マンション耐震設計偽装問題

以下、朝日新聞よりの引用です。

　マンションなどの耐震強度に関する構造計算書の偽造を見過ごした民間検査機関イーホームズ（東京都新宿区）に、国土交通省がほぼ毎年、定期的に立ち入り検査をしながら、同社の審査態勢の不備を指摘してこなかったことが明らかになった。帳簿の保管状況や検査員数の点検が中心で、建築確認の審査方法の中身は詳しく調べていなかった。こうした事態を受け、国交省は、民間検査機関への検査のあり方を見直す。

　また、現行の建築確認制度では、書類審査ですべての偽造を見抜くのは困難として、欠陥建築物の被害者に対する補償の強化にも乗り出す。

　国交省によると、民間検査機関への立ち入り検査は建築基準法に基づき、年１回程度で、「建築基準適合判定資格者」の資格を持った１級建築士の数や確認書類の保存状況、利害関係のある業者への検査の有無など、事務上の不備に関する点検が中心。構造計算書を個別に再計算することはなかった。

　イーホームズに対しては、ほぼ毎年度末に実施。１０月２４日には抜き打ちの検査もしたが、書類の保管の不備について改善を指導しただけで、構造計算書の審査状況は調べなかった。今回の偽造問題発覚後に立ち入り検査をするまで、審査手続きの違反には気づかなかったという。

　昨年は立ち入り検査をせず、建築基準法で定められた定期報告で事務概要や財務状況の書類を提出させていた。

　国交省は偽造見過ごしの再発防止策として、立ち入り検査の強化を検討。構造計算書など重要書類の一部を抽出して詳しく点検するなどの案が浮上している。

　ただ民間検査機関は１２２あり、建築確認の総数は年間約７５万件。国交省は審査ミスを完全になくすのは困難とみており、建築確認の審査をすり抜けた欠陥建築物の被害者に対する補償の実効性確保が今後の検討課題だとしている。建物に欠陥があった場合に補償金が支払われる保険の売り主への加入義務などを軸に検討する。国交省幹部は「これまでの建築確認制度は性善説で運用してきた。今後は性悪説で制度全体を考える必要がある」と話している。

前にもこのBlogで取り上げましたが、性善説/性悪説の話題がでてきました。いい加減にして欲しい、これが率直な感想です。情報セキュリティの分野に性善説/性悪説のような哲学論争を持ち込むな、が私の主張です。これは、情報セキュリティだけでなく、今回問題なっている建築確認の制度のなかでも同じであろうと思います。性悪説によって、人を信じるなということでなく、制度の中で発生しうるリスクに備えるということに関しては、考え方は同じでしょう。国交省幹部の言いようは、性善説に考えてきたから何もしてこなかったいう言い訳にしか思えません。
ある制度は設計、構築し運用していくに当たり、性善説/性悪説のような決着の付かない論争を持ち込むのでなく、制度に潜むリスクをいかにコントロールしていくかを重視すべきではないでしょうか。

性善説/性悪説という哲学的思考を否定するつもりは全くありませんし、自分でも考えることがあります。しかし、もう一つのシステム、制度の中に持ち込むことは止めにして欲しいものです。

構造計算偽造問題

A一級建築士による強度計算偽造の問題は、更なる広がりを見せ、各方面に多大なる影響を与えています。この、Blogでも取り上げましたが、認識が甘く不適切な点があります。が、修正したり削除することはせず、そのままにしておくことにします。

この件では、言うまでも無く問題の分譲マンションを購入した居住者の方々が最も深刻な被害を受けています。その補償の道筋もはっきりせず、販売会社も建設施行会社も審査会社も責任の投げ合い、最も大きな責任があるはずのA建築士も被害者であるかのような言動があります。居住者の皆さんにとっては、怒り心頭でしょう。
営業停止に追い込まれたホテルやその従業員にとっても、大きな影響がでていますね。建物の解体も予想され、場合によっては従業員の雇用問題に発展する可能性があります。これかの進展で、様々な問題が吹き出てくるのであろうと思います。

