人知らずして

第三者的な人間が利害関係のある2者に対して仲裁をする。連想するのは。
天秤の上に2人を乗せてどっちが重いかなぁと、もう一方に持った法規を元に判断するイメージ。
ゼリィを均等に分けてあげよう、と仲裁した狼が結局ゼリィを平らげてしまうという何かの童話のイメージ。

もしくは、ひょうきん族のエンディングでキリストをパロディした男がバツを手で出すと水が振ってくるようなイメージ。ん？彼は単にマルバツ出して評価してただけでないか。

昨今の第三者的独立的な存在の典型的で代表的な存在は法・司法になる。
この法の第三者的な立場である権威の根源について歴史をさかのぼれば、各文化圏によって異なる。詳しくは橋爪先生の「人間にとって法とは何か」あたりを参照していただくことにして。一方では神が裁く、というような絶対的な存在をよりどころに仲裁を行う(んまぁ、実際に仲裁するのは人間なんだけど)例がある。一方で、日本戦国時代では「喧嘩両成敗」といった、その時代の権力者が「まぁ、おまいらオレのショバでもめんなや。」と相対的に強力な立場が仲裁する例がある。
一方で、利害関係が対立する組織間の齟齬を生めるために偶発的もしくは恣意的に生まれるものもいる。
個人的に偶発的に生まれれた例がメディアで、恣意的に生まれたのは監査(とくに会計監査)だとおもうんだけど。メディアは誕生が偶発的というか、利害関係の中で語られることはないが、いつの間にか仲裁的な立場を持ちしかも独善的になっている気がするが、それはまぁ、おいといて。会計監査というのは「おい、お前オレの代わりに代弁してうちの決算が正しいって証明してよ」とか、「ねぇ、私たちの代わりにあの会社の決算が本当に正しいか見てくんない？」という、利害関係者のうち誰かが必要としてそれを依頼する(恣意的に存在を求める)からこそ制度として成り立っている。

法やメディアの必要性ってどこから出てくるのか。これを紐解くと、もしかしたらシステム監査の必要性って今後高まるのか否かを判断する材料になるのかもしれない。

司法はその天秤にかけたいと願う人があってこそ必要となる。刑事訴訟であれば国家の平安を守る警察であるし、民事であれば利害関係者となる。まぁ、つまり「法律」だけがあってはなんら「制度」としては役に立たない。

監査も同じで、監査の基準があっただけでは無駄だ。誰かがマルバツ出す青白い頼りないパロった男の前に出してほしいと願う人がいないと、無駄だ。さて。誰がそれを願うのか。

情報処理技術者システム監査技術者資格に受かったのは2006年春。
その2年後監査法人に転職し、システム監査に携わっている自分が、勉強法や試験対策(特に論文対策)、システム監査の資格が転職に有利だったか、などについて書き残しておこうと思う。

●受験動機
ちょうど東証で障害が続いたころで、今後システム障害を減らすための社会的な監査の仕組みができ、システム監査人の需要が増えそうだなぁ、と漠然と思ったのがきっかけ。

●勉強期間
1月頭から初めて、仕事の忙しかった3,4月を除く1,2,5月の3ヶ月間勉強。
毎朝会社に行く前に喫茶店で1～2時間勉強してました。土日もたまに。

●勉強の計画
勉強の指針は後で紹介する「EXAM PRESS」の本を参考にした。

1.インプット期間
ひとつの教科書に従ってとにかくインプット。読んでノートをひたすら書いて、一通りシステム監査ってどんなものなのかをざっとつかむ期間。

2.基礎演習期間
午前のシステム監査専門分野の問題や午後Ⅰの問題を通じて、インプットがしっかりできているか確認。

3.論文対策期間
午後Ⅱの論文のネタ仕込み。
5,6テーマにあわせて自分ならどんな論文を書くのかをざっと書いた。

4.直前対策期間
午前の復習。本番の時間を想定した午後Ⅱの演習など。

●使用教材

inputについてはこれ一冊だった。

論文対策のために。

演習はこれ。

●具体的な試験対策
1.午後Ⅰ対策
とにかく問題を解くこと。視点がわからなければ、管理基準とその解説書に立ち返る。
あと、「過去問題は、もっと勉強してから解こう」ともったいながっていたら結局解かずじまいな問題もあったので、どんどん消化すればよかったと少し公開している。

