人知らずして

面白い記事だったので紹介。スピードの速いIT社会の中で「次」を見据えて行動するためにも、最先端で働いている方々の先見の明を参考にするのは重要かと。

ビジョナリーが予測する10年後の情報セキュリティ：Wi-Fiウイルスが世界中で猛威を振るう日（前編） (1-2) - ITmedia エグゼクティブ
ビジョナリーが予測する10年後の情報セキュリティ：大衆車がハッキングされる時代に（後編） (1-2) - ITmedia エグゼクティブ

　次の3年で、セキュリティ技術はソフト（ポリシー／記述／認識トレーニング）からハード（防衛、侵入検知、隔絶およびセグメント化）へ、なだれを打って転換するだろう。 (中略) 　こうした転換が必要な理由は、攻撃側が現行の防御システムを打破する方法を発見してしまい、企業のエグゼクティブたちが「攻撃を止めさせるにはどうすればいいか？」と繰り返し質問するようになったからだ。 　それに対する回答は、「ソフトスキルからハードスキルに切り替え、自社で攻撃を感知し、撃退し、再攻撃を阻止する態勢を整えるしかない」

　なかでも、無線による攻撃が大きな脅威として浮上する可能性がある。近距離間でラップトップからラップトップへ感染するWi-Fi Windowsウイルスを想像してみよう。そうしたWi-Fiワームは、企業のファイアウォールやさまざまなセーフガードを飛び越え、近隣のオフィスビルに伝播していくはずだ。そして生物ウイルスと同様、人々の移動とともに、瞬く間に全世界へ感染経路を広げていくだろう。

　今後5年から10年の傾向として、さまざまな分野のセキュリティ専門家、例えば安全なアプリケーション開発やガバナンスなどのプロフェッショナル認定制度が急増するだろう。また、従来セキュリティの専門家を対象としていた認証制度に、必ずしもセキュリティの専門家ではなかったITプロフェッショナルが挑戦するケースも増えるはずだ。

携帯電話やiPod、iPhone、Bluetoothデバイスが巷にあふれるようになったいま、アプリケーションのアップデートがどれほど大変なことか想像できるだろうか？　これからの時代を支配するのは、それらの多様なガジェットなのだ。

中国製のシスコ製品のニセモノが米政府機関で多数発見、FBIが本格捜査に着手 - Technobahn

中国製と見られるシスコ製品のニセモノが米空軍、米海兵隊、米連邦航空局（FAA）、米連邦捜査局（FBI）などの米連邦政府機関向けに大量に販売され、ネットワーク障害や火災などの事故が多数起こっていたことが21日までにFBIが情報公開を行った捜査資料によって明らかとなった。 このニセモノ、FBIでは今のところ、中国政府か中国の犯罪組織か、あるいはその両方が米国政府のネットワークに対してバックドア（不正アクセス用の侵入口）を設ける目的で米国政府向けに破格の値段で販売したのではないかと見ている

というちょっと恐ろしいニュース。本当に不正アクセス目的だったのかは不明なのだが、一方その頃日本では。

天網恢恢･･･ - 軍事評論家=佐藤守のブログ日記

ところで、この日曜日に、インターネット契約会社からサービスで使用中の２５メガのモデムを１２０メガのモデムに交換するとのことで、新機材が届いたのでセットした。
ところが偶然にもその翌日から奇妙なメールが入りだした。メールアドレスは知らないが、間違いなく私の知人の実名で、各種情報が届くのである。ところが「開けよう」としても開けられない。主として官庁からのメールで、いかにも「安全保障上の情報」らしく、興味があるが開かないのでは仕方ない、と思って無視していたところ、今度は私名義の論文が「私に対して流れる」という不思議な現象が起きた。

サイバーテロを体験？ - 軍事評論家=佐藤守のブログ日記

インターネットや器材に詳しい数人の友人からすぐにアドヴァイスが来て、ＰＣのスキャニングを終了したが「新しいモデムは、made in china　ではないか？」といわれ、確認したら「正解！」であった。コメントにもあったが、米国で問題になっているらしい。しかし、今やこの手の器材は殆どこの国で製造されているのだから、その中に“仕込まれて？”いるとしたらどうしようもない。

恐ろしい。

参考
中国製偽シスコ・ルータが米国の重要インフラに流通している件：武田圭史
情報インフラ24時　眠らないシステム 「中国政府による米国政府機関へのサイバーテロ」にみるコスト至上主義の危うさ ITmedia オルタナティブ・ブログ

最近、いろいろとサイバーテロやサイバー攻撃について調べて思ったことや妄想を整理。

最近サイバーテロ/サイバー攻撃について調べていくうち、その脅威が単なる夢から現実になりつつあるのを知った。
サイバーテロは目的によって「金銭目的」のものと「政治目的」のものがある。
金銭目的のものは個人情報を盗む方法から、DoS攻撃による脅迫などさまざまある。(今週の日経コンピュータ(2008/5/1)にはサウンドハウスの情報流出の話が載っていた。)
しかし、今怖いのは政治目的のテロだ。
政治目的のサイバーテロは今までは主義主張を誇示するハクティビズムや情報を盗むスパイ工作、DoSなどによるサーバーダウンが主流だった。
しかし生命に関わるシステムも数多くネットワークに接続されている昨今、サイバー攻撃は「兵器」化するであろう。恐ろしいのはサイバー攻撃による標的は何も軍事目的のサーバーに限らないということ、そして誰がいつ攻撃してくるかもわからない、正にテロだということ。