その他に、’建築設計(構造計算含む)　→　建築確認申請　→　審査　→　認可’という一連のプロセス、制度に対する信頼性が著しく低下してしまった、ということも、この事件により派生した大問題ですね。
この一連のプロセスが信頼に足るという前提条件が崩れかけている訳ですから、この制度の立て直し、信頼回復は急務であると同時に難しい課題です。
地方自治体の審査でも件のA建築士の偽造を見逃していた可能性が指摘されており、一審査会社関係の物件だけでなく、疑惑の建物が止め処なく広がりそうです。

先週末、日本情報セキュリティ監査協会の会合の後に、数人の方と、この件は情報セキュリティの関係者においても注視していくべきであると、話していました。現在協会では、情報セキュリティにおける助言やコンサルティング、構築支援、将来的には保証をも視野にいれて活動しています。特に「保証」という観点に立った時、制度としての信頼性を如何に担保し、構築/維持していくか。大きな課題です。
この構造計算偽造問題から得られる教訓を情報セキュリティ監査制度の推進に中に取り込んでいくことが肝要でしょう。

制度の信頼性維持のためには、予防/発見/修正、PDCAの一連のサイクルを情報セキュリティ監査制度のなかに確立されること。重い課題ですね。

あはは

以下は、朝日新聞のHPからの引用です

　地球から約３億キロ離れた小惑星イトカワへの着陸を目指していた探査機「はやぶさ」について、宇宙航空研究開発機構は２６日朝、「２度目の着陸に成功し、試料採取装置が作動した模様だ」と発表した。重要な目的だった表面からの試料採取に成功したとみられる。月以外の天体に着陸して試料採取できたとすれば、世界初の快挙となる。
　宇宙機構によると、はやぶさはイトカワへ、岩が少ない「ミューゼスの海」と呼ばれる付近を目指して接近。１個残っていたターゲットマーカーは結果的に使わず、２０日の着陸時に投下したターゲットマーカーを目印に、レーザー光で高度を測りながら下りた。

　その後、着陸に向けて姿勢を変更し、しばらく地上と通信できない状態が続いた。午前８時過ぎに送られてきたデータによると、午前７時すぎ、試料採取装置を表面に接触させて金属球を撃ち込んだことが確認された。

　装置の中で、舞い上がった砂などを採取する仕組みになっており、数百ミリグラムの試料採取に成功したとみられる。実際にどれだけ入っているかは、地球に回収するまでわからないという。
　２０日の着陸時は、太陽光を浴びて高温になったイトカワの表面に、はやぶさが約３０分とどまり続けるトラブルがあり、試料採取はできなかった。今回の着陸は、ほぼ順調に進んだようだ。はやぶさにかけられた経費は約１２７億円で、７月に彗星（すいせい）へ弾丸を撃ち込むのに成功した米国の探査機「ディープインパクト」と比べると、半分以下の額になっている。

　地球との位置関係や燃料の残量を考慮すると、はやぶさは１２月上旬にイトカワを離れる必要がある。地球帰還は０７年６月の予定で、オーストラリアの砂漠地帯に試料のカプセルを落とす。

以前にもこのBlogで取り上げた日本の小惑星探査衛星の「はやぶさ」が2度目の挑戦で小惑星イトカワに着地、試料採取に成功した模様です。模様という言い方しかできないのは、引用した記事にもあるように試料の入ったカプセルを実際に回収するまで確認できなきないからです。

中国が有人飛行を成功させ、宇宙開発技術で遅れをとったという見方があります。これは、ちょっと言い過ぎかなと思います。中国の有人飛行は、やはり快挙であり、この面で米国、ロシア(旧ソ連)に続く有人飛行技術を確立させつつあるのは事実で、先進的なことでしょう。しかし、はやぶさの成功も別な観点からみて素晴らしい成功です。