2.午後Ⅱ論文対策
まず、どんなテーマが出ているのか、傾向を調べ、出題頻度の高いもののうち5,6個自分が掛けそうなテーマに絞り、書くならどんなことを書くかを決めた。

絞ったテーマは以下のようなテーマだったと思う。
・セキュリティ監査
・開発ライフサイクル監査
・ネットワーク監査
・データ監査
・アウトソーシング監査
・事業計画性計画についての監査

これらのテーマについて、自分が経験したプロジェクトを監査するならどんな監査をするかを事前に考えておいた。
書くときに注意したのは
・その監査の必要性はなにか
・監査対象となるプロジェクトにどんなリスクがあるのか
・監査項目は何か
・どんな手続き・手法をとるか
という視点で書けるだけ書く。あんまり思いつかなったら、管理基準解説書を引っ張り出して、ボリュームを増やす。

●実際の論文で書いたこと
実際の午後Ⅱ問題で出たのは
「監査手順書作成」
「文書類の電子化とシステム監査」
「情報漏えい事故対策計画」
の3点だった。
用意した論文にひとつもマッチしなかったが、「情報漏えい事故対策計画」を選び、「自分の携わったプロジェクトで漏洩して困るのは開発モジュールだ」とこじつけて無理やり答えた。その後はとにかく思いつく限りの項目、手続き、手法を思うがままに書いた。
午後Ⅱ論文は時間がないので、書くことを悩んでいる暇はない。監査項目や手続きがさっぱり思いつかないところでうんうんうなっている暇はない。だからどれだけ監査にふさわしい視点や知識があるのか、を思う存分披露できる自分の土俵に強引にでも相手を上がらせるのも大切だと思う。

●システム監査技術者に受かって良かったこと
システム監査人協会でいろいろ情報交換できたこと
転職先でプラス材料になったこと。

●システム監査技術者に受かって残念だったこと
前職のSIer企業では全く評価されなかったこと(ふーん、すごいねぇ、で、システム監査って何？)
現職でもそれほど評価されていなさそうなこと。
どちらかというとCISA持っている人のほうが多く、CISAがあれば十分。
ただ、いずれの資格も「なければ採用されない」でなく、「あればプラス」というだけ。
実際に転職してみたら、本当にシステム監査がしたい、という熱意、システム監査についての概要知識、会社に貢献できるような経験(システム監査に限らずなんでもいいから経験)があれば十分で資格はいらないみたい。
(特に今は人手が足りないので。良いエージェントさん紹介しますヨ。)

ただ、この資格試験を通じて多くのことを学んだのは間違いないです。特に午後Ⅱの論文は実務で監査に携われない人間が監査人的視点を養う良い鍛錬になるように思います。本当に監査がやりたい人間なら午後Ⅱの論文対策は楽しくてしょうがないと思う。

シス監のキモはやはり午後Ⅱの論文。
3年間のSIer企業での開発経験しかなかなかった自分には、どんな視点で監査をすればよいのか全くわからなかった。それを補助してくれたのがこの本。

これは世にも名高いシステム監査基準とシステム管理基準の解説書也。
たとえば管理基準に規定のある、ネットワーク管理の障害対策の項目を例に取ると、管理基準では単に
「ネットワークは、障害対策を講じること」
としか書いていない。これでは実際に論文でネットワーク監査に関しての問題が出てなにを書けば良いのかサッパリパリパリ。
だけど解説書にはこの項目の趣旨や着眼点、そして関連項目として具体的にどんな点を監査すればよいのかについて事細かに書いてある。
着眼点には6つあげられているが、
(1)重要なネットワーク機器や伝送路について、最長許容障害復旧時間を定めていること。
(2)重要なネットワーク機器や伝送路について、最長許容障害復旧時間内に復旧するための処置を講じていること。
(3)障害発生後、発生原因や対処等を記録した障害報告書を作成して、再発防止策を講じていること。
など、他3点掲載されている。

関連事項にはその6つの着眼点についてより詳しく書いてある。

あまりに分厚いのですべてを暗記するなんてまず無駄なので、自分の経験に即したプロジェクトに応じて監査項目を絞って理解していくのが重要*1。

(…と、書きながら管理基準の改定で無用の無沙汰になってやいまいかとちょっと不安。バージョン確認は各自で。アフィを試しに張ってみたいがためだけの更新でした。)

システム監査の視点はいろいろありますが、試験に限っては出題者の考えに従って答えるのが一番無難です。なので論文対策は経産省監修で情報処理技術者試験の元出題元であるJIPDECが作っているこの本に従うのが一番無難、というのもオススメの一因です。

