京都で働くコンサルタントのブログ
1 | 2 | 3 | 4 | 5 | 最初次のページへ >>

創業10周年

皆さん、こんにちは。
(株)マネジメント総研の小山です。

おかげさまで当社は創業10周年を迎えることができました。
当社と関わりのある皆さまに心から感謝申しあげます。

当社は、2011年4月1日の創業以来、マネジメントシステムを軸に、
経営に役立つ仕組みづくりを一貫してご支援してまいりました。

私自身、いつも念頭にあったのは、
「プロとして誇れるか?(恥ずかしくないか?)」
という自問です。

自身が、当社が、お客様に提供するサービスの質に対する
責任を自覚し、覚悟を持って取組んでまいりました。

専門分野に対する知識の拡充、
役立てるための知恵の捻出、
行動できるようにするための配慮、
など妥協せずに向き合ってきました。

そうしたことに加え、良いご縁にも恵まれ、
やりがいのある充実した日々を積み重ねることができました。


今後も、「プロ意識」を強く持ち、
期待に応えられるよう、お役立ちできるよう、
励んでまいります。


引き続き、どうぞよろしくお願いいたします。


 

情報セキュリティ10大脅威 2021

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2021年1月27日にIPA(独立行政法人情報処理推進機構)より、「情報セキュリティ10大脅威 2021」が公表されています。

これは、情報セキュリティ専門家を中心に構成する「10大脅威選考会」の協力により、2020年に発生したセキュリティ事故や攻撃の状況等から脅威を選出し、投票により順位付けされたものです。


『個人』と『組織』の各視点で10大脅威が選出されていますが、ここでは、『組織』の10大脅威についてご紹介します。


【1位】ランサムウェアによる被害 [昨年5位(↑)]

【2位】標的型攻撃による機密情報の窃取 [昨年1位(↓)]

【3位】テレワーク等のニューノーマルな働き方を狙った攻撃 [New]

【4位】サプライチェーンの弱点を悪用した攻撃 [昨年4位(→)]

【5位】ビジネスメール詐欺による金銭被害 [昨年3位(↓)]

【6位】内部不正による情報漏えい [昨年2位(↓)]

【7位】予期せぬIT基盤の障害に伴う業務停止 [昨年6位(↓)]

【8位】インターネット上のサービスへの不正ログイン [昨年16位(↑)]

【9位】不注意による情報漏えい等の被害 [昨年7位(↓)]

【10位】脆弱性対策情報の公開に伴う悪用増加 [昨年14位(↑)]



   
3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」が初めてランクインしました。

新型コロナウイルス感染症の蔓延に伴い、テレワークが進められる中、それらを狙った攻撃が行われていることが挙げられています。

攻撃手口や発生要因として、以下が挙げられています。
・テレワーク用ソフトウェアの脆弱性の悪用
・急なテレワーク移行による管理体制の不備
・私物PCや自宅ネットワークの利用

対策・対応として、環境の整備、管理体制の整備、ルールの整備・周知、そして被害の早期検知及び確実な対応、等が挙げられています。

 


なお、トップ10に挙げられた脅威は、総合的に関心度の高いものと考えられますが、それぞれの環境によって優先順位は異なると考えられます。また、ランクインした脅威が全てではありません。トレンドを把握しつつ、自社の環境を踏まえて脅威を想定し、対策を点検し、適宜、強化していくことが肝要だと考えます。

IPAのサイトでは、より詳しい情報が掲載されていますので、ご確認いただければと思います。


▼情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html 
 
 

当社のマネジメントシステム(2020年度)

皆さん、こんにちは。
(株)マネジメント総研の小山です。
 
当社のマネジメントシステムについて、2020年度の取組みをご報告いたします。
  
今年度は、ISO認証に関して、以下の2つの成果がありました。
(1) ISO 22301:2019認証(移行)
(2) ISO/IEC 27001認証(取得)

 


 
(1) ISO 22301:2019認証(移行)
(BCMS:事業継続マネジメントシステム)
 
・BCMSは、お客さまへのサービスを安定してご提供できる体制を整えることが「プロ」としてのつとめである、という考えに基づき取組んでおります。
・「ISO 22301(BCMS)認証」は、2014年1月24日付で認証を受け、2度の更新を経て現在に至ります。
・「ISO 22301」が2019年10月30日に改正されたことから、改正版とのギャップを確認・反映し、移行審査を受け、2020年12月25日付で認証いただきました。
 