小惑星イトカワまでの3億キロ以上の距離では、地球から遠隔操作することは困難です。地球からの電波が往復するのに30分もかかってしまい、適時に的確なオペレーションを行うことはできません。はやぶさは、自律航行/制御システムでイトカワに近接しながら飛行し、着陸、試料採取に成功したのです。

また、イトカワまで往復させるため衛生本体や観測機器などが小型軽量化されました。燃料を節約するためにです。

はやぶさとイトカワをランデブーさせるための軌道計算、最も効率的な飛行経路の計算と選定、地球など引力を利用したスイングバイなど科学技術計算。

日本が持つ宇宙開発技術、そのバックボーンとなった科学技術水準の高度さを証明しています。

宇宙開発技術は、有人飛行だけで比較考量されべきではないでしょう。米国やロシア(旧ソ連)、それに中国が持ちつつあり、欧州が追随しようとしている有人飛行技術も宇宙開発上の重要な要素です。しかし、月以上の遠方に有人飛行させる術を持たない現状では、無人探査も宇宙開発の基盤となる技術要素ですし、単に送り込むだけでなく地球に帰還させ回収という一連のサイクルを成功させつつあることも高く評価すべきと思います。

観測試料の採取に成功しただけででは、この計画全体の成功とは言えません。はやぶさを地球に帰還させ、試料の入ったカプセルを回収させるまでは、安心できません。はやぶさは、飛行制御装置が故障し、2度の試料採取で燃料を消費し、帰還までぎりぎりの状態です。過酷な宇宙空間で何が起こるかも想像できません。太陽フレアに起因する宇宙線で、日本の地球観測衛星や火星観測衛星など各国の宇宙探査機が機能不能に陥ったこともあります。満身創痍のはやぶさを無事に帰還させことは、今まで以上の困難が付き纏うでしょう。しかし、この世界初の快挙を何としても成功させて欲しいものです。

宇宙航空技術開発機構


小学生のころ、アポロ11号の月面着陸に驚きを覚えました。それ以来の興味を持って、この計画の成功を祈っています。

なぜ、情報セキュリティのBlogに宇宙探査の話題かというと、単純に小生の個人的興味です。ただ、それだけなのです。

社内監査

建築の耐震強度を偽装したことが大問題になっています。茅場町のホテルは、営業を停止し、マンションに入居している人たちには、転居が必要とされる事態になりかねないようです。関連の記事の中で気になることが。
以下、2005年11月18日、読売新聞のHPから引用です。

千葉県の建築設計事務所が首都圏のマンションなど２１棟の耐震強度を偽装していた問題で、このうち２０棟の建築確認を行った民間の指定確認検査機関「イーホームズ」（東京都新宿区）の藤田東吾社長ら幹部が１８日、東京・霞が関の国土交通省で記者会見し、構造計算書のずさんな偽造を見逃したことについて「（検査で）ミスはあったが、本質的な問題ではない。検査は適正に行われており、当社に過失はない」と責任を否定した。

　問題の偽造書類には、耐震基準を満たしていれば、印字されるはずの「認定番号」がなく、大臣印付きの「認定書」なども添付されていなかった。

　偽造発覚につながったかもしれない、こうした不備を見逃したことについて、同社の担当者は「計算方法によっては認定番号が印字されないこともある」と釈明。認定書などの不備についても「認定書の代わりに（コンピューターソフト会社が利用者に発行する）証明書が付いていたので実質的に事足りると判断した」と独自の解釈を展開した。

　しかし、「正規の手続きではなく、まずいことはまずかった。さらに検査の適正化を図っていきたい」とミスがあったことを認めた。

　この問題は、今年１０月、同社が定期的に行っている社内監査で、抜き取りにより監査対象となった書類に「認定番号」が印字されていないことに監査担当者が疑問を抱き、詳しく調べたところ、偽造がわかったという。p>

建築関係は全くの素人なので、この確認検査機関の責任ついて云々することは出来ません。しかし、内部監査で問題が発覚したことは注目したいです。社内の問題を発見する内部統制が機能していた、ということでしょう。また。監査人が不審を見逃さなかったこと、評価されて然るべきかと。だから、免責だということにはなりませんが。