具体的な活用方法はまた機会があれば後日。

*1 シス監の論文は自分の監査した案件、もしくは自分が開発や運用で携わった案件について記述されることを求められる。

ずっと自分の中でくすぶっているテーマである「システム監査ってこれからどうなんの？」という問題に関して全く仮説思考で考えていなかったことに気が付いた。

きっかけは最近本屋でよく「地頭力を鍛える」なる本。何か面白そうだったから買ってみた。

「地頭力」、つまりどんな状況であっても応用の聞く頭の良さというのは、仮説思考力・フレームワーク力・抽象化思考力という3つの要素によって成り立っていますよー。というような。
タイトルとつかみで出てくる「フェルミ推定」は面白そうなのだが、肝心な内容はどちらかというと月並みで特に真新しい点のない本だなぁ、特に仮説思考力。んなもん大学のゼミで嫌というほどやらされたわ、と思っていたが。

肝心の関心ごとでは仮説思考的に考えてないことに気が付いた。いろいろ答えを模索して人に意見を求めているのだが、人に聞く前に自分で考なきゃね。

というわけで、私が以前から思っている「システム監査はいずれ法令化される」仮説を思いつく限りに因数分解すると。
・今後社会におけるシステムの必要性がより高まる
・システムの必要性が高まることによって、システム障害や、ITサービス提供者による不正のリスク(システムリスクと呼ぶ)およびその影響度が大きくなる
・ITサービス提供者はシステム障害・不正のリスクをシステム監査以外で完全に防止・軽減・回避できない。
・システム監査にかかる費用よりシステム監査が軽減するシステムリスク期待損失が低くなる
・ITサービス提供者の利害関係者(顧客・ユーザー・国民および国家など)がシステム監査の恒久的な実施を要求する

で、検証しなければならない仮説は
・今後社会におけるシステムの必要性がより高まるか？
・障害・不正の発生が及ぼす社会影響度は高まるか？
・システム監査がなくとも障害・不正の発生を抑止する能力は今後高まるか？
・システム監査ではなく、第三者認証・内部統制ではダメなのか？
・システム監査の費用対効果はプラスか？
・誰がシステム監査を必要とするのか？

むーん。ボトルネックは最後だろうな。誰が必要とするんだろう？
仮説思考ではないが、類似事例として会計監査・建築物の検査・薬品の検査などと比較するのも面白そう。

昨夜、梅田望夫「ウェブ時代を行く」を読んでいて思ったことをつれづれと。
「フューチャリスト宣言」と続けて読んだが、両本とも希望の満ち溢れた本で励まされる気分だった。
そして読みながらこう思った
ITによって社会がより便利になって面白い社会になっていくだろうことはわかった。
だとして、その変化の中でシステム監査って必要なの？不要なの？と。

梅田氏やシリコンバレーおよびWeb2.0のスタンスや世界というは、どちらかというと革新的な技術でよりこの社会をよくしていこう、よくしていけるはずだというオプティミスティックなスタンス。
自分はその技術革新の普及によって弊害が起きやしないか、と心配するペシミスティックなスタンス。

うがった見方かもしれないが、途中「Only the Paranoid Survive(病的な心配症のみが生き残る)」とあるが、本当に病的に思うのであればITが産むメリットだけでなく、デメリットにも目を見るべきだと思うのだけどどうだろう？

ただ、ひとつ可能性を感じたのは、システム開発や運用がオープンソースやコミュニティを通じた今よりオープンな手法を取るようになれば、既に開発・運用の当事者自体が客観的な視点を帯びるので、第三者の存在監査する人間の必要性は弱まるのかもしれない。と漠然と抽象的に思った。
しかし、「提供する側(開発する側)」がいくら変わっても「提供する側」と「提供される側」とに情報の非対称性がある限り、監査は必要な気はする。
たとえばもしGoogleがすべての開発モジュール・開発手法・サーバーの運用状況についての情報を開示したとしても、サービスを受けるユーザーにはそれが正しく動作するのか、自分の情報の安全性が保たれるのかはわからない。
説明を提供側自身がやると、恣意性がはさまれてしまうので提供側だけの情報だけでは不十分となる。
そのため、橋渡しする役割が必要となる。提供側と被提供側の間にシステムやその開発・運用を理解しチェックできる人間が「大丈夫、問題ない。」と言う必要が出てくる。
と、考えると監査は必要な気もする。

