業務の情報を流れで捉えて考えるプロセス思考
プロセス思考とは、業務や情報の流れで捉えて考えるということで、仕事などが行なわれてい
るプロセスと同様です。
営業活動で考えてみると、パンフレットなどを使って製品やサービスの内容を顧客に説明し、
引き合いがあれば、見積の提示や提案を行ない、その見積や提案が受け入れられれば受注につ
ながります。
受注後は、商品やサービスを納入し、請求後に代金の回収という流れになります。
上記のようなプロセスは、多くの場合は業務マニュアルに記載されていますので、それらを参
考にすることでプロセスを効率的に把握することができます。
どこに、どのようなリスクがあるのか、リスクの大きさはどの程度かを分析し、プロセス図を
作成し、リスクの大きさに応じて、セキュリティ対策を講じることが重要です。
情報セキュリティの基礎となるのが業務プロセスしっかりと把握する必要があります。
通常とは異なる流れで行なわれる例外処理にも注意が必要
通常行なわれる処理だけではなく、通常とは違う流れで行なわれる例外処理にもプロセス分析
を行なう際には、注意が必要です。
このことについて、例にアクセス権付与を挙げて説明します。
人事情報システムとアクセス権限の付与が連携した仕様になっていれば、人事異動によってア
クセス権が自動的に付与されたり、削除されたりします。
例えば、ある従業員が業務部門から経理部門に異動した場合は、異動いこうは業務情報システ
ムにアクセスする必要がなくなるので、自動的に業務情報システムへのアクセス権が削除さ
れ、その代わりに会計情報システムへのアクセス権が付与されます。
ところが、人事情報システムの対象となっていない派遣社員については、別の仕組みとして業
務情報システムへのアクセス権を別途付与することがあります。
これが例外処理と言われるものです。
とくに、派遣社員の業務期間が終了した場合には、顧客情報システムへのアクセス権の削除を
失念してしまう可能性があります。
それは、アクセス権の付与しないと業務を開始することができないため、アクセス権の設定を
忘れることはほとんどありませんが、業務が終了ときには、アクセス権を削除しなくても業務
には問題ないからです。
このように、盲点になるので、例外処理は情報セキュリティ対策の業務プロセスの分析する際
は、例外処理に注目することが重要です。
直接的なデータの変更の管理に注意する
情報システムの運用段階では、保守作業は必ず行わなければなりません。
そして、プログラムを改修したときなどには、プログラム変更の手続を必ずとらなければなり
ません。
システム変更することによりプログラム変更することになるので、事前に影響範囲を分析して
から、必要なプログラムに修正を行なった後に、その処理が正しく実行できることを確認して
から本番のシステムへ移行します。
その時に、正常に移行できたかの確認も行ないます。
請求書の金額ミスが発生したり、ウェブサイトにセキュリティホールを発生させて情報が外部
から見読できる状況になってしまったりする事故がプログラム変更のミスによって、多発して
いるので、注意が必要です。
また、データ変更を直接行なうケースがありますが、その場合はデータを通常の処理では修正
できないときです。
この変更は、誤りがあった場合の影響度が高いので、IT部門では特に注意して管理(運用)を
行なわなければいけません。
インテグリテイ、機密性、可用性の確保の視点から、このような直接的なデータの変更の管理
は、情報セキュリティ上において重要な課題になっています。
変更管理プロセスのリスクについても十分に検討する必要があります。
まとめ
どのように業務を見たり、計ったりすれば、業務改善に役立つ現状把握ができるのでしょう
か。
それには、分析的に業務をとらえることが必要です。
例えば、会社全体を業務として大きな1つの固まりとして見ると最終結果しか分からないた
め、なぜうまくいっていないのかが分からず改善策に結び付けることができません。
しかし、固まりになっている業務を分解して見る、計ることができれば、改善策が浮き上がっ
てきます。
例えば、マラソンでも、42.195kmの最終タイムだけを見たのでは、改善にはあまり役に立た
ないでしょう。
ランナーはタイムを短縮するために、区間ごとに分けてラップタイムを計っているのです。
業務の全体が見えるようになると、業務における自分の役割や、全体最適のために自分ができ
ることが自然と見えてきます。
問題点、解決策が、自分たちで作ったもので、自分たちで発見・提案できるようになると、や
らされている感じがなくなって行くのです。