ヤフー、オークションに不正検知システム導入

以下、朝日新聞からの引用です

ヤフー、オークションに不正検知システム導入へ
2005年11月14日20時55分

　インターネット・オークション（競売）での詐欺などのトラブルの急増を受け、最大手のヤフーは１４日、不正利用を自動的に検知するシステムを１２月から導入すると発表した。売り手と買い手との間のトラブルには原則として介入しない立場だったが、不正取り締まりに積極的に協力する方針に転換する。業界では初めての試みで、他社にも広がりそうだ。

　新システムは、過去の問題取引をデータベースに蓄積することで、似たような取引を早期に発見して被害を防ぐ仕組み。例えば、出品の実績がなかった利用者が突然ノートパソコンを大量に出品した場合などは、詐欺につながる可能性が高いパターンとして検知され、ヤフーが利用停止などの措置をとる。

　ネット競売市場は１兆円規模に膨らんでいるが、警察庁によると、０５年上半期のネット詐欺の検挙件数は６７２件で、既に昨年１年間の件数を上回っている。競売を使った犯罪が多く、昨年１１月には、商品も仕入れ資金もないのにカーナビなどの出品を登録し続け、全国の約１２００人から計約１億６７００万円をだまし取った事件が摘発されている。

　異常な取引を検知して被害の拡大を防ぐ仕組みは、クレジットカードでは一般的だ。偽造・盗難キャッシュカード犯罪の増加を受け、ＡＴＭ（現金自動出入機）システムでも同様の仕組みが広がっている。

以前に、このblogの記事にしましたが、クレジットカード会社では、カード会員に購買動向、カード使用動向を分析して、不審なカードの使用を検知する仕組みがあります。クレジットカード会社の方に聞いたところ、100%の確率では勿論ないですが、顧客の被害を防止するのに役立っているそうです。
たしかに、殆ど出品実績のないのに突然、パソコンを大量出品すれば怪しい可能性が高いですね。ただし、高いということで絶対ではありません。本当に突然に大量の出品をしたのかもしれません。その場合、Yahooは収益を逸したことになります。しかし、詐欺の被害を未然に防ぐという観点からみれば、大きな前進です。このYahooの決定は、詐欺被害を完全に防ぐわけではありませんが、消費者保護の施策として評価していいと思います。

銀行も同じような仕組みを導入とのこと。確かに、突然まとまった金額が必要であった時、常のお金の動きと違うのでATMから払い戻しが出来ない、という事態も考えられますが、その時は窓口で対応すれば良いことですからね。
利便性を犠牲にしますが、この仕組みを預金者の選択制にしても良いと思います。利便性を犠牲にしても良い人と、そうでない人。預金者がリスクを選択する方法も考慮の余地ありと思います。

以下は、共同通信からの引用です。

北海道職員らの情報が流出　ウィニーで３５００人分か [ 11月14日 20時41分 ]
共同通信

　北海道は１４日、地方職員共済組合北海道支部に所属していた職員の私物パソコンから、退職者を含む道職員ら約３５００人の氏名や電話番号、給料額などの個人情報がインターネットに流出した可能性があると発表した。
　道によると、総務省から地方職員共済組合の個人情報が流出していると連絡があった。職員が個人情報を、ファイル交換ソフト「Ｗｉｎｎｙ（ウィニー）」を使用している私物パソコンに保存したため、ウイルスに感染して流出したとみられる。
　道は「事態を厳粛に受け止め、二度とこのような過ちを起こさないよう情報管理の徹底を図りたい」としている。