このエントリーを書いていて思ったが、ライフラインシステムや交通インフラシステムなどと同じくらいにGoogleが止まると困るな。少なくとも金融システムが止まる以上に影響が大きいように思う。

猫を飼うなら名は胡獱丸が良い。
昨夜気づけば酩酊した頭で一人納得しながらネットサーフィンをしていた。
トドマル、きっと猫も家に留まる、逃げることもなかろう。
名は体をあらわすというから、トドのように丸々太ってしまいそうだが。
音の響きがなんともかわいらしいではないか。

胡獱についてネット調べていたら、マルクスという名の猫が書いているblogを見つけた。
そういえば大学時代お世話になった大学院の先輩が買っていた猫はマルクスという名だった。
しかも同じ三毛だった。しかし、blogをまじまじと見るとどうもそれは先輩の飼っていたマルクスではなさそうだ。
猫違い。

昔、猫を助けたとき、もし雌ならアリスという名にして飼おうと思っていた。
彼女に会った日がちょうど、不思議の国のアリスの出版された7月4日だった、
というただそれだけの理由だった。
だが結局、大家に飼いたいと伝えたところ、「犬はいいが猫はだめだ」と断られてしまった。

と、そんな昔のことを思い出しながら、不思議の国のアリスについて調べていた時、ふと、自分はなぜこんなことをネットで調べているのだ？と急に覚めた。最初はこのblogをどういう風にしていけばいいのか悩んでいて、それで「no connection」という言葉から不意に「留まる」という言葉を連想したのが発端だ。なんという飛躍した連想、素面の人間には思いつきもしないだろう。その後はごらんのとおり、連想ゲームのごとくネットをあっちに行き、こっちに行き。こういう変な連想でネットサーフィンがつながると一番楽しい。そして一番危ない。最初の目的と、時を忘れてしまうから。

「no connection」ってなにか、それがどうこのblogと繋がるのかという話をし始めるとどうも話が長くなる。

「no connection」とは、昔一時期自分のホームページ(昔はblogなんてものはなかった)のタイトルである。もう7年か、8年も前の話だ。1998年から約3年、ネット中毒に疲れて、それまでつけていたリンクをまったく作るのをやめ、他の人のページを見るのもよした。それでもページを持たなくなるのが寂しく、作ったのが「no connection」いわばネットでの引きこもりの始まりのころ。
数年経ち、ちょっとまた外部とつながるか、と掲示板を作った途端、個人的な発端で炎上してしまった。それが4年前。
それ以降blogのようなものを作るのは警戒しがちだった。

会社のイントラやmixiにはちょくちょく書いていた。だが、それは最後の最後のところは外にはつながっていない、閉じた世界だという安心感があったからこそ、だ。反響は薄くとも、社内の人間や、自分の直接の友人だけなら荒れることはない。

ホームページを辞めてからもう5年が経った。
そしてこの5年少しずつ芽生えてきた「ネットで物事を発信することのパラダイムシフト」みたいなのが起こったようだ発信することによって、時として連想や思考を加速させる機械になっている。なんだか少し面白そうになっているのには自分もようやく気づき始めてはいた。

そして、前の会社をやめ、自分の思うことを発信する場が一個無くなったので、作ろうと思った。

だが、2点、blogを始めるのにためらってしまう理由がある。
ひとつが、書く主題について、
もうひとつが、上記の外部につながることに対する不安、怯え。

主題については本当は昔のテキスト系や社内イントラのころのように、くだらないことを書き続けるのが自分も楽しいんだけど。あまり不特定多数の方に見せられるような内容でないので、それはmixiに抑えておいて、自分の興味分野であるシステム監査について書いていく方が今後の自分のため良いと思っている。ただ、ちょっとまだクオリティが伴っていないのが難点。あまり身を粉にして書くのも疲れるし。

そして、もう一点どうも外部に対してはまだ恐怖心がある。
昨日今日と梅田望夫「ウェブ時代をゆく」を読んでいたのだが、そのどこかに茂木氏の言葉で以下のようなものがあった。(引用したいのだが、あまりに折込みの場所が多くて見つからぬのでニュアンスだけ)
以前は誹謗中傷罵倒を受けるのは、公の場に立つことの多かったエスタブッシュメントのみだった。だが、blogによって誰しもが公の場で意見できるようになった。そのため今では誰もが誹謗中傷の矢面に立つことが可能になり、その人に見られているという緊張感を通じて精神的な成長を誰もが得ることができるようになったのだ。
以上のようなことが書いてあった。
これは、blogで誹謗中傷罵倒の危険性にさらされることにはポジティブな効果があるのだ、と捕らえ方もできるが、逆を返せば、それを受けて立つ気持ちを持つべきで、安易な気持ちでblogで意見を書くべきではない、とも捕らえられる。