 
(2) ISO/IEC 27001認証(取得)
(ISMS:情報セキュリティマネジメントシステム)
 
・ISMS自体は、創業時(2011年)より取組んでおりましたが、コロナ禍の状況を踏まえ、情報管理の重要性をより意識するとともに、対外的にも示すことができるよう、ISO認証取得に取組むこととした次第です。
・これまでBCMS(事業継続マネジメントシステム)の中で「情報セキュリティリスク」を対象に含めて管理してきたことから、JQAの「マネジメントシステム統合プログラム」による審査を受け、「ステージⅡ」と評価をいただきました。
・ステージⅡ:統合マネジメントシステムとしての管理体制・仕組みが完成し、所期の結果が得られている。
 
 
引き続き、事業継続・情報セキュリティの仕組みを、当社自らが実践し、ノウハウを蓄積し、お客様、社会におけるリスク低減に貢献できるように、励んでまいります。
 
 
 
 

 

2021年のテーマも「そもそも」

皆さん、明けましておめでとうございます。
(株)マネジメント総研の小山です。

昨年(2020年)のテーマは「そもそも」でした。

毎朝のルーティンとして、「To Do List」を確認するのですが、
その1つ目に次の言葉を記し、日々、意識して取組んで参りました。

【そもそも】
事ある毎に、原点に立ち戻り、根本を見つめ直し、
本来どうあるべきかを考えて、取組む。



何事も始める際は、経緯・理由・目的等があり、
あれこれ考えた上での手段として取組むものです。

その取組みは、「目的」に対する「手段」なわけですが、
気を抜くと、「手段」をこなすこと自体が「目的」になりがちです。


「手段の目的化」を回避するためには、
・「手段」にこだわりすぎないこと
・そもそもの「目的」を常に意識すること
が肝要となります。


2020年は「そもそも」をテーマにしたことで、
毎朝、このことを念頭に置くことができ、
「目的」を意識することの重要性に改めて気づかされました。

環境・状況の変化により、
「目的」に対して「手段」が陳腐化しているものが
多くあることに気づかされた次第です。


当社は、2021年4月に、創業から11期目に突入します。

創業から丸10年で、内外の環境は当然変化しています。

そこで、2021年も改めて「そもそも」をテーマに掲げ、
事ある毎に、原点に立ち戻り、根本を見つめ直し、
本来どうあるべきかを考えて、取組んで参ります。


そして、より期待に応えられるよう、
より多くの機会にお役立ちできるよう、励んで参ります。


2021年もどうぞよろしくお願いいたします。

 

 

 

 

 

 

ISOマネジメントシステム認証数(2019)

皆さん、こんにちは。
(株)マネジメント総研の小山です。

今回は、ISO(国際標準化機構)から公表されている「ISO Survey 2019」についてご紹介します。

ISOが毎年、前年末時点のISOマネジメントシステム認証数を調査・報告しているもので、今回は2019年12月31日時点のものとなります。


以下、今回の調査結果の抜粋です。

(1) ISO 9001:2015(QMS/品質)
 ・認証数:883,521(前年 878,664)
 ・認証サイト数:1,217,972(前年 1,180,965)



(2) ISO 14001:2015(EMS/環境)
 ・認証数:312,580(前年 307,059)
 ・認証サイト数:487,950(前年 447,547)



(3) ISO/IEC 27001:2013(ISMS/情報セキュリティ)
 ・認証数:36,362(前年 31,910)
 ・認証サイト数:68,765(前年 59,934)



(4) ISO/IEC 20000-1:2011(ITSMS/ITサービス)
 ・認証数:6,047(前年 5,308)
 ・認証サイト数:7,778(前年 7,225)



(5) ISO 22301:2012&2019(BCMS/事業継続)
 ・認証数:1,693(前年 1,506)
 ・認証サイト数:6,231(前年 5,282)



(6) ISO 22000:2018(FSMS/食品安全)
 ・認証数:33,502(前年 32,120)
 ・認証サイト数:39,651(前年 36,105)



(7) ISO 39001:2012(RTSMS/道路交通安全)
 ・認証数:864(前年 547)
 ・認証サイト数:1,852(前年 1,422)



(8) ISO 45001:2018(OHSMS/労働安全衛生)
 ・認証数:38,654(前年 11,952)
 ・認証サイト数:62,889(前年 14,607)