さて、私のプロフィールにもあるように、私は「健全なシステムのある社会を築くために、システム監査が必要性が高まり、いつかは法定化される」という仮説(あるいは妄想)を立てている。これは、今後社会におけるシステムの重要性が高まるにつれ、不正や障害がシステムに与えるリスクを軽減するためのコントロールを義務付けることが重要だと思っているからだ。

なのでどうしてもこういう疑問が出てくる、
システム監査はサイバーテロをどうコントロールできるのか？

サイバーテロリスクに対するコントロール(たとえばBCPとか、セキュリティとか)を実施し、それをシステム監査でチェックする。それによって企業がサイバーテロの対策を行っていることを義務化させることが可能だ。

で、ちょっと首をかしげる。確かに監査によってサイバーテロ対策を義務付けることができるとして。さて、それだけでサイバーテロによる脅威に対する対策は万全なのだろうか？

システム監査が与えるのはあくまでも内部での不正や誤謬を抑止する効果だ。つまり、「テロ対策が不十分だった」ということをなくすことしかできない。テロの攻撃自体が想定を超えるものであれば、無力となる。そして、テロはその想定を超えるような攻撃をすることもあるだろう。

BCPは災害後の適切で迅速な対応を促すが、地震自体を防いだり、その被害を軽減したりすることはできないのに似ている。企業側が脅威自体(テロ・地震)を直接制御できないのだ。つまり守りに徹するしかない。
となると、できるのは地震と同じ地震予測と同じように事前に早期発見するような仕組みを社会的に作ることだろうか？これは警察や国家もしくはそれ以上の大きな仕事の範疇かもしれないが。

だなんて、まぁ、すべてサイバーテロが今後えらいことになった場合の杞憂ですがね。

情報処理推進機構：情報セキュリティ：情報セキュリティに関する脅威に対する意識調査(2007年度第2回)報告書の公開について
「標的型（スピア型）攻撃」については、約9割の人が言葉を知らないとの回答であり、近年被害が深刻化している脅威に対して、認知が進んでいない状況が判明しました。

私も知らない。
というわけで早速調べてみた。

標的型攻撃とは、これまでのウィルスのような無作為攻撃とは違い、特定の攻撃対象(標的)を狙うサイバー攻撃のことを指す。攻撃方法としては、メールとその添付ファイルを使って攻撃対象のPCにマルウェア(悪意のあるソフトウェアのこと)を感染させ、Microsoft商品などの脆弱性をうまく利用してマルウェアを操り、データを奪うらしい。
情報処理推進機構の調べによると「標的型攻撃の電子メールを受けとった経験（発見または被害）のある企業は7.9%」、しかし、「標的型攻撃が非常に巧妙化していることを考慮すると、被害に遭っている組織は潜在的に多数存在していると推測」できるとのこと。
ちなみに冒頭に挙げた調査の調査対象：15歳（高校生）以上の PC インターネット利用者。健全なる市民は知らないらしい。では企業はどうかと調べたら、情報セキュリティ担当対象に行われた別の調査ではで「知っている」と答えたのは85%、なかなか認知度なのだ。
この認知度の高さからも、企業の標的型攻撃への関心の高さがわかる。おそらく標的型がなかなか怖いものだからだろう。攻撃元が特定しにくいし、攻撃を受けてもPCが停止したりするわけでもない、さらにはウィルス対策ソフト、ファイヤーウォールやIDSで攻撃を検出するのは困難らしい。なので企業はなかなか対策も打てない。
「不必要な外向きTCP）ポートを全て塞ぐ」対策が有効という調査結果や、「スピア型サイバー攻撃判定システムの開発を進めている」というような話もちらほらしているが、今のところ最善の対策は「不審なメールは明けないように」することのようだ。気をつけましょう。

以下参考資料。
日本の企業も狙われる「標的型攻撃」とは？ サイバー護身術 セキュリティー ネット＆デジタル YOMIURI ONLINE（読売新聞）（2008年3月22日)
「標的型攻撃」とは、その名の通り特定のターゲットを狙う攻撃のこと。話題になるウイルスの多くは、ネット全体を揺るがす攻撃、または大量感染を狙う攻撃だが、標的型攻撃はもっと狭く特定のターゲットに絞っている。
たとえば大手企業の社員、有名企業の幹部クラス、個人1人だけを狙うといった攻撃だ。「スピア型攻撃」とも呼ばれ、企業の内部情報を盗み取ったり、個人のクレジットカード番号やオンラインゲームのアカウント乗っ取りなどが目的のようだ。大規模な攻撃ではないだけに話題にはあまりならないが、日本のユーザーを狙ったものが増えている。

「北京五輪ウイルス」の攻撃が始まる サイバー護身術 セキュリティー ネット＆デジタル YOMIURI ONLINE（読売新聞） （2008年4月3日)
北京オリンピックウイルスは、主に企業や組織のメールアドレス向けに送られていたようだ。近年増えつつある標的型攻撃（詳しくは日本の企業も狙われる「標的型攻撃」とは？を参照）で、一般ユーザーではなく特定の企業・組織を狙っている。企業などからの情報搾取を狙ったものだろう。