またまた、Winnyによる情報流失です。この事件に限らず、Winnyによる情報流失は、

①　職場で個人情報を私物のパソコンに保存
②　そのパソコンにWinnyがインストールされている
③　そのパソコンにウイルスが感染
④　個人情報流失

同じ事が繰り返されますね。しかも、地方自治体や警察など公共団体に目立ちますね。

①　私物PCの職場での使用を規制
②　USBなどの記憶メディアの規制
③　個人情報のダウンロードの規制

特に難しい対策が必要な訳ではりません。思うに、漏洩が起きた団体でも無策であった訳ではないと思います。しかし、個々人がしっかりとルールを守らないと、対策が有名無実になります。
情報セキュリティに対する意識の向上が大切なのでしょうね。

銀行の合併

以下は読売新聞からの引用です

　

東京三菱銀行とＵＦＪ銀行は１１日、予定通り来年１月１日に合併してコンピューターシステムを統合しても、重大な問題は起こらないとの最終判断を固めた。来週中にも金融庁に説明する見通しだ。

　東京三菱銀とＵＦＪ銀は、システム統合に万全を期すため、合併を当初予定していた１０月１日から３か月延期した。

��2005年11月12日3時17分 読売新聞）

これで、合併銀行が2006年1月1日にスタートすることが正式に決定しますね。単にシステムの統合の難しさだけでなく、異なる企業文化を如何に融合させるか、大きな課題ですね。そして、その企業文化に影響される情報セキュリティの融合も、また難しい宿題であろうと思います。

とある銀行のシステム関係者から銀行の合併での頭痛の種は、預金通帳だという話を聞いたことがります。A銀行とB銀行が合併した場合、一時期において3種類の通帳が出回ることになります。

旧A銀行の通帳
旧B銀行の通帳
合併銀行の通帳

預金者の中には、通帳の記帳をせずにいる人もいますから、新銀行の通帳に一本化されるまでには、結構時間を食うし、旧通帳のサービスを停止の時期の選択も課題のようです。

今回の合併、滞りなく行われることを期待します。私も給与振込みはUFJ銀行なもので。

東京証券取引所 システム障害の原因発表

2005年11月1日に発生した東京証券取引所のシステム障害の原因が、東証より発表されました。
以下、2005年11月7日、朝日新聞のWebよりの引用です。
　

東京証券取引所は７日、今月１日の売買停止を起こしたシステム障害の原因について「プログラムの開発元の富士通が作成した作業指示書に誤りがあった」とする調査結果を公表した。会見した鶴島琢夫社長は、損害賠償請求など今後の対応について「契約内容などを検討のうえ決める」と述べた。

　東証によると、１０月８～１０日に売買の処理能力をあげるためにシステムを更新した際、証券会社の端末データを読み込んだり、注文の受け付け情報を証券会社に知らせたりするプログラムに不良があることを発見。富士通が自ら修正し、コンピューターに「仮登録」した。

　その後、テスト運行を経て、１０月１３日に、東証の関連会社でシステム管理を担う東証コンピュータシステムが、富士通からの指示をもとにプログラムを「本登録」したが、その際、富士通が作成した指示書に記載漏れがあったという。これが原因で、コンピューター内のデータを圧縮して整理する１０月末を境に、プログラムが正常に機能しなくなったという。

　鶴島社長は会見で、損害賠償請求の可能性について「もう少し事実関係を詳細に検討し、富士通との契約内容を十分に検討したうえで今後の対応を決める」と述べた。誤りをチェックできなかった東証自身の態勢も「今後、検証する必要がある」とし、東証の経営陣の処分は１０日の臨時取締役会で決める方針だ。

　今回の調査結果について、富士通は朝日新聞の取材に対し「指示書に記載漏れがあったとしか説明できない」としている。

原因はベンダーの作業指示書への記載ミスということです。が、それだけでしょうか。東証に責任は無いのでしょうか。システムのオーナーは東証ですから、オーナーとしての責任はあると思います。
システムの修正やテスト、受け入れに関する手順を定め、システムとしての安全、保全を維持する責任は東証にあります。
ベンダーの重大な過失は過失として、責任は問われて然るべきですが、必要なテストを漏れなく行っているか、結果は良好であるか、確認する責任はシステムのオーナーにもあります。
今回の障害は、テストにより事前に防止することが可能であったように思われます。ベンダーの責任以外にもシステムオーナーの責務も反省されるべきではないでしょうか。