まさにここだ。自分に覚悟はあるのか？このblog続けていく気持ちがどれほどあるのか？と。

システム監査関連資格マトメ。自分の中でも整理がついてないので自分用にも。

面倒なのは、CISA、CIA、CFSAになるためには試験だけでなく、実務経験も必要で、資格維持には継続的な教育が必要だということ。そして年会費も取られる。。。
日本のシステム監査技術者は取っておしまい。一応システム監査技術者向けの「公認システム監査人」という制度はあるんだけど、国内独自な上にマイナー。

システム監査技術者試験
http://www.jitec.jp/1_11seido/h13/au.html
主催 JITEC(（財）情報処理技術者試験センター)
試験日 4月第3日曜日
受験料 5,100円
所感
あまり周りで持っているというひとはあまりいない。
論文は確かに監査についての知識は一通り問えていいんだろうけど。今後システム監査に携わる人間をあの試験で選別するのは難しいんでなかろうかね。どうなんだろう。

CISA(Certified Information Systems Auditor - 公認情報システム監査人)
http://www.isaca.gr.jp/cisa/
主催 ISACA(Information Systems Audit and Control Association)
試験日 6月および12月
受験料 最低$375最高$555
所感
とにかく勉強するための教材が少ない上に高いし、受験料も高い。
本当に監査に携わることがなければ、不要。持ってても、あんまし。
「監査に携わって2年経つし、そろそろ資格持たなきゃ」というような感じでとるのかも。

CIA（（Certified Internal Auditor - 公認内部監査人）
http://www.iiajapan.com/system/CIA/
主催 日本内部監査協会
試験日 4ヶ月を除く適宜になるらしい(http://www.iiajapan.com/system/CBT/index.htm)
受験料 一科目\17,850が4科目計\71,400あと登録料。
所感
内部統制でいうと、IT業務処理統制を見るためのスキルについての資格。
名前からだと内部監査のための人なのか、と思うけど。

CFSA(Certified Financial Services Auditor - 公認金融監査人)
http://www.iiajapan.com/system/CFSA/
主催 日本内部監査協会
試験日 適宜になるらしい(http://www.iiajapan.com/system/CBT/index.htm)
受験料 \33,600
所感
金融にかかわらなければ不要。
そもそも日本語での試験が始まったのは2年前程で知名度はかなり低い。

CFE(Certified Fraud Examiner - 公認不正検査士)
http://www.acfe.jp/modules/tinyd0/
主催 日本公認不正検査士協会
試験日 4月、10月
受験料 1科目5,250円が4科目。計\21,000円
所感
同じくマニアックだけどこれも国際資格。
不正を見つけるスキルについての資格。

(あとで合格率・国内/国際合格者数などを追記するかもです。)

どれも、持っていたからといって、その仕事のプロフェッショナル、というわけでない。
けど、学習の指針には役立つぢゃん？みたいな気持ちで。

なんか。システム監査について勉強してからというもの、世の中をにぎわすニュースについてもどうもリスクアセスメント・リスクマネジメントという観点から考えてしまう。餃子然り、飛行機然り、船然り。
問題が起こるたびに「けしからん」「ほんとどうしようもないネ！」と憤慨するのはいともたやすいことだが、「で、どうしたらよかったん？どうすればいいん？」という肝心なところを語ってくれる人はそれほどいない。
起きたことは問題を最小限に食い止め、今後起きないようにするための策を考えなきゃいけないんだけどなぁ。

失敗て誰だってするものでしょ？問題起こした直後に言うのは良くないことだけれども、真実そうなのだから、起こりうる失敗(つまりはリスク)に対して「じゃぁ、リスクに対してどう対処したらいいかね？」と真剣に考えるのがものの始まり。
そこから
問題が起きんようにちゃんと管理体制や確認作業ってしっかりしなきゃね。
とか、
変な失言や取り繕いをしてより大きな問題を生まないようにした方が良いよね？問題見つかったら迅速に上に報告されるような体制作らなきゃね。
とか考えが生まれて、
んじゃ、取引先や委託先の選び方どうしたらいいかな？安全確認を徹底するためにはどうしたら良いだろう？やっぱり指差し確認かね？
とか、
問題起きたときに迅速に対応できるように、対応方法とか行動の判断基準って、文書化しておいた方が良いよね？
とかいう制度が整えられて、
で、結局その制度に従ってみんなやってんの？ちゃんと見てみようよ。
ってなる。