情報処理推進機構：情報セキュリティ：2007年 国内における情報セキュリティ事象被害状況調査の報告書公開について
標的型攻撃の電子メールを受けとった経験（発見または被害）のある企業は7.9%でした。
認知していると回答した組織は7.9％ですが、標的型攻撃が非常に巧妙化していることを考慮すると、被害に遭っている組織は潜在的に多数存在していると推測します。

電子メールによる標的型攻撃が急増--「PowerPoint」ファイルを悪用ニュース - CNET Japan (2007/04/19)
こうした標的型攻撃の場合に、よく攻撃者に悪用されるのが「Microsoft Office」のアプリケーションにある脆弱性だ。Microsoftとセキュリティ企業はこの数年間にわたって、「Word」「PowerPoint」「Excel」といったアプリケーションにある未修正のセキュリティホールを悪用した新しい小規模攻撃について、繰り返し警告している。

マルウェアを封じる秘策とは？　セキュリティ技術者の集いから (1-2) - ITmedia エンタープライズ(2008年03月25日)
近年は一般企業のWebサイトやアプリケーションなど特定のシステムを狙った標的型攻撃が急増し、標的型攻撃は対象が把握しづらい、巧妙な手口で技術的対策が困難であるといった特徴を持つ。「かつてのウイルス攻撃は大量拡散するため検体を簡単に捕捉でき、対策も取りやすかった。だが、標的型攻撃では対象を特定するのが難しく、電子メールに細工した文書ファイルや画像データを添付するなどの巧妙な手口を用いて発見や解析の遅延を狙うケースが多い」（鵜飼氏）という。

情報処理推進機構セキュリティセンター　近年の標的型攻撃に関する調査研究(2008年3月18日)
今回の調査の結果、シーケンシャルマルウェアの挙動を解析することで把握すると共に、「不必要な外向きTCP（Transmission Control Protocol）ポートを全て塞ぐ」等の対策が有効である事が明らかになりました。

標的型攻撃についての調査(2007/06/21)
標的型攻撃を受けた企業の6割以上が「攻撃者の特定ができなかった」と回答している。標的型攻撃であっても攻撃者の特定は困難な現状が伺える。

報道発表（お知らせ）　スピア型サイバー攻撃判定システム開発のための共同実証実験を開始－特定の組織に限定したサイバー攻撃を早期に検知するシステムの実現に向けて－(2008/3/3)
NICTはスピア型サイバー攻撃判定システムを試作し、本日から実証実験を開始しました。

ロシアではサイバー犯罪を商売にしている人がいるそうだ。やはりサイバーテロが起きるのはそう遠い話ではないのではなかろうか。

ハーバードビジネスレビューで注目した記事がひとつ。
Harvard Business Review (ハーバード・ビジネス・レビュー) 2008年 05月号

2008年のパワー・コンセプト20+1
サイバー犯罪支援会社の暗躍
『ＣＳＯ』誌エグゼクティブ・エディタースコット・ベリナート

二〇〇七年、ロシアの起業家たちが、違法ハッキングの企業を設立し始めた。その目的は情報を盗むことではない。半人前ハッカーの犯罪を助けるサービスの提供である。

ある起業家は毎月数百万ドルも稼いだとのこと。月に数億円だ。直接犯罪に手を染めるのではなく、その後押しで稼ぐ、つまり戦争をおっぱじめるのではなく、武器を売ることで金を稼ぐ、という発想らしい。サービスとしては不法侵入して得たバックドアの提供やボットネットの貸し出しなど。 最後に著者はさらに犠牲者が増えると、守ってくれると信頼していたはずのブランド(企業)に対して非難が向かう、と記事を締めている。

ハッキングが愉快犯だった時代はもうとっくに終わったのだ。このようなサービスを通じて誰しもがハッカーになり情報を盗むことができる。

不正を防ぐ最善の方法は、倫理観を喚起させることだった。

ハーバードビジネスレビューに面白い記事が載っていた。
Harvard Business Review (ハーバード・ビジネス・レビュー) 2008年 05月号

「正直者が不正を働く理由」(マサチューセッツ工科大学教授　ダン・アリエリー著)という記事の中で、あるひとつの実験が取り上げられている。
被験者に２０問数学の問題を解かせ、正解数に応じて報酬を与える。
しかし、一部の人(実験群)の解答用紙はシュレッダーにかけて、主催側が何問正解したか知りえない状況をあえて作り出す。つまり、いくつ正解したかは自己申告制、不正を働こうとすれば不正ができる。

他いろいろと状況を変えて実験しているのだが、その詳細は本誌を見てもらうとして、著者はこの実験の結果から以下の示唆を導き出している。
・ほとんどの人はそそのかれると、リスクがあろうと、ちょっとした不正を働くことをいとわない
・ばれる可能性がまったくなくても、人は大うそつきにはならない。
・人にはおのれの不正を正当化するという能力がある。

この実験の中で私が一番注目したのは、被験者にモーゼの十戒を思い出させたり、倫理規定に署名させたりしたりしたところ、不正が完全に消えたというのだ。つまり、不正を防ぐためにばれない状況を作り出さないように監視の目を光らすことも有効だが、倫理観を喚起させる教育も大変有効ということだ。むしろこの実験を鵜呑みするのならば、「倫理教育が十分していれば、監査なんかいらない」ということだ。

