西日本支部合同研究会 in OSAKA 報告

会員番号 1709 荒町 弘 (近畿支部)

近畿支部が事務局となり、「西日本支部合同研究会 in OSAKA」を開催しました。

テーマ 「ICTによる災害に強いしなやかな社会の実現とシステム監査の重要性」
日時  2014年11月29日(土) ~ 11月30日(日)
場所  国際カンファレンスプラザ A-3会議室(大阪市)
主催  特定非営利活動法人日本システム監査人協会
北信越支部,中部支部,近畿支部,中四国支部,九州支部
後援  経済産業省近畿経済産業局,ISACA大阪支部,日本ITストラテジスト協会
特定非営利活動法人 ITコーディネータ協会,システム監査学会
次第 「大震災が情報システムに訴えていること」
  日本システム監査人協会 副会長 中山 孝明様
「クラウドソーシングによる災害対策」
 近畿支部 吉田 博一様(前 近畿支部長)
「金融機関におけるコンティンジェンシープラン策定整備とそのシステム監査」
 北信越支部 支部長 宮本 茂明様
「グローバル展開している自動車部品製造業者の国際間BCP事例紹介」
 中部支部 原 善一郎様(元 中部支部長)
 「事業中断計画とシステム監査」
 九州支部 副支部長 舩津 宏様
「近畿支部BCP研究プロジェクト活動報告」
 近畿支部BCP研究プロジェクト 金子 力造様

saaj_20141129_012014年11月29日(土)、日本システム監査人協会西日本の5支部(北信越、中部、近畿、中四国、九州)合同での西日本支部合同研究会を開催しました。
来年は、阪神・淡路大震災の発生から20年の節目の年となることもあり、統一テーマを「ICTによる災害に強いしなやかな社会の実現とシステム監査の重要性」と設定し、協会本部および西日本支部の会員各位より発表していただきました。
参加人数は、発表者を含めて総勢57名で、日本システム監査人協会39名(北信越支部3名、中部支部7名、近畿支部22名、中四国支部2名、九州支部3名、他支部2名)、後援団体16名、一般参加2名でした。


◇発表1

報告者 会員番号 0264 三橋 潤 (近畿支部)

【講演テーマ】 『大災害が情報システムに訴えていること』

【講師】 日本システム監査人協会 副会長  中山 孝明様

【講演内容】

saaj_20141129_02大震災による情報システムの被災状況を具体的にみると、既往の災害予防や復旧策の多くが、机上の対策に過ぎないことがよく分かる。大震災の教訓は生かされているか、システム監査はその実用性・実効性を検証しているか、などについて考える。
・阪神淡路大震災では、「不足している対策が分かった」、「おざなりだった訓練や着飾った体制図と画餅だったBCP」等を学んだ。そして、東日本大震災では、「再度、思い知った対策の不備」を痛感した。
・被災で判明した対策不備の実例として、次の様な事項が挙げられる。
被災例:緊急連絡が混乱/輻輳 → 緊急連絡一覧表が役立たなかった。電話連絡が混乱した。
被災例:建物やマシン室が被害大 → 耐震/免震強度が不足。入室不可や室内が使用不可状態に。
被災例:自家発電機が役立たず → 燃料タンクや配管が耐震不足により故障した。
被災例:業務が復旧/継続できず → 復旧に必要なデータが使用できず。業務復旧が混乱した。
・以上の対策不備例から、形だけの対策から現実的な対策として、「通信手段、情報収集、情報集中こそ対策の要」を始めに31の項目について列挙した。対策検討のポイントとしては、「標準的なガイドラインは、自社にとっては曖昧だらけ」ということに注意しなければならない。

【所感】

講師は、永年某都市銀行の勘定系システム等の企画/開発/運用などを担当されており、金融庁に勤務されたご経験も有られる。講演では、現実的で具体的な対策の数々を提言していただき、非常に参考になった聴講者も多かったと思われる。私も某コンピュータメーカに勤務していた時に、阪神淡路大震災が発生し、業務停止した数多くの顧客システムを如何にして立ち上げるかを、混乱と錯誤のなかで大変苦労した経験がある。
「備えあれば憂いなし」の格言や、「天災は忘れたころにやってくる」の言い伝えを、肝に銘じておく必要があることを再認識した講演であった。