え、監査とどう関係あんの？って思うかもしれないけど。案外最後の「で、みんなちゃっとやってんの？」のところだけが監査だと思われがちだけど、リスクを抑制・防止するための制度なり基準なりが整備されてるの？それで本当にリスクが回避できるの？って点ももちろん見るのです。
簡単に言うと「統制(コントロール)」が取れているかも見るのです。(たぶん)

また資格かよ、ってかんじかもしれんけど。CISAという、国際的なシステム監査の資格試験が6月にあるので、それ目指して勉強します。

本当は簿記勉強するか、CISAにするか、はたまた英語勉強するか悩んだんだけれど。

昨夜、転職でお世話になったエージェントさんとお食事をしてお話して自分で考えた結果まずはCISA取ることにした。(自分の転職の経緯についてはまた今度書くつもり)

お世話になったエージェントさんは、システム監査の転職専門でやっていらっしゃる方で、そのお仕事をするまではご自身も監査法人でシステム監査をなさっていた経歴をお持ちだったそうな。
その方に自分の今後のキャリアパスについての悩みを聞いていただいたけて、ちょっと今すっきりした気分。
何よりもまず、「監査法人にいるのだから、会計や簿記についてのスキルを身につけなければならない」という思い込みが排除できたことがスッキリ。
会計士の方には会計や簿記で勝てるわけがない。どちらかというと会計士は会計を、システム監査人はシステムを、というような分業が進んでいるらしい。もちろん監査について最終的に意見を出すのは会計士なので作業のイニチアシブは彼らにあるが、立場はほぼ対等で待遇も待遇。だからシステム監査をやる限り簿記二級くらいの知識があれば十分、とのこと。
ということで、とりあえず、会計・簿記スキルをこれ以上改善する必要はあまりなさそう。

なので英語か、CISAか悩んだのだが。
「より最先端の、これからの未来で社会で必要になるであろうシステム監査について学びたい。」という話をしたら、それならISACA(CISAの試験を主催している団体)の会員になって勉強会なりに出たら？だってシステム監査って全部アメリカからの輸入物ばっかりでしょ？(COBIT然りJ-SOX然り)だから国際的なISACAじゃないと。というお話だったので。ものはついでで試験も受けちまおう！と、そこからは勢いで。
CISAの試験を受けるだけでなく、最低でも2年間の監査業務経験が必要なので、会員になっても年会費の無駄だから、CISA受けるのを先延ばしにしようと思っていたのだけど、ものはついでです。

んで、今日申し込んだのだけれども。高い。やけに金がかかる。まず試験に$300超。年会費で$100。参考書が$100が2冊。そういうの諸々で$800。うーん。なんか勢いで申し込んじゃったけど大丈夫かなぁ(生活が)。

東京に引っ越して早2週間以上が経った。つい先週まで部屋の中はダンボールだらけだったのだ。
場所をとっている荷物の大半、実は本。札幌にいる4年と10ヶ月の間にやけに増え、収納に入りきらなかった本の量は実にダンボール12箱。
「本なんて記述されている知識を吸収してしまえば、後は単なる紙くずだ」という考えをする人もいるのだけれども、愛着のある本は自分にとってのpricelessな財産なので捨てられない。なんというか、本は自分の軌跡みたいなものなので。

そんな溢れかえるpricelesshな本の山を裏の手できれいさっぱり片付けた。
裏の手というのは、実家に荷物を送りつける大作戦。
ダンボール1個あたり800～900円ほど、12個で合計約1万円也。
この一万を高いと思うか、安いと思うか、それは感覚次第。

さて、そんな風に別れを告げた本もあれば、また新たに出会った本もあるわけである。
東京に来てからも合間を見ては本を読む一方、そのペースを超えるほどに買いまくっている(来月のカード支払いが不安)。

梅田望夫と茂木健一郎の対談「フィーチャリスト宣言」だとか、ワタミ社長の「使う論語」だとか、なかなか面白い本があったので、時間を見つけて感想を書けたらいいなぁ、と思う。