さぁて、システム監査なんて辞めて、職業倫理インストラクターにでもなるかな。

なんて冗談はさておき。
この実験結果とモラルハザードやプリンシパル・エージェント理論と相容れないように思うのだが。職業倫理をあえて喚起する行為と労力をエージェンシーコストと捕らえればいいのだろうか？

これでは「内部統制監査対応スタッフ育成試験」でないか、いや、他に思惑があるのかもしれない。

さらっと今年のシス監午後Ⅱの論文問題を見たが。なんだ、このガチ出題は。
平成20年度春期システム監査技術者午後Ⅱ問題
一問目は「アイディンティティマネジメント」、聞きなれない言葉で出題意図をオブラートに包み隠しつつも、つまりはID管理の問題。当ブログでよく監査の事例として挙げさせてもらっている。セキュリティの基礎。
二問目は「内部統制報告制度におけるシステム監査」、ここが問題、旬すぎる。
三問目は「外部組織に依存した業務に関する業務持続計画」、外部組織という付加条件は付いているが、結局今流行りのBCP。

セキュリティとJ-SOXとBCP、この中から1問選んで答えよ。よりどりみどり、午後Ⅱまで進出できたら鉄板、ガチガチでないか、と思うのは私だけであろうか。受験された方の感想を是非聞きたいところだ。本気でシス監査を目指していた人なら拍子抜けした(もしくはラッキー！と思いっきりガッツポーズした)とおもうのだが。
私が受けた頃は、何が出題されても対応できるよう、複数分野を準備して試験に挑んだ。ネットワーク監査、開発監査、アウトソーシング、セキュリティ、などなど。その準備によってシステムを監査人の立場で多様な視点から見る目が養われる。
しかし、今年の問題ではシステム監査技術者の多様性な視点が磨かれないのではなかろうか。今年の内部統制制度導入の影響をもくろんでヤマを張った論文対策でどうにか対応できてしまう。システム監査技術者は、一旦資格を取れれば以後、剥奪されることはない。にもかかわらず、普遍的な技量を問わずに時勢に迎合した問題で人の能力を測ってよいのだろうか？

私は別にシステム監査技術者が過剰に増えるのを拒んでいるわけではない。資格は参入障壁として存在するのでなく、品質保持のためにあるべきであるはずだ。シス監の過剰な難易度は無駄だと思う、CISAくらいがちょうど良い。永続的に「システム監査技術技術者」を名乗れるのは問題だ、CISAのような継続的教育を受けることなく監査人としての頻出を保てるのだろうか。

そう、変調の理由は国際資格であるCISAの躍進が理由なのではないか？
以下、私の戯れなる憶測であることを断っておく。

CISAは国内で受験者・合格者を増やしている。受験料は高いが、難易度はシス監に比べるとそれほどでもない。また、監査の業界での認知度は高まっている。
一方で、シス監の合格率は未だ10%を前後と無駄に難易度が高く、その取得メリットもない、システム監査技術者は7,091人から7,32人へ261人微増しただけ。制制度導入にも関わらず、IT業界のシス監に対する注目は低いまま。
http://www.jitec.jp/1_00topic/topic_20080403_sokuhou.html

人材の需要はあるにも関わらず、シス監試験による供給は低いまま、一方CISAは供給を増やしている、勝ち負けははっきりしている。
そこで、シス監は合格者増加のために今回のベタベタでガチな出題をしたのかと。

以上私の単なる邪推だ。まずは今回のシス監試験の合格率に注目しよう。

サイバーテロなんて起きやしないだろう、だなんて思っていたが。調べてみるとあながち現実味もなくはない。

エストニアとロシア、中国とチベット、韓国と日本の間で国民感情を背景とした対立がネット上で展開されている。
ツールを使えばいとも簡単に一般市民がテロに参加できる。そしてテロに参加しながらも自分の命を危険に晒す必要はこれっぽっちもない。
一方で人間の生活でのシステムの重要性は高まっている。サイバーテロによって起こりうる被害が強まっている。アメリカではサイバーテロによって停電が起きている。

テロなんて警察に任せておけばよい、という発想では、いざテロが起きた時に手遅れになってしまう。社会的影響力のあるシステムの提供者はサイバーテロに対する防御・防止の対策を行わなければならない。しかし、最近JUASによって出された調査によると、BCP(事業継続性計画)の最優先考慮事項にサイバーテロを挙げた日本の企業はたった6%だったというのだ。

エストニアのサイバーテロを受けて、NATOはサイバーテロ防衛センターという国際的テロ対策団体を設立している。国際的な取り組みも大切で結構だが、日本に限って言うと、まずは各企業がサイバーテロのリスクについてより認識することから始めるべきなのかもしれない。

以下、サイバーテロについての参考資料。
竹島切手の発行問題をきっかけとする2ちゃんねるサイバー攻撃(2004/2)この頃は、攻撃といっても、WebでF5を連射する、という単純なものだった。

カカクコムサイバーダウン(2005/5)電子メールアドレス22,511件、10日間ウェブを閉鎖。
犯人は中国人留学生一人。カカクコム以外にも14社、52万件の被害に。
http://www.itmedia.co.jp/news/articles/0507/06/news023.html

