再発防止策の実施
問 題 《情報セキュリティアドミニストレータ午後対策》
みずほ,システム障害の原因と再発防止策をようやく正式発表
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20020619/1/
を読んで下記問いに答えよ。
(1)みずほ銀行が4月に引き起こしたシステム障害の根本的な原因は
何であったか。
(2)みずほホールディングスは再発防止策としてどのようなことを考
えているか。
(3)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)みずほ銀行が4月に引き起こしたシステム障害の根本的な原因は
何であったか。
>不徹底、また、コンテンジェンシー・プランにおける認識の甘さから
>十分な対策を施していなかった等の合併におけるシステム統合作業
>そのものの不備。
>ェクトの管理体制に問題があり、進捗状況を正しく認識できなかった。
>大規模なトラブルが発生したときのコンティンジェンシー・プラン
>もなかったので、復旧に手間取った。」として、根本的な原因がシ
>ステム統合作業そのものにあった。
> ・テストやリハーサルなどの事前準備が不十分。
> ・統合プロジェクトの管理体制に問題があり、進ちょく状況を
> 正しく認識できなかった。
> ・大規模なトラブルが発生した時のコンテンジェンシー・プラン
> が無かった為、復旧に手間取った。
CMMにPI(製品統合)というプロセスエリアがあります。
ソフトウェアの開発プロセスは、「目に見えにくく実態がつかみにくい」、
「技術者個人の能力に大きく依存しばらつきも大きい」、
「技術の進歩、変化が激しく、開発ツールや技法もすぐに陳腐化してしまう」
という性格がありますので、組織として継続的に開発スタイルを
改善していかなければなりません。
またこのような大きいプロジェクトでコンディンジェンシープラン
が無かったというのは問題です。トラブルが発生した後に対策を考
えるのではなく、あらかじめ想定されるトラブルに対してどのよう
に対応するか計画を立てておかなければなりません。
◇CMM とは。。。
Capability Maturity Model
品質確保を組織のプロセスの成熟度を通して行おうというもので、
5つのレベルで評価します。従来CMMは、システムエンジニアリング用、
ソフトウェア開発用、ハード統合開発用などに分かれていましv
国際標準ISO/IRC15504との互換性を考慮しながらこれらを統合した
CMMI(Capability Maturity Model Integrated-staged)も提供されています。
(2)みずほホールディングスは再発防止策としてどのようなことを考
えているか。
>発体制の強化や一元管理を目指したシステム子会社の合併を実現する。
>システム監査を強化する。開発体制を強化するために、システム
>子会社である第一勧銀情報システム、富士総合研究所、興銀シス
>テムの合併を目指す。」とした。
事故の分析結果や、対応の記録などに基づき、同様の事故が再発し
ないよう防止策を策定します。
みずほ銀行の事件は4月に発生し、正式にシステム障害の原因と再
発防止策を発表したのが6月中旬でその間、事故の分析や再発防止
策を策定していたということになります。
>・システム監査の強化
>・開発体制を強化するために、システム子会社の合併
情報セキュリティアドミニストレータ試験においても、
「セキュリティインシデントが発生した後に、再発防止策としてA
主任が提案したことは何か?」
「問題文中に再発防止策が記述されていて、その再発防止策では不
十分である。どのような点であるか?」
などといった出題が予想されます。
インシデント内容と組織としての対応を問題文の中から読み取り、
適切に対応できるように考えることができるかどうかがポイントになってきます。
(3)感想・調べたこと
>の情報システムに対する関心の低さ”があります。常に自社のIT
>に対する戦略を認識し、世間の時流に合わせた先見性のある方針を
>打出したりシステム構築時の対立をうまく調節して全体の足並みを
>揃える事、また、システムの全体を把握して想定される危機に対し
>て実行されなければならない対策を指示する事などの為に、経営者
>は積極的に情報システム部門にコミットしなければならない。この
>事を十分認識していない実態が浮き彫りになった事件だと思います。
>改めて自分が置かれている立場の重要性を強く感じ少しでも理解さ
>れるよう努力しなければならないと思いました。
案件を承認することで経営者の責任を果たしてきましたが、今後、
情報セキュリティに対する経営者の役割は、社会情勢や企業戦略を
見据えたトップダウンのリーダーシップが求められます。
>いく、「人」を育てていかないとダメだと思います。
>まぁ、これが一番難しいのですけれどね...
>教育や訓練などを重ねてそれが普通、当たり前の状況(風土)を作って
>行くしかないですね。
人的セキュリティにおいては、
・セキュリティポリシの同意
・定期的な情報セキュリティ教育
・監査
・罰則規定
などがあります。性善説に基づいた対策というよりは性悪説に基づいた
対策となってしまうことはリスクを考慮すると仕方がないかもしれません。
sponsored link
このページ
のTOPへ
