須となるのがコンピュータなどの情報
機器、それらを操る情報リテラシー、そして情報セキュリティです。
今後の世界に対応するために「情報セキュリティポリシー」を作って
おきましょう。

■□■　情報セキュリティポリシー ■□■
情報セキュリティポリシーとは、組織の情報漏洩対策の基本的な
考え、対応策をいいます。組織の業態、組織規模、目的、予算、
期間などによって大きく異なります。ここでは、代表的な策定
手順を紹介します。
1.策定の組織決定（責任者、担当者の選出）
2.目的、情報資産の対象範囲、期間、役割分担などの決定
3.策定スケジュールの決定
4.基本方針の策定
5.情報資産の洗い出し、リスク分析とその対策
6.対策基準と実施内容の策定

■□■　情報セキュリティポリシー診断のポイント ■□■
効果的な情報セキュリティポリシーを策定するには、以下の点に
留意する必要があります。すなわち、情報セキュリティポリシー
診断のポイントとなるものを以下に示します。
・守るべき情報資産を明確にする。
・対象者の範囲を明確にする。
・できる限り具体的に記述する。
・社内の状況を踏まえて、実現可能な内容にする。
・運用や維持体制を考慮しながら策定する。
・形骸化を避けるために、違反時の罰則を明記する。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.276　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査19　＊＊＊
————————————————————
情報セキュリティについて内部診断の話をしていますが、
「ドコモ口座詐欺」のニュースが先週駆け巡りました。
まだ真相は藪の中ですが、犯人が暗証番号をどのように入手
したかについていろいろ推測が行われています。その推測の
一つに先週お話ししたパスワードクラッカー※があります。
前回に引き続き情報セキュリティプロセスの内部診断に
ついてお話しします。

※ 「パスワードクラッカー」は機械的にパスワードを推測
する機能を持ったツールです（詳しくは275号）。

■□■　テレワーク―在宅勤務■□■
テレワークは、ネットワークを通じて企業内サーバ（又は
クラウド）から必要データを在宅勤務職員が呼び出し、クラ
イアント端末（最低限の機能に絞られている）で作業を行う
という業務形態です。

新型コロナウイルスの蔓延により、テレワークが推奨されて
いますので、サーバの重要性が高まっています。テレワーク
のような業務形態は、職員の端末には重要な情報は保存され
ない、ソフトウェアのメンテナンスは情報管理担当者により
一元的に行われる、という点から情報セキュリティ対策とし
て有効なものと言えます。ただ、外部に持ち出した端末の
盗難や紛失への備えは大切ですし、ファイルの保護を行うこと、
ファイルが失われた場合に備え、重要情報のバックアップは
随時行うことが必須です。

■□■　社内サーバの診断ポイント ■□■
組織によってはクラウドサービスを使わずに、組織内に所有
のサーバで業務推進しているところも多くあります。特に
企業競争力に直接関係するような、重要機密情報は社内
サーバに蓄積している組織が多いようです。
その場合、社内サーバの情報セキュリティ対策は、今まで述
べてきた要点と比べて、なお重要度の高いものと言えます。
その社内サーバの情報セキュリティ対策のポイントは次の
ようなものです。
１．サーバは、使用後に常にログアウトしておくように
ルールを徹底する。
２．停電対策として、サーバには無停電電源装置UPSを
設置する。電気を供給できる時間はバッテリによって
異なり、数分から数十分程度であるが、無停電電源装置
の設定によって一定時間電気の供給が停止した場合には、
サーバを自動的にシャットダウンすることができる。
３．サーバに障害が発生したときのために、定期的にバック
アップをとっておくことが大切。社内の基幹サーバなど
のように、サーバの停止が業務に大きな影響を与える
場合には、あらかじめ同じソフトウェアをインストール
した交換用のサーバを用意しておくこともよい。
４．容易に推測されにくいログインパスワードを設定して、
他人には利用できないようにする。
５．ハードディスクを暗号化して利用する。