この頃まではまだ攻撃方法はシンプルだった。が、その後、ボットの感染が広がった。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041215/153889/
感染を広げることよりも，感染パソコンに被害を与えること，あるいは感染パソコンを悪用することを主目的とした悪質なプログラム（malware，注2）が，2004年に入って多数出現し始めた。「ボット（bot）」である。
http://journal.mycom.co.jp/news/2002/11/19/12.html
2005年上半期の約14万台。最新の調査結果である2007年上半期は約3万2000台で，前期の約3万6000台とほぼ横ばい。全世界の感染台数は減少傾向にあるが，ボットネットの数は増えている。2007年上半期に観測したボットネットは約600個。前期比で約26％増加した。
http://japan.cnet.com/news/sec/story/0,2000056024,20321827,00.htm
実際McAfeeの調査によると、PCなどを遠隔操作できる攻撃用プログラムのボットは、マルウェア全体の中で2004年は3％しか占めていなかったが、2006年には22％と全体のほぼ4分の1を占めるようになった。

エストニアサイバーテロ(2007/5)2週間以上に渡って政府や銀行などのサーバーが攻撃を受ける。

エストニア政府が第二次世界大戦を戦った旧ソ連兵の銅像を首都タリンの公園から郊外の墓地に移したことから、ロシア系住民による暴動となり、ロシアも強く反発して議会がエストニアとの断行を決議するなど、ロシアとエストニアの関係は急速に悪化。ネット上にはロシア語でDoS攻撃（サービス不能攻撃）をエストニアのサイトに仕掛ける方法が掲載され、直後からエストニアの大統領、首相、議会、政府各省のホームページへの不当アクセスが集中して閉鎖を余儀なくされた。
ちなみに、エストニアは欧州で最もインターネット経済が進んでいる国だ。

エストニアのサーバーテロを受け、エストニアにNATOがサイバーテロ防衛センター設立(2008/4)
http://www.afpbb.com/article/politics/2373984/2801624

アメリカではサイバーテロによって複数都市で停電に(2008/1)米国外の複数地域で、電力などの公益インフラが不正侵入され、脅迫を受ける事件が発生した。

チベット亡命政府へのサイバー攻撃(2008/4)
インド北部ダラムサラ（Dharamshala）を拠点とするチベット（Tibet）亡命政府の公式ウェブサイトに11日、ハッカーが侵入し、アクセスができない状態に。

最近また2ちゃんがサイバーテロを受けた。
J-CASTニュース 「2ちゃん」サーバーがダウン サイバーテロ説が広がる
J-CASTニュース 「2ちゃんねる」サーバー停止　韓国からの「サイバーテロ」だったサーバーを管理する「BIG-server」はJ-CASTニュースの取材に対し、韓国国内の4000以上のIPアドレスからDDoS(分散サービス妨害）攻撃が行われたことを4月17日に明らかにした。

サイバーテロは生命をも及ぼしかねない。
http://itpro.nikkeibp.co.jp/article/NEWS/20080409/298572/例えば，航空システムや輸送システムがハッキングなどの攻撃を受けた場合には，交通機関がマヒしたり，大事故が発生したりする恐れがある。(米国土安全保障省マイケル・チャートフ長官)

既にテロリストたちの活動は活発化しているようだ。
http://itpro.nikkeibp.co.jp/article/COLUMN/20080324/296875/?ST=security
「『過去2年間，実際にハッカーは，SCADA（Supervisory Control And Data Acquisition）システムを稼働させている複数の電力会社への侵入と恐喝を複数成功させている』とSANSインスティチュートのディレクタであるAlan Paller氏は述べる。SANSはハッキングの被害を受けた会社向けに危機対策センターを運営している組織だ。同氏は『何億ドルもの金が脅し取られており，実際の被害額はもっと多いだろう。会社は支払いを隠密に済ませてしまうため，正確に把握することは困難だ』とした上で，『この手の恐喝はネット犯罪の世界では言わずと知れた話だ』と語っている」

日本の企業や政府のサイバーテロ対策に目を向けてみよう。
http://www.juas.or.jp/project/survey/it08/index.html
JUAS 第14回企業IIT動向調査2008によるとBCP(事業継続性計画)で想定リスクの1,2位にテロをあげているのは2%だけ。(地震･風水害・疾病等の自然災害リスク71%、システム障害63%)

警察におけるサイバーテロ対策のひとつが「サイバーフォース」だそうだ。
http://www.cyberpolice.go.jp/cyberforce/index.html
http://journal.mycom.co.jp/news/2002/11/19/12.html
警察庁の情報通信技術者から選抜された60人が、東京都内の民間ビルにある「サイバーフォースセンター」など全国57カ所の拠点から、警察ネットワークへのハッキング行為を24時間体制で監視。また、情報通信や銀行・証券取引所など金融関係、鉄道・航空、電力・ガスといった、社会の重要インフラについても防護対象としている。

サミットに向けてサイバーテロ対策の訓練が為されたという報道はあった。
http://www.hokkaido-np.co.jp/news/summit/87920.html
電力やガス、銀行、鉄道などの三十事業者と道警職員約百十人が参加。企業のコンピューターに不正アクセスがあり、電力やガスなどが夜間に全面停止したとの想定で行った。
道警職員らがモニターを使い、非常時の対応の流れを解説。緊急警報を受けて道警や保守業者に通報し、道警にシステムへのアクセス履歴を提出するまでの手順を確認した。