個人情報保護法

やはり、というか早目に手を打つんだなというか・・・・
内閣府において、個人情報保護法の見直しが検討されるとのことです。
以下、読売新聞からの引用です。

個人情報保護法、運用見直しを協議へ…過剰反応に対応
　今年４月に個人情報保護法が全面施行されたのに伴い、過剰反応が相次いでいる問題で、同法を所管する内閣府は、運用などの見直しを視野に、中断している国民生活審議会（首相の諮問機関）の個人情報保護部会を今月末に再開することを決めた。

　保護法を巡っては、各地の消費生活センターに、悪質業者の電話勧誘が同法の規定では止められない点などに苦情・相談が多数寄せられており、同部会ではこの点も協議する。

　保護法では、営利・非営利を問わず、５０００人を超える個人情報を取り扱う事業者に、情報の目的外利用や第三者提供を原則禁じている。このため、本来は問題がないのに、医療機関が警察の捜査照会にもけが人の容体を教えないなどの過剰反応が起きている。

　一方、保護法では、個人情報の目的外利用や不正取得の事実がなければ、本人の希望でも企業の持つ個人データの利用停止を強制できない。４月以降、国民生活センター（東京）の専用相談窓口だけでも、同法に関する苦情・相談が約９００件寄せられ、その約７割は、電話勧誘やダイレクトメール（ＤＭ）の送付を停止させられないことなどの苦情や不満という。

　こうした状況から、内閣府は、個人情報の保護と有効利用のバランスが取れていない現状が一部に起きていると判断。保護法に関する重要事項を審議する同部会に、国民センターから施行後半年の状況を報告させ、同法の解釈・運用にあたっての基本方針、省庁ごとの運用指針の見直しなど改善策について協議するよう求める。

��2005年11月5日3時5分 読売新聞）

一部とはいえ、法律の本来目指すところと実際の施行結果にずれが生じている、逆の結果になっているのであれば、見直しは当然ですね。
企業においても、個人情報に関する問い合わせは、少ないようです。個人情報保護法に関する理解が低い、勘違いしている、関心がない、知らないといった事が要因の一部でしょう。見直しの中に、啓蒙ということも含めて欲しいものです。
ただ、気になることがあります。個人情報保護法は、民間向け、独立行政法人向け、行政機関向けと複数の法律があります。個人情報保護法と特に冠詞を付けずに言えば、民間向けを指すのが暗黙の了解事項のようです。今回の運用見直しは記事の文面からすると民間向けが主体のようですが、医療機関も対象になるのなら、独立行政法人も含まれるのかなという気もします。行政や独立行政法人には甘いと言われる意見もあるので、その事も含まれた見直しであって欲しいものです。


過ちては則ち改むるに憚ること勿れ

http://app.cocolog-nifty.com/t/trackback/6904393

東証のシステム障害

一昨日(2005年11月1日)、既報の通りというか、各マスメディアが連日競って取り上げていますが、東京証券取引所のシステムで大障害が発生しました。
このBlogでも、当然取り上げるべきと思い、注視していましたし、職場でもこの件で同僚と議論をしていました。昨晩、Blogにアップしようと思っていたのですが、今日が祝日(11月3日)ということで、晩酌をしてしまい、ほろ酔い気分で寝てしまいました。なもので、ちょっと鮮度が落ちてます。

以下は毎日新聞の11月2日の故事からの引用です

◇「安全網」機能せず－－プログラムミス

　

専門家は、東証のシステム拡張の際、実際に運用する前に行う「動作試験」が不十分だったことが今回の障害につながったとみている。大手行のシステム担当者は「プログラムのミスは避けられない。基本的なミスを、動作試験で見つけられなかったことが問題」と指摘する。