■□■　スマートフォンの診断ポイント ■□■
スマートフォンを業務で利用する機会も増えています。
スマートフォンは携帯電話と比較すると、紛失・盗難の場合
の影響が格段に大きくなります。常に持ち歩く、どこかに
置いたまま放置しないなど、紛失・盗難のリスクを最小限に
する対策が必要です。また、スマートフォンでは、紛失した
場合に備え、GPS機能を使ってスマートフォンの位置を
検索する、遠隔操作で端末のロックや内部データの消去など
を行うことのできる技術が、セキュリティ対策ソフトや、
企業向けの携帯情報端末管理システムなどにより提供されて
います。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.275　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査18　＊＊＊
————————————————————
新型コロナウイルスはいったんコントロールされたかに見えま
したが、また感染が広がり出しました。3月からのコロナ禍の
経緯をみますとコロナが終息するには相当後ろの世界になりそう
です。もしかするとインフルエンザと同様に生涯付き合っていか
なければならないウイルスかもしれません。
前回に引き続き情報セキュリティプロセスの内部診断について
お話しします。

■□■　ウイルスに感染する経路 ■□■
ウイルスの感染経路として最も多いものが電子メールの添付
ファイルです。電子メールに添付されてきたファイルをよく
確認せずに開くと、それが悪意のあるプログラムであった
場合はウイルスに感染してしまいます。

次に多いのがUSBメモリからの感染です。多くのコンピュータ
では、USBメモリをコンピュータに差し込んだだけで自動的に
プログラムが実行される仕組みが用意されています。この仕組
みを悪用して、コンピュータを感染させるウイルスがあります。
このようなウイルスの中には、感染したコンピュータに後から
差し込まれた別のUSBメモリに感染するなどの方法で、被害を
拡大させるものまであります。

高度なウイルスになると自己増殖するウイルスがあります。
インターネットやLANを使用して、他の多くのコンピュータに
感染するワーム型と呼ばれるウイルスです。ワーム型は、自分
自身の複製を電子メールの添付ファイルとして送信したり、
ネットワークドライブに保存されているファイルに感染したり
するなど、利用者の操作を介さずに自動的に増殖していきます。

■□■　情報漏洩（じょうほうろうえい） ■□■
ウイルスに感染することで一番被害が大きいものは、個人情報
の漏洩です。組織は個人情報保護法により顧客などの情報は個人
が特定されないように保護する責任を負っています。もし、
保有している個人情報が漏洩すると組織の被害は莫大なものに
なります。 漏洩した情報がインターネットに掲載され、公開
されてしまった場合は、その情報をネットワーク上から完全に
消去することは非常に困難です。組織の信用が失われ、財務的
にも場合によっては億を超える金銭的な賠償をせざるを得なく
なります。

■□■　インターネットの時代 ■□■
インターネットでは、通信している相手が本人かどうかを確認
する手段として認証と呼ばれる方法がとられます。
インターネットの認証は、利用者を識別する情報と、それを確認
する情報を組み合わせることで行われます。利用者を識別する
情報はIDと呼ばれサービス提供者が一人ひとりの利用者を区別
する符号です。IDと組み合わせて確認する情報がパスワードです。
パスワードは、IDを割り振られた本人だけが知る情報で、本人
であることを確認するための符号です。他人に自分の登録した
アカウントを不正に利用されないようにするには、適切なパス
ワードの設定と管理が大切です。

■□■　パスワードの内部診断 ■□■
情報セキュリティ内部診断の要点の一つにパスワードを挙げたい
と思います。 安全なパスワードとは、他人に推測されにくく
自動推定ツール※などで簡単に割り出されない次のようなものを
言います。
(1) 名前など個人情報は使用しない。
(2) 英単語などをそのまま使用しない。
(3) アルファベット（大文字、小文字）と数字が混在している。
(4) 10桁以上の長さの文字列である。
(5) アルファベットの並び方が乱数的である。

最近では、ノートPCなどを外部に持ち出すなどの機会が増えた
ため、利用者のPCが直接の不正アクセスの対象になっています。
アカウント情報（ID、パスワードなど）の管理の重要性は飛躍的
に高まっています。