これ以上ITに何を求めるのだろうか？

私がシステムを作る側から監査する側に移った大きな理由のひとつは、これ以上ITで利便性追求しなくってもよくね？という思いである。確かに技術はより進歩し、開発・運用のテクニックは発展し、Web2.0どころか4.0、8.0、16.0とムーアの法則のごとく飛躍的に進化し、世の中は様々な便利なシステムで満ち溢れていくのかもしれない。
だが、それで人は幸せになれるのか。
経済学的に考えると、人間は一定の効用を得るとそれ以上は財から得られる効用(幸せ度合い)は逓減していく。単純で身近な例で考えると、携帯が普及したことによる効用、携帯でメールが打てるようになった効用、携帯でカメラが取れるようになった効用、携帯でテレビが見れるようになった効用を比較すると最初のほうが大きく、徐々に小さくなっている。実際これ以上携帯に機能はいらんだろうと私は思う。

一方で、一度手に入れたものを失うことはとてつもない痛みを感ずる。
経済学ではこれをプロスペクト理論という
http://ja.wikipedia.org/wiki/%E3%83%97%E3%83%AD%E3%82%B9%E3%83%9A%E3%82%AF%E3%83%88%E7%90%86%E8%AB%96

つまり、普段日常的に使用しているシステムがいざ使用できなくなった、という際には大きな痛みを感じる。たとえば、また携帯の例で言えば、携帯が無かった世の中が携帯がある世の中に変わったことによって得られるベネフィットの絶対値に比較して携帯がある世の中から携帯が無い世の中に変わることによって得られるロスの絶対値のほうが大きい。
じゃぁ、その痛みを与える障害や問題をなくすためにはどうしたらよいのか。
その問いに対する答えが「システム監査」だったというわけだ。

(これを書いていて気づいたこと2点。新しいITサービスによる効用は恒常的に得られるが、システム障害などは一時的であるということ。あと、効用が逓減的に増加するというのは財の一定度合いでの増加に対してなので、技術革新が乗数的に増える、つまり財の増加が乗数的であれば、効用増加は逓減しないのではないか、ということ。ここらへんはおいおいまた検討ということで。)

ISACA2008年4月定例会に行ってきました。

ISACA東京支部 2008年4月例会ご案内

定例会参加は初めてだったのでいろいろ新鮮でした。会場の広さと参加者の人数に驚きでした。

さて、テーマは2つ
2008年IT動向調査の分析
そして
IT人材育成の課題の解決に向けて

最初のテーマは社団法人日本情報システム・ユーザー協会が発表したこちらの調査についての発表。
JUASプロジェクト 企業IT動向調査2008
システム監査やJ-SOXにも絡んだアンケート調査でなかなか楽しかった。
驚いたのはJ-SOX対策のガイドラインとして最も参照されているのがシステム監査基準・システム管理基準だということ。56%もの企業で参照しているそうだ。それについでCOBITが30%程度。
システム監査基準・管理基準をちょっと私は軽視していたなぁ、と。システム監査技術者の試験対策には有効だが、J-SOXにはあまり適切ではないように個人的に思うので。国がJ-SOX対策として明らかにしているガイドラインがないからデファクトスタンダードとして利用されているのか、私がしらないどこかで「J-SOXは管理基準に従って対策しましょう」だなんてどこぞの誰かが言っているのか。

そして、次のテーマのIT人材育成の課題の解決について。一言で要約すれば日本は遅れている、ということだった。韓国・フィンランド・アイルランドなどでは国を挙げて高度情報通信人材を育成するための環境を整備している。しかし、日本はようやく筑波大学や九州大学で試験的に導入されてまだ1年。
取り組みについてはこちらで見れる。
日本経団連：高度情報通信人材育成の加速化に向けて (2007-12-18)
もうこの際、国で人を育てるのでなく、海外で教育させるチャンスを広げれば良いのでは、と思ってしまう。
だが、筑波や九州でのカリキュラムを聞いてみるとなんだか楽しそうで自分もまた大学に戻って勉強したいな、と思った。以前からまた学校で学び直したいという思いは強く、学ぶならMBAかなぁ、と思っていたが。ITのための学校があるのなら入ってみたい。

途中、以前blogで取り上げたアメリカのCIO大学についても少し取り上げられていた。CIO大学は国のIT費用の削減を目的として設立。現在CIO大学は6校、卒業生は6年で770人、授業料は300万もするらしい。むー、高い。

工事進行基準適用は、システム監査人にも影響があるのだろうか？

先週の日経システムに工事進行基準の適用についての特集があった。2009年度からシステム開発の会計計上に工事進行基準が適用される。工事進行基準とは期間ごとの進捗度合に合わせてその都度売上を計上する方法である。今まではソフトウェアが売れた時点、SIが完了した時点で一括で計上していたが、今後はそれが許されなくなる。どんぶり勘定で売上計上時に帳尻をあわすことは許されなくなり、適切な収益総額、原価総額、そして各期の進捗度に基づいて毎期売上を計上しなければならなくなった。つまり、契約時の適切な予算見積もり、開発・運用時の進捗管理の徹底が必要となるのである。