◇発表2

報告者 会員番号 0169 林 裕正 (近畿支部)

【講演テーマ】 『クラウドソーシングによる災害対策』

【講師】 日本システム監査人協会 近畿支部 吉田 博一様

【講演内容】

saaj_20141129_03これまで災害対策は、行政が情報を収集し、避難などの対策を講ずるものであった。海外では、クラウドソーシングのサービスが災害時に活用され,官民連携が進んでいる。日本における官民連携によるレジリエンスな耐災害性の高い社会システムについて、考察する。
・「レジリエント」とは、「弾力的な、柔軟な」の意味であり、「レジリエンス」は、「システムの機能を維持するために変化を吸収する能力」と定義した例もある。
・米国等では「オープンガバメント」と呼ぶ「行政」と「住民」との双方向の協力による施策が進められており、その類型として「クラウドソーシング」が挙げられる。これは、「アウトソーシング」という形で外部の専門業者に業務を委託するのではなく、インターネットを利用して不特定多数の人に業務を委託する形式である。
・クラウドソーシングの例としては、行政への通報処理をWebで実現した米国の「Open311」等がある。
・日本の災害対策は、官主導であるが、行政による情報収集に限界があることや、住民ニーズの把握が不十分であることは解決できていない。しかし、千葉市等で「Open311」に相当する実証実験が開始されている。日本においては災害時に特化した住民との双方向のやりとりは、東日本大震災において一部利用された実績はあるが、組織的な取り組みとはなっていない。平常時から災害時の対応までを考慮したオープンガバメントによる災害対策が有効であると考える。
・ このようなクラウドソーシングなどレジリエンスを取り入れた災害対策は、行政だけでなく、企業等あらゆる組織で取り組む必要がある一方、このようなレジリエンスに対応したシステムに対するシステム監査の手法の確立が課題である。

【所感】

講演者は、これからの住民サービスにおいては、行政側だけでなく、住民を含めた民間との協力が不可欠であると主張している。しかし、有事の際の対応だけでは、いざという場合に機能しないため、平常時から体制を確立しておくことが重要である。今後、更に高齢化社会が進むことを考えると、地域における高齢者の支援活動等と、うまく連携できれば可能性は十分あると思われる。これらのサービスや活動を支えるためICTの活用は必須であり、その分野でシステム監査人の新たな活動範囲が広がることを期待したい。


◇発表3

報告者 会員番号 0169 林 裕正 (近畿支部)

【講演テーマ】 『金融機関におけるコンティンジェンシープラン策定整備とそのシステム監査』

【講師】 日本システム監査人協会 北信越支部 宮本 茂明様

【講演内容】

saaj_20141129_04金融機関では,東日本大震災を踏まえた業務継続態勢整備として実効性向上を目指したコンティンジェンシープランの策定整備が行われている。これらの取組事例とそのシステム監査について北信越支部会員による意見交換をもとに報告する。
・日銀より東日本大震災における金融機関の対応について2011年6月に報告がなされており、更に2013年1月にBCPの整備状況に関するアンケート調査が公開されている。これらによると、金融機関は全体としては震災後も安定的に業務を継続し、決済機能を維持できたが、一方で認識していなかった課題も浮かび上がった。従来のコンティンジェンシープランで想定していなかった事象が発生し、準備していた対策が十分に機能しなかった事例があった。アンケートの結果によると、例えば震災後に新たに追加した原因事象として、「原子力関連施設の事故」、「計画停電」、「津波」等が挙げられている。また、実効性で不十分であると評価した事項として、「要員の確保」、「マニュアルの整備」がある。
・金融機関ではシステムの共同化が進んでおり、特に基幹系システムについてはバックアップセンターも整備されているが、基幹系以外のシステムについては十分整備できていない事例もある。また、日銀のアンケートでは、従来から認識されていたシステムの切替え時の決済データ欠落への対応が改めて重要であると認識されている。
・これらを踏まえ、金融機関ではコンティンジェンシープランの見直しが進んでいるため、それに対するシステム監査についても、新たな視点も加味して実効性のある監査を実施する必要がある。