※ 自動推定ツール　パスワード自動推定ツールは、「パスワード
クラッカー」と呼ばれ機械的にパスワードを推測する機能を持って
います。パスワードでよく使われる単語が辞書として登録されており、
この辞書に載っている単語や簡単な英数字の繰り返し（123やabc、
aaaなど）を自動的に組み合わせることでパスワードを探し出そうと
します。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.274　■□■　　　　
　―　つなげるツボ動画版はじめました　―　　　　
＊＊＊　内部診断と内部監査17　＊＊＊
————————————————————
前号Vol.273は「閑話休題」と称して発信しましたが、表題を
「ちょっと横道に」と訂正させていただきます。「閑話休題」を
反対の意味に取り違えていたことをお詫びいたします。
前々回Vol.272に引き続き情報キュリティプロセスの内部診断に
ついてお話しをしたいと思います。

■□■　情報セキュリティ対策 ■□■
情報通信技術の進歩は速く、企業・組織の情報資産を脅かす
新しい脅威が次々に登場しています。情報管理責任者は、これら
の脅威について情報を収集し、必要に応じて経営者に報告し
継続的に組織全体の情報セキュリティ体制を見直していく必要が
あります。また、情報システムの管理・運用や、社員に対する
教育・監督を適切に行う必要があります。
前回組織全体の情報セキュリティ診断項目の例を挙げましたが、
もう一歩踏み込んだ診断項目を考えたいと思います。

■□■　情報管理責任者の内部診断 ■□■
組織の情報管理責任者は、日常から情報セキュリティ対策を
行っていると思いますが、この対策がそのまま内部診断項目の
例になります。 ここにその例を挙げますが、前回の診断項目と
一部重複します。

診断項目の例は、技術的診断項目と管理的診断項目に分かれます。
＜技術的診断項目＞
・ソフトウェアの更新
・ウイルス対策
・ネットワークの防御
・不正アクセスによる被害と対策
・外出先で業務用端末を利用する場合の対策
・標的型攻撃への対策
・安全な無線LAN利用の管理
・ユーザ権限とユーザ認証の管理
・バックアップの推奨
・ログの適切な取得と保管
・サポート期間が終了するソフトウェア

＜管理的診断項目＞
・クラウドサービスを利用する際の情報セキュリティ対策
・SNSを利用する際の情報セキュリティ対策
・社員の不正による被害と対策
・廃棄するパソコンやメディアからの情報漏洩
・持ち運び可能な記憶媒体や機器を利用する上での危険性
　と対策
・サーバの設置と管理
・機器障害への対策

■□■　クラウドサービスの情報セキュリティ ■□■
最近は、企業が情報資産を管理する手段としてクラウドサービス
が急速に普及しています。また、個人が利用するインターネット
上のさまざまなサービスが、意識するかどうかにかかわらず、
クラウドサービス上で稼働するようになっています。
クラウドサービスを利用する場合には、データがクラウドサー
ビス事業者側のサーバに保管されていて自分たちの手元にない
ことを理解しておかなければなりません。
インターネットを介してデータなどがやりとりされることから、
十分な情報セキュリティ対策が施されていることが極めて重要です。
専門的なことなのでエキスパートに任せがちになりますが
診断においては、まずはクラウドサービスの情報セキュリティを
確認することをお奨めします。
クラウドサービスを利用することで情報セキュリティの管理から
解き放されたと思いがちです。クラウドサービスの契約をよく
理解すること、そして自社の責任範囲などは確認する必要がある
と思います。

■□■　インターネットの情報セキュリティ ■□■
現在、利用者側が最低限の環境であるPC、携帯情報端末、
インターネット接続環境などを用意すればどの端末からでも、
さまざまなサービスをインターネットで利用することができます。
しかし、インターネットの利用はいろいろな脅威を伴います。
インターネットを通じて、ウイルスに感染してサーバやシステムが
停止したり、ホームページが改ざんされたり、重要情報が盗みとら
れたりします。顧客情報などが漏洩（ろうえい）してしまった場合は、
その企業や組織の信用が大きく傷つけられてしまうのは言うまでも
ないことですが、過去には損害賠償にまで発展した事例もあります。