この改訂はあくまでも会計的な理由で導入されたものなのだが、導入によってデスマーチがなくなるだとかならないだとか、現場への影響は賛否両論あるようだ。いろいろネットでも調べていたが、Sier的観点からはこちらのblogが一番的確のように見受けた。

工事進行基準について - 年末年始にJavaScriptでプレゼンツールを作ってみるのをあきらめた

少なくともしばらくは手間が増えるのでSierとしては迷惑なこと限りないだろう。

さて、何もこれは他人事でなはなく、監査法人でシステム監査やってる自分にも少しは影響があるのかもしれないな、と昨日になって気がついた。工事進行基準に準じた売上算出がなされているか否かを判断するにはシステムに精通した専門家による検証が必要なのではないか、と思うのだ。以後、個人的な仮説として聞いていただきたい。
各期の売上の算定には恣意性の入る猶予はかなりある。特に実際の進捗度より低い進捗度を売上計算に使用して売上を低くしたり、逆に高い進捗度を使うことで売上を水増しすることができる。そのため、進捗度の算定が適切かどうかを監査しなければならない。
さて、進捗度の算定が適切か判断するにはどうしたら良いか？進捗度の信憑性を第三者に証明するには適切な成果物が必要となる。さて、会計士の方はシステムの仕様書や設計書を見て、それが適切な成果物か否か、極論偽造したものか否かを判断できるだろうか？
そこで、システム監査人による成果物の検証が必要となるのではないかと。

ただ、この仮説にはいくつか難点があるのも自覚している。

まず、本来のシステム監査とは業務内容が多少異なる。本来はシステムに対するリスクアセスメント・コントロールが適正かを検証するのが役割であって、システムの成果物からその進捗度を算定したり、システムの資産価値を算出するのが役割ではない。
次に、「システムの監査はシステムの専門家に」という発想であれば、「建築の監査は建築の専門家に」、「金融の監査は金融の専門家に」となるはずがそうではなく、あくまでも会計士の方が監査していること。
そして、これまでも情報サービス業界では粉飾決算してきた企業は数多くあったにも関わらず、システム監査人が会計監査に携わる場面は少なかったこと。情報ITサービス産業が不正会計処理をなし易い土壌であることは以前から指摘されている。

ＩＴ業界における特殊な取引検討プロジェクトチーム報告
「情報サービス産業における監査上の諸問題について」の公表について

会計不信のネット業界、決算の実態は・勝間和代さんに聞く ビジネス-最新ニュースIT-PLUS

簡単に整理すると、ITサービス産業は無形資産を商品を売り物にし、産業構造が多段階請負によって成り立っているという特徴を持つ。そのため、資産価値のないソフトウェアを在庫として積み上げた棚卸資産水増し、メディアリンクスに見られるような循環取引などがなし易い。

こんな指摘が3年も前からなされているというのにも関わらず、システム監査人は「およびでない」状態だったのだ。というわけで、工事進行基準が適用されたというだけでどっとシステム監査人の仕事が増えることはない、というのが実情かもしれない。

システム監査に全く興味を持たない人間にどうやったらこの仕事の楽しさを伝えられるだろう。

自分がこの仕事が好きなのは、システムの健全に貢献できるから、とか、将来きっとシステム監査が必要になるだろうから、といった、なんだか突拍子もない理由でなかなか人に納得してもらうのは難しい。

だなんて、突拍子もなく考え出したのは、ちょっとわけがある。
以前勤めていた同僚が私同様会社を辞めるらしく、その送別会が来週開催され、私も呼ばれている。
今回退職する同期はSIerのSEを辞めて社内SEになるそうだ。ついこの間、他の同期も社内SEに転職した。転職した理由はそれぞれあるだろうが、ちょっと思うのだ。
SEからSEという選択肢以外にもいろいろあるだろうよ、と。システム監査、という分野もあるだろうよ、と。システム監査に携わる同志を増やすためにもここはひとつ宣伝しておかなければならぬ、と思っていろいろ考えた。

今の仕事の面白い点は、まず、いろんな会社のシステムを見れることだろうか。
規定や成果物、サーバールームなどを一通り見て回れるので、いろんな会社の制度やシステムを見てみたい、という人には楽しいだろうと思う。たとえばサーバールームの入退室管理、という1つを取ってみても三者三様いろんなやり方をしており、それを実際に見ることができる。

次に、システムに関することについて俯瞰的に見ることができるということ。
1分野に特化することなく、開発・運用・管理・企画・セキュリティといった多分野を見ることができる。

あとは、「こうあらねばならぬ」ということをビシっと言えることだろうか。
結構SEの頃、いろんなことをうやむやにしていた。しかし立場が変わって第三者となった。するとあるべき姿から乖離していた場合に「かくあるべし」と一刀両断できるようになり清々しい。なかなか、何が「あるべき姿」なのかを判断するのも難しいのだが…。

他には、私のような若造でもクライアントのシステム部門長と対等に仕事ができる、理不尽なほどの残業はない(私については今のところ…)、「35歳が限界」と言われるSEと違って長く仕事ができる等など。