【所感】

金融機関は、情報システムの分野においても監督官庁や日銀による検査・考査を受けている。事業継続の分野でもFISCより事業継続計画策定のガイドラインが公開されており、その取組は他業界よりは進んでいると考える。しかし、東日本大震災の経験を踏まえ、見直しが必要な事項も明確になり、その対応が進むものと期待される。システム監査においても行政機関や社会インフラを担う企業との連携等も考慮した新たな監査視点が必要になると思われる。今後の北信越支部での研究活動に期待したい。


◇発表4

 報告者 会員番号 1710 小河 裕一 (近畿支部)

【講演テーマ】 『グローバル展開している自動車部品製造業者の国際間BCP事例紹介』

【講師】 日本システム監査人協会 中部支部 原 善一郎様

【講演内容】

saaj_20141129_05自動車部品製造業においては、顧客が海外生産に重点を移している現状であり、それに追随して生産の軸を海外へ移さなければ生き残れない状況になりつつある。その海外でも日本と同等の品質を求めたいが、「仕事への執着」や「費用・単価の違い」等、さまざまな困難がある。
一方で、「大災害対策」という面においては、この「グローバル展開」を有効に活用して「強み」にすることができ、その取り組みとして当社が進める国際間ITのBCP/DRに関する活動として下記3つを実現した。
・日本から海外子会社のサーバやパソコンを遠隔修理
・日本+香港+USAの3カ所にデータバックアップのミラーサイトとファイルサーバ設置
・TV会議を利用した月例IT会議の実施
また、現在計画中の国際間ITのBCP/DRに関する活動は下記のとおり。
・本社の大災害時に、海外子会社によるミラーサイトでの自立的復旧活動
・海外子会社の近隣会社同士での協力体制構築
国際間BCPの問題点である、人・距離・費用・セキュリティの課題を解決し国際間BCPを確固たるものにしたい。

【所感】

原様は、実施に国際間BCP/DRの構築に従事されており、生々しい分析結果や苦労談を交えて話をして頂いた。実際に現地に何回も行かれており、現地での対応に苦労しておられるため内容もかなり詳細であり、また、海外の事例であるにもかかわらず「すぐそこで発生している驚くべきこと」といった内容のようで、すんなりと頭の中に入ってくる内容でありました。原様の業界だけでなく、さまざまな分野で「海外進出」「オフショア」は拡大していくと思われます。そのような環境を有効に利用する国際間BCP/DRに関する内容は、今後実践しなくてはいけないと考えているかたには特に有用な講演でした。


◇発表5

報告者 会員番号 0645 是松 徹 (近畿支部)