2.18号PRESIDENTの「ビジネススクール流知的武装講座」という記事に「次々と偽装を生む「情報の非対称性」のワナ」という記事が載っていた。webでも概要が載っている。
http://www.president.co.jp/pre/20080218/001.html

食品の老舗で次々と起こる賞味期限偽装の問題の誘因には製造者が生産に関する知識と情報を持っている一方、消費者には彼らの行動とその成果を知る手立てがないという、情報の非対称性がある、という話だった。
情報の非対称性というのは、近年生まれた経済学概念で、二者の間で得うる情報に違いがある状況を指す。それまでの経済学では買い手と売り手とので完全に一致した情報を得られるという仮定のもとで作られたモデルを使って理論を展開していたのだが、より現実に近いを、と生まれたというような背景だった、はず。
自分が思ったのは、その非対称性による溝を埋めるためにも、第三者のエキスパートによる監査が必要なのではないか、ということだ。
先月末、前の会社を辞める日に、「システム監査について」という題をつけて、同じ部だった同僚にシステム監査についての勉強会を開いた。その準備の際にとても悩んだのは、いかに「監査とは何か」「監査はなぜ必要になるのか」ということを説明すれば納得してもらえるか、という点だった。この記事を読みながらあぁ、情報の非対称性っていう概念を使えば簡単だったかなぁ、と思った(今度は情報の非対称性とは何か、という説明で時間を費やしてしまいそうだが…)。

ちなみに、記事では、本来は各企業は食品の安全性に関する説明責任を果たしていかなければならないが、そのような行動について消費者はあまり注視することはない、そのかわりにより安易に信頼性を知りうる「老舗」という肩書きを頼って購入していた、しかし、これだけの不祥事が続くと「老舗」の持つブランド力は弱まっていくかもしれない、というようなブランド論になっていた。では、老舗というブランドが有効にならなくなった後、老舗はいかにして説明責任を取るのだろう。結局、SO認定を取るなり、監査なり、第三者の力が必要になるのだろう。

前の会社にいたときに受けたITIL Foundation資格試験の結果が受講後2ヶ月にしてようやっと届いた。
結果は合格。
講師の方が
「合格の場合は認定者用のバッチが封筒の中に入っているはずなので、封筒のどこかがぽっこり浮き上がっていたら合格だと思ってください」
といっていたのだが、その言葉通り封筒を開ける前に合格とわかった。

まず、ITILって何？という話からだと思うが、「Information Technology Infrastructure Library」の略で、簡単に言ってしまえば、ITを利用したサービスの継続的な提供(言葉を変えれば運用・保守)をいかにして行えばベストかをまとめたもの、である。
去年の中ごろに初めて保守に携わるようになり、世の中には開発手法やプロジェクト管理のスタンダードはいろいろあるが、保守のスタンダードはないのか？と探して見つけたのがITILだった。本当はITILを使ってうまく所属部門の改善活動につなげられたら、と思い受験した(矢先に転職になってしまったが)。
ITIL FoundationはITILの入門資格。レベルとしては情報処理資格でいえば基本情報処理の程度。
ITIL Foundation資格試験の受講方法には2種類ある。自動二輪の受験方法と同じで、一発狙うか、地道に学校で受講するか、の2つ。
ひとつがTOEFLやLPICなどの受験も代行しているアールプロメトリックで受ける方法。こちらだと受験費用だけで済むし、自分の都合の良い日に受けることが可能で、結果も受験後すぐにわかる。ただ、みっちりと勉強していかないと合格は保証されない。
もうひとつが私が取った方法で、講義と試験がセットとなった2.5日の研修を受ける方法。こちらだと講義の費用がかかる上に、研修の日は少ないし、結果は私のときと同様2,3ヶ月待つ羽目になる。そのかわり、講義の中でかなり高確率的中の予想問題演習があり、合格はほぼ間違いない。
私もかなり良い成績だった、が何点だったか、結果の用紙を既に捨ててしまったがためによくわからない。あしからず。(もちろん合格証明書は大切に保管してあります。)

ITの利用がどんどん広がるごとに企業の重点は開発から運用保守に変わっていくはずである。そう考えると今後のITILおよびITIL有資格者に対する期待は高まっていく、と個人的に思っている。