確かに、開発から移った自分はモノに直接触れられない寂しさはあるのだが。そういったデメリットも含めていろいろみんなに伝えられたらなぁと思った。

決してリスクマネジメントは企業だけのものではない。

最近リスクマネジメントの本を読んでいて、リスクマネジメントという枠組みは決して企業や国だけでなく、一個人にとっても有益だということに気がついた。企業のように社会的責任を負っていないので、なんか問題を起こしたところでパッシングにあうことはなかろうが、リスクに対して適切な備えておくのは重要だ。この「適切」というところが重要で、起こりもしないようなことを杞憂したり、逆に起こる可能性は高いにも関わらずなおざりにしないようにしなければならない、というのが重要。
将来日本が滅びるかもしれないからといって英語を勉強したり、将来大災害が発生したときにサバイバルできるようアウトドアにこったりするのはよろしくない(何を隠そう昔の自分の杞憂なのだが)。

で、自分にとってリスクって何かをいろいろと思い巡らせて見ると。
失業、災害による被害、将来ろくに年金を受け取れないことになりそうだし、両親もそろそろ年なので介護が必要になるかもしれぬ、詐欺や盗難に遭うかもしれない。
と、こう挙げてみると、案外「お金」に関わることばかりだ。世知辛い。とりあえずコツコツお金を貯めることからはじめましょう、ちゃんちゃん。

改めて自分にとってのお金に関わらないリスク、ってどういうのがあるかを考えてみると。

ぱっと思いついたのが「痴漢の冤罪」や「セクハラ」。風評被害で社会的信頼性を失い、果ては経済主体としてのゴーイングコンサーンが失われてしまうかもしれぬ、社会からの追放だ。恐ろしや。結局これも杞憂な気もするが、あながち侮れない。とりあえず満員電車は避けて早朝で出勤(満員電車が嫌いなだけだが)。セクハラについてはなるべく女子職員とは仕事しないようにしよう(一歩間違えると差別になりかねないが)。

あとは精神的な苦痛。私が最近受けている精神的苦痛は、花粉症のこの季節、街のそこかしこで耳にする洟をすする音だろうか。対策としてはノイズキャンセリングのイヤホンとオーディオを持ち歩くこと。

次、自分の「老い」。老いることは不可避だが、老いることによってどんなデメリットがあるのか、自分に想像ができないので、重点的にアセスメントするべきなのかどうかもよくわからないというのが現状。とりあえず後退しつつある生え際については「リスク受容」で対応。

他、親や親友の死、そして自分の死。これも不可避なリスクにも関わらず、あまり備えている人っていないのではなかろうか、というか、人の死を「リスク」と看做してマネジメントをしましょうという発想自体がなんだか不謹慎かもしれない。何だろう、ここはもう悟るというか、人として大きくなるしかない。

他、いろいろと考えながら、当たり前なことではあるが、リスクとは「変化」、特に「失うこと」なのだなぁ、と改めて思う。

不正アクセス犯罪の動機の大半はカネだそうだ。

システムに関わる不正というのはどういうのがあるのかをネットで調べて見つけた。
pdfファイルだが。警視庁が出している不正アクセス犯罪の統計
不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

興味深かったのは、かなり偏っていること。手法の主流はフィッシング、アクセスの手順は識別符号窃用型(つまりはパスワードとIDを盗むことだとおもう)、そして何よりも動機が「カネのため」ということ。

不正アクセス禁止法違反という「犯罪」にまで発展するということは何らかの「被害」が大きい事例なので、一概に「不正アクセスの動機の大半はカネのため」とは言えないだろうが。
検挙率はこの3年で7倍にも増えている。今のところ標的は特にネットオークションにされているようだが、今後さまざまなサービスがネットワーク経由で決済が行われていくと被害はさらに広がる可能性はある。(銀行やカード会社のセキュリティはしっかりしているから大丈夫…？)

システムを使用してどんな不正が可能かを考えることは、監査をする上で重要なことかもしれない。
不正があることを前提とした監査は性悪説に立脚した厳しい監査が行われる。逆に不正はないだろうとみなして監査を行えば監査は緩くなってしまう。

私は、もしかしたら不正が起こりうるかもしれない、ということを思って監査していただろうか？
本当にシステムを利用した不正は起こりえないのだろうか？
今までシステムでどんな不正ができるかを考えたことがない人間が、どんな不正が起こりうるかを想定できるだろうか？

そんなことを、最近この本を読んで思った。

不正事例から学ぶ業務別内部統制の仕組み

この本はシステムでなく、販売・購買・経理・財務・固定資産管理・人事などの業務でどんな不正が起こりうるか、それを発見・防止するためにはどんな統制活動が必要かが列挙されている。

こういう感じでシステムの不正事例の本があればいいのにな。

当初、システムは会計と違い、お金に直接結びついていないから、不正発生の可能性は低い、と思っていた。だが、よくよく考えてみればシステムだって使いようによってはお金に結びつく。たとえば格納されている情報がそうだ。顧客情報や、機密情報は十分お金になる。そして、それを狙わない人が全くいない、とは言い切れない。そして、何も不正はお金だけが目的ではない。

不正というのはスキルと悪意の両方があって始めて思いつくものだ。健全な方向に利用するためだけに磨かれたスキルでは、どんな不正が為せるのかは思いつかない。そのためにも今までに生じた不正事例について学ぶというのは大変重要なことだと思う。