【講演テーマ】 『事業中断計画とシステム監査』

【講師】 日本システム監査人協会 九州支部副支部長  舩津 宏様

【講演内容】

saaj_20141129_06事業継続計画では、事業継続にかかるリスクを想定し、BC(Business Continuity)とDR(Disaster Recovery)を検討し、準備を日常の業務に反映する。しかし、多くの中小企業では何処まで実施するか など迷いも多く難しいものである。そこで、DRを伴わない事業継続計画を事業中断 計画として、再起を前提とした事業の撤収の仕方を考え、事業継続計画のひとつの方法論と監査について考察する。
・災害復旧(DR)を考えない事業継続計画、すなわち、事業を一旦放棄する計画を事業中断計画と名前を付けて考えてみた。この計画の目的は、危機・災害の発生に対して、人の安全を前提に現事業が二次災害を引き起こすことなく、地域や顧客などへの影響を最小にして撤収するものである。全てを失っても、信用・信頼を残し、再起を図ることを方針・目的としている。
・事業中断計画では、以下の事項がポイントとなる。
「初動対応」:二次災害の防止、従業員の参集、安否・被災業況の把握
「顧客・協力会社への連絡」:納品遅延・供給停止依頼の連絡
「中核事業継続方針立案・体制確立」:処分・再利用等の方針決定、事業中断体制構築等
「顧客・協力会社向け対策」:取引調整
「従業員・事業資源対策」:応急措置
「財務対策」:運転資金の確保・支払
・事業中断計画は、このポイントが確実にできること、よりスムーズにできることを検討し、計画する。事業所や工場のレイアウト、資材の保管方法や日常の活動 などについて、業務効率化だけでなく事業中断(事業継続)の視点を加えて見直しを行う。
・事業中断計画への監査視点は以下の通りであり、事業継続計画への監査視点にもなり得ると考える。
①「事業中断計画」の視点でのリスクアセスメントは適切であるか
②管理策は、すでに「事業継続日常対応」に反映されるか、「事業継続対応計画」に含まれているか
③「事業継続日常計画」での日常運用や訓練などで、「事業中断計画」は効果が期待できるか
④ 「事業中断計画」は、事業や環境の変化に追従しているか。

【所感】

最初に「事業中断計画」と聞いた時は、ずいぶん開き直った、ある意味無責任な計画だなと思ったが、発表を拝聴し、そうではなく、現実を踏まえ、人の安全と再起前提とした事業の撤収の仕方を考えた計画だということが理解できた。事業中断計画においても、被災直後の非常対応がスムーズにできるように、あらかじめ日常の活動等の中で留意しておくことが重要であり、この点では事業継続計画と同様であると感じた。最後に事業中断計画の検討が、すでに立案済の事業継続計画の網羅性・適切性の検証になり得るとの提言をいただき、改めて実効性のある事業継続計画とは何かを考えるきっかけとなった。


◇発表6

報告者 会員番号 1709 荒町 弘 (近畿支部)

【講演テーマ】 『近畿支部BCP研究プロジェクト活動報告』

【講師】 日本システム監査人協会 近畿支部 金子 力造様

【講演内容】

saaj_20141129_07本プロジェクトでは、大災害の経験を踏まえ、IT-BCPと初動対応をテーマに研究を行ってきた。本年度は、その成果を基にIT部門の初動対応をモデルに訓練を通じた気づきの重要性について提示する。
・ITは、事業継続に必須の経営資源であり、コア業務のみだけでなく社内の全業務と関係している。
・東日本大震災の教訓から、初動のスピードと的確さが復旧に大きく影響するという認識が高まった。
・災害発生直後の対策本部では、意思決定に必要な3つの情報コントロール(情報収集・発信・共有)が重要。
・災害発生後の初動フェーズでは重要業務の仮操業に必要なITが使えるようIT部門はICTインフラに責任を持つ。
経営トップの理解が得られにくく、投資効果が分かりにくいIT-BCPに関する取り組みは後回しにされがちである。IT-BCPの普及のためには、まず取り組むための動機「気づき」が必要なのでは?と考え、今年度はセミナーグループの協力により災害発生直後の初動対応演習を含めたIT-BCP体験セミナーを開催した。
演習では災害発生直後のIT部門の初動についてケースシナリオにもとづき受講生に体験していただいた。災害直後の限られた時間での状況把握・優先順位付け・意思決定・指示出し、という作業を2チームで実施した。インバスケット演習により限られた時間で多数の案件を処理する演習は受講生からも高い評価を得ることができた。演習後は「危機対策本部の実際」と「訓練・演習で鍛えるIT-BCP」の2つの講演も行い、こちらも受講生から高い評価を得られた。
本プロジェクトの最終目的であるIT-BCP監査に向け今後も実践的な普及セミナーを企画していく予定である。

【所感】

今回のセミナーは、IT-BCP普及を支援する本プロジェクトの新たな一歩を踏み出すものであり、訓練を通じて見えてくるIT-BCPの必要性やポイント・気づきがあるということを十分体感してもらえるセミナーでありました。今後も、受講生のレベルを想定