各規格とも認証数は前年対比で増えていることがわかります。


詳しくは、以下のサイトから元資料をご確認ください。

▼ISO:ISO Survey 2019
https://www.iso.org/the-iso-survey.html 
 
 
 
 

「JIS Q 22301:2020」発行

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2020年11月20日に「JIS Q 22301:2020」が発行されました。
(「ISO 22301:2019」を基に、技術的内容及び構成を変更することなく
 作成された日本産業規格)

この規格は、事業継続マネジメントシステム(BCMS)の要求事項について
書かれたもので、2013年発行の「JIS Q 22301:2013」の改正版となります。


この規格には、事業の中断・阻害に関して、
組織が許容できる/できない影響の大きさ及び種類に対して
適切な事業継続の能力を開発するためのBCMSを
実施・維持するための体制とその要求事項
が規定されています。


今回の改正により、BCMSのマネジメントシステムをより洗練させること、
及びこの規格の核心である箇条8についてより詳細にかつ分かりやすく
書き直した
、とのことです。


箇条構成は、旧版同様、マネジメントシステム規格の標準に準拠しており、
以下のとおりです。


4 組織の状況
 4.1 組織及びその状況の理解
 4.2 利害関係者のニーズ及び期待の理解
  4.2.1 一般
  4.2.2 法令及び規制の要求事項
 4.3 BCMSの適用範囲の決定
  4.3.1 一般
  4.3.2 BCMSの適用範囲
 4.4 BCMS

5 リーダーシップ
 5.1 リーダーシップ及びコミットメント
 5.2 方針
  5.2.1 事業継続方針の確立
  5.2.2 事業継続方針の伝達
 5.3 役割,責任及び権限

6 計画
 6.1 リスク及び機会への取組み
  6.1.1 リスク及び機会の決定
  6.1.2 リスク及び機会への取組み
 6.2 事業継続目的及びそれを達成するための計画策定
  6.2.1 事業継続目的の設定
  6.2.2 事業継続目的の決定
 6.3 BCMS変更の計画

7 支援
 7.1 資源
 7.2 力量
 7.3 認識
 7.4 コミュニケーション
 7.5 文書化した情報
  7.5.1 一般"
  7.5.2 作成及び更新
  7.5.3 文書化した情報の管理

8 運用
 8.1 運用の計画及び管理
 8.2 事業影響度分析及びリスクアセスメント
  8.2.1 一般
  8.2.2 事業影響度分析
  8.2.3 リスクアセスメント
 8.3 事業継続戦略及び具体策
  8.3.1 一般
  8.3.2 戦略及び具体策の特定
  8.3.3 戦略及び具体策の選択
  8.3.4 資源に関する要求事項
  8.3.5 具体策の実施
 8.4 事業継続計画及び手順
  8.4.1 一般
  8.4.2 対応体制
  8.4.3 警告及びコミュニケーション
  8.4.4 事業継続計画
  8.4.5 復旧
  8.5 演習プログラム
  8.6 事業継続の文書化及び能力の評価

9 パフォーマンス評価
 9.1 監視,測定,分析及び評価
 9.2 内部監査
  9.2.1 一般
  9.2.2 監査プログラム
 9.3 マネジメントレビュー
  9.3.1 一般
  9.3.2 マネジメントレビューへのインプット
  9.3.3 マネジメントレビューからのアウトプット

10 改善
 10.1 不適合及び是正処置
 10.2 継続的改善



箇条構成自体は旧版から大幅に変更されたわけではありませんが、
中身については、旧版に比べ、分かりやすく整理されています。


JIS化されたことで手に取りやすくなったことから、
ぜひ一度目を通していただければと思います。
 

 

 

 

 

 

個人情報の取扱いにおける事故報告集計結果(2019年度)

皆さん、こんにちは。
(株)マネジメント総研の小山です。

JIPDEC(一般財団法人日本情報経済社会推進協会)より、
「個人情報の取扱いにおける事故報告集計結果(2019年度)」が
11月9日に公表されました。

昨年は9月に公表されていましたが、
今年はコロナの影響か、昨年より2か月遅れで公表されました。

この資料は、プライバシーマーク付与事業者からの事故報告をもとに、
JIPDECが傾向と注意点をまとめたもので、毎年、公表されているものです。


以下、報告件数です。

・2019年度:985付与事業者から2,543件の報告
 (2018年度:912付与事業者から2,323件の報告)

 