　システム増強などに伴うプログラム変更は手間をかけ動作試験を行うのが常識だが「納期を優先すると真っ先に削られるのが動作試験」が業界の実態という。動作試験を繰り返す基本動作が十分でなかったことが原因究明の遅れにもつながり、半日近いシステムダウンを招いた可能性が高い。

　「安全網」も働かなかった。東証はコンピューターの記憶装置などハードが故障した時に備え、バックアップシステムを備えている。しかし、コンピューターサーバー3基が同じプログラムで処理する仕組みのため、ソフトが原因のトラブルには機能しなかった。

　また、今回の障害は月替わりの日に起きた。「月や年の替わり目は、コンピューターのソフトで注意すべきところだ」と担当者は口をそろえる。

この記事の通りですね。私は、現在は情報セキュリティコンサルタントを名乗っていますが、元々は情報システム/データセンターの運用管理が専門でした。新システムのカットオーバーや改修後のリリース等は、神経質なまでにテストを繰り返すのが常でした。その際、可能な限り本番環境に近いテスト環境を構築するか、空き時間を狙って本番環境を使用します。そうでないと、実行環境相違で、不備不具合を見逃してしまう可能性は高いからです。
情報システムの運用は、
　(1)　日次処理　
　(2)　週次処理
　(3)　月次処理
　(4)　4半期処理
(5)　半期処理
　(7)　年次(決算)処理
　(8)　不定期処理、スポット処理
など多様な処理サイクルがあります。テストの際は各処理サイクルでの検証を行い、確認後に検収します。
今回の障害は、月をまたがった最初の営業日での月次処理に不具合があり、システム全体の障害に至ったようです。これは、テストが不十分であったと判断されても致し方ないですね。
年次(決算)処理の場合、企業によってはその1ヶ月、2ヶ月前から当該システムへの修正を凍結し、処理が遺漏無く行われるように万全を期す企業が少なくありません。ベンダーの責任が厳しく問われるのでしょうが、東証自体の検収/受け入れ態勢にも問題ありだと思います。ベンダーの報告を鵜呑みにせず、自らリスクを判定しコントロールする姿勢/体制が重要です。

再び、毎日新聞の記事から引用です

東証は年2回、システム監査をしているが、いずれも外部委託。企業の内部のシステム監査は、日本監査人協会が認定する公認資格「システム監査人」が実施するが、東証にはこの有資格者がいない。内部、外部からの二重チェック不在を危ぶむ声も強まりそう。東証自身が上場問題を抱える中、危機管理の手薄さを露呈したことは大きな痛手と言える。

　

システム監査を行うのは(行っていいのは)、日本システム監査人協会の「公認システム監査人」だかけのか？　
我々、Information System Audit and Control Association(ISACA　情報システムコントロール協会)のCISA(Certified Information System Auditor)、「公認情報システム監査人」は？　と突っ込みを。

本筋に話を戻して。所謂、「システム監査」では、客観的で公正妥当な基準に従い、ITに関するマネジメントが適切に行われているかを監査する、ということだと思います(ちょっと粗い定義ですが)。ですから、システム監査では、システム内に内在する不備/不具合を直接見つけ出すことは出来ませんし、目的ともしてません。不備/不具合を事前に検知し、障害を未然に防止する態勢や手続きが整備され、有効に機能しているか、当該のリスクに適切なコントロールが実施されているかを見定めるのが監査ということでしょう。
東証の検収態勢(体制)が如何なるものであったか。システム監査を実施していたとすれば、その辺を如何に判断していたか。興味ある課題です。

現在のところ、システム監査に当たっての客観的で公正妥当な基準ということのなると経済産業省の「システム管理基準」一般的ですね。同基準の中には、システムの検収受け入れ体制、手続きに関する項目もあり、改めて読み直してみようと思います。

法的な規制/規定がありませんが、情報システムの安全/安定を維持する上でのシステム監査、そして情報の安全のための情報セキュリティ監査を広めていく上で、教訓の多い障害事例でありました。

日本システム監査人協会

システム管理基準

システム監査基準