入社以来早々に休みです。
有給ではありません。そもそも入社から3ヶ月間は有給ゼロです。

ではなぜ休みなのか。
それはね、繁忙期である4月末のゴールデンウィークの休み中に出勤させられるから。
なので、今日とか、6月とか、11月の連休や、8月のお盆に休みがあるのです。
代休、という形でなく、会社の休みなので、本当にお休み。

なので、今日は住所変更系の手続きをしに役所行ってきます。

今日からいきなし客先。
「来週からさっそく客先に行ってもらいますから」
とはいわれていたが。まさか本当に行くことになるとは。

「テストの手伝いを」
とはいわれていたのだが。
テストと言っても、別に実機をパコパコいじるわけでなく、必死にドキュメントや書類を見るだけ。
「ちゃんと規定通りに運用してるのかなぁ」というのを見るの。
たとえば、セキュリティ上の規定として
「ユーザーアカウントは不要になったらシステム管理者および、ユーザー配属部の部長の承認を得た上で削除する」
というルールがあるとして。
そのルールに従って削除しているか、をテストするために、この一年で提出されたユーザーアカウント削除申請書を引っ張り出してきて、いくつかサンプリングして、それをいちいち見ていくわけ。

うん。案外地味です。ここではこんな運用してるんだぁって見れて楽しいけどね。

今いる部署がISMS認定を受けようとしているらしい。いや、もう認定受けているのか？？忘れた。
ISMSとは、要するにセキュリティのISO認証。以前に何度かあったセキュリティインシデントでお客様の信頼を失いかけたので、どげんかせんといかん、と、セキュリティについての対策と認識とを高めるべくISMS認定取得を目指すことになったらしい。
なるほど、それでいろいろと制約があるわけなのな、と納得。単に決まりがあるだけでなく、その決まりが遵守されるような仕組みがしっかり作りこまれているので、勝手なことができない。たとえばアプリケーションのインストール然り。普通であれば、決まりはあるが、形骸化している、ということも多いのに。しっかりしてるなぁ、とちょっと関心。

あと、ひとつ。守秘義務について思うこと。
今までは、会社の中にあるイントラのblog(みたいなJJ)に書き込んでいたのでconfidentialのことはそれほど意識することはなかったのだけれども、いざ自分がblogを書くとなると難しいな、と感じる。一応、会社が公にしている情報以外は「社外秘」ということで、あまりベラベラしゃべってはならないらしい。
たとえば、自分がどんな仕事をどんな手順でやっているのか、どんなお客様を相手にするのかを一般化せずにここに書くのはNGなのかも知れぬ。下手すると、会社がどんなセキュリティの対策をしているのか、昨日今日書いたことすらも「社外秘」な情報ととがめられたとしても問題ないかもしれない。
実はまだ研修始まったばかりにもかかわらず、今週末にはお客様先に行くことになり、わくわくしてそのことについてべらべらとしゃべってしまいそうなのだが。

「守秘義務」って何なのか、プロとしても、一従業員としても、難しく感じる。そして、一ブロガーとしても。
なんだかな。王様の耳はロバの耳ではないけど、ぎゃおぎゃお平気でしゃべれる穴があった昔がちょっと恋しい。

なんだか、既にblog続けるのが難しく感じてきた。

新しい会社に出社して2日が経つ。
使っているPCはキーボードの真ん中にイボイボがついたあのPCなのには変わりないのだが、
別のところで会社が変わるといろいろ変わる。

システム管理人さんが、
「インターネッツと電子メールの使用はある程度容認するよ、

けど、掲示板とかの投稿、Webメイルの利用はやめてね。

2chに投稿なんかしたら即ヲレのところに警告メイル来るから」

といわれた。

Gmail使えない。
mixiは書き込めない。
ましてやblogをや。

昼休み、まぁ、mixi見るのくらいはいいか、と見ていたら
ついつい、コメント付けそうになっちゃったりして困る。

あと、管理人権限が与えられていないので、
一切アプリケーションを追加できない。
google toolbarもfirefoxも追加できない。

他に。パスワードの変更期限は60日。
壁紙・スクリーンセーバーはプリインストールされているやつから選ぶこと。

厳しいなぁ。
前は書きまくり、アプリ入れまくりだったし、壁紙・スクリーンセーバーも変えてたのに。
けど、本当にセキュリティ考えるとこんくらいやらなきゃならんのかもしれない。

(なのに、研修で発表している人のIEにはがっつりGoogle Toolbarが入ってたり、秀丸が入ってたりする。どないよ。)