以下、事故原因別の内訳です。

(1) 誤送付 59.5%(前年度 57.9%)
  (メール誤送信 23.2%、宛名間違い等 15.7%、
   封入ミス 12.9%、FAX誤送信 5.3%、配達ミス 2.3%)
(2) 紛失  16.6%(20.6%)
(3) その他漏えい 17.5%(14.2%)

  (プログラム/システム設計・作業ミス 35.9%、
   関係者事務処理・作業ミス等 30.9%、
   不正アクセス・不正ログイン 14.8%、
   口頭での漏えい 10.8%、システムのバグ 5.6%、
   ウイルス感染 2.0%)
(4) 盗難  0.4%( 1.5%)
(5) その他 6.0%( 5.8%)



また事故原因の傾向について、
以下のとおりまとめられています。

(1) 手順等の不備・不注意・その他 63%
 (定められた規定や手順の問題、規定や手順が整備されていない取扱い、
  従業者の不注意・見落とし、その他原因不明)

(2) 規程・手順の不遵守 23%
 (定められた規定・手順を意図して守らなかった、省略した等)

(3) システム等の設定・構築ミス 8%
 (アクセス権限等の設定ミス、システムの不具合等)

(4) マルウェア感染・不正アクセス 3%
 (サーバー、PC等への不正アクセス、マルウェア感染)

(5) 不可抗力 2%
 (顧客本人のミス、予見が困難な自然災害等)

(6) 従業者の不正 1%
 (従業者・担当者が不正の意図をもって行った個人情報の取扱い)

(7) 不正・不法行為 1%
 (盗難・強盗、組織的に行われた不正行為等)



再発防止策については、
以下のようなことが記載されており参考になります。

・通常とは異なった対応を行う場合や、本来想定していない業務等、
 イレギュラーな状況における対応・承認手順や原則を定めること

・手順通りの業務遂行で、従業者の不注意により事故等が発生
 している場合、その手順が不注意を防ぐための手順のとして有効に
 機能しているかを検討すること




個人情報の取扱いにおける事故を防ぐために有益な情報が
まとめられていますので、詳しくは、以下の資料をご確認ください。

▼2019年度「個人情報の取扱いにおける事故報告集計結果」(JIPDEC)
https://privacymark.jp/news/other/2020/1109.html
 
 
 
 
 

改めて、マネジメントシステムの概要

皆さん、こんにちは。
(株)マネジメント総研の小山です。

今回は、改めて、マネジメントシステムの概要について記したいと思います。

マネジメントシステムを名乗る主なISOには、以下のものがあります。

・ISO 9001(品質マネジメントシステム)
・ISO 14001(環境マネジメントシステム)
・ISO 27001(情報セキュリティマネジメントシステム)
・ISO 22301(事業継続マネジメントシステム)



これらのマネジメントシステムの箇条構成は、
以前はバラバラだったのですが、
「各マネジメントシステムでバラバラではややこしい」
ということで、現在は以下のとおり統一されています。

 1.適用範囲
 2.引用規格
 3.用語及び定義
 4.組織の状況
 5.リーダーシップ
 6.計画
 7.支援
 8.運用
 9.パフォーマンス評価
10.改善



マネジメントシステムは、ざっくりと言えば、
各テーマに関する目的・目標を達成するための管理の仕組みです。

(「ISO 9001」であれば、
 品質に関する目的・目標を達成するための管理の仕組み)
(「ISO 27001」であれば、
 情報セキュリティに関する目的・目標を達成するための管理の仕組み)



この目的・目標を達成するための管理に必要な要素として、
主に以下の事項が挙げられています。

・内部環境・外部環境に目を向けて課題を把握する
・方針を明確にする
・役割・責任・権限を明確にする
・リスク・機会、課題を踏まえ目標・計画を立案する
・必要な資源を使えるようにする
・必要な力量を明確にし確保する
・必要なコミュニケーションを明確にする
・文書・記録を適切に扱えるようにする
・計画を実行する
・パフォーマンスを評価する
・パフォーマンスを改善する



これらの観点で、今ある仕組みを見直すことで、
各テーマに関する目的・目標を達成するための管理の仕組みを
強化することができるツールだと言えます。


ISO認証は、この仕組みが備わっているということを、
専門的な第三者機関に評価してもらったという証になりますが、
ISO自体は、組織力を強化するためのツールと捉えるのが
要点だと考えています。


各要素については、またの機会に掘り下げたいと思います。

ということで、今回は、
改めて、マネジメントシステムの概要について、
記させていただきました。
 
 
 
 
 
 

『一倉定の経営心得』

皆さん、こんにちは。
(株)マネジメント総研の小山です。

今回は、先日読んだ『一倉定の経営心得』についてご紹介します。
(日本経営合理化協会出版局、1999年)

一倉定(いちくら・さだむ)氏は、社長だけを対象に、大中小5,000社超の経営コンサルを行った日本における経営コンサルタントの第一人者、と言われています。
(1918年生まれ、1999年逝去)

この本は、一倉定氏の語録と解説で構成されています。


以下、特に印象に残った語録を10点ご紹介します。

01 電信柱が高いのも、郵便ポストが赤いのも社長の責任である。

02 ワンマン経営こそ本当である。
  (社長ただ一人が事業経営の全ての責任を負うこと)


03 わが社の赤字は、お客様を忘れたのが原因である。
  (お客様を無視する会社は、お客様から無視される)


04 市場の全ての要求を満たそうとすると、全ての要求を満たせなくなる。
  お客様が望むのは、全ての品が揃っていることではなく、
  自分の買いたい品が豊富に揃っていることである。
  (お客様の要求の特定の部分に限定し
   その中でお客様の多様な要求を満たす)


05 自分の性格に合わない事業には、手を出さないほうが無難である。

06 目標はその通りいかないから役に立たないのではなく、
  その通りいかないからこそ役に立つのである。
  (見込み違いが分かってこそ、正しい舵取りができる)


07 「若い」ということは抜擢をためらう理由ではなく、
  抜擢を決める理由である。


08 社長という人種は、社員に低い給料しか与えていないのに、
  社員の能力に過大な期待を持ちすぎるものである。
  (ろくな給料もださずに、経営者の姿勢を要求するとは何事であるか)


09 在庫が危険なのではない。
  在庫に対する考え方がないのが危険なのである。


10 クレーム自体の責任は追及しないが、クレームを報告しない責任と
  指示したクレーム対策を直ちに実行しない責任を追及せよ。
  (誰しもわざわざクレームがつくように仕事をしているわけではない)



他にも力強い言葉が数多く収録されており、いずれも実績に基づく説得力があり、背筋がピンとなる気づきが得られる良書です。


興味をお持ちいただいた方は、ぜひ図書館等で探してみてください。
(古い本でもあるため)
 
 
 
 
 

テレワークセキュリティの手引き(チェックリスト)

皆さん、こんにちは。
(株)マネジメント総研の小山です。

9月11日に総務省より、「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)」が公表されました。

新型コロナウイルスの感染拡大予防の観点等から、中小企業等においてもテレワークの導入が広まる中で、実践的かつ具体的で分かりやすい資料の必要性が高まってきたことを受け、

セキュリティの専任担当がいないような中小企業等におけるシステム管理担当者(※)を対象として、テレワークを実施する際に最低限のセキュリティを確実に確保してもらうための手引き(チェックリスト)が作成された、とのことです。

※専門用語について仕組みの詳細まではわからないが、

 利用シーンがイメージできるレベルの方


以下、目次と概要です。


<第1部>

1 はじめに

2 テレワーク方式の確認
 ・テレワーク方式の確認手順が記載されています。

3 テレワーク方式の解説
 ・会社支給端末を活用する場合、及び、
  従業員所有端末を活用する場合のテレワーク方式として、
  「VPN/リモートデスクトップ方式」、
  「会社非接続方式(クラウドサービス型、手元作業型)」、
  「セキュアブラウザ方式」について解説されています。

4 テレワーク環境で想定される脅威の解説
 ・マルウェア感染、不正アクセス、端末の紛失・盗難、
  情報の盗聴について事例とともに解説されています。


<第2部>

1 テレワーク方式ごとのセキュリティ対策チェックリスト
 ・セキュリティ対策の対象範囲、優先度の考え方、
  チェックリストが記載されています。

2 セキュリティ対策チェックリストの設定例一覧
 ・「Teams」「Zoom」等の設定例について記載されています。

3 テレワーク環境のセキュリティ対策と想定脅威一覧
 ・対策内容、想定脅威の詳細、テレワーク方式等について
  一覧として整理されています。


具体的で分かりやすい資料となっていますので、
ぜひ一度、ご確認いただければと思います。

 

 
▼中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/#checklist
 
 
 
 

 

1 | 2 | 3 | 4 | 5 | 最初次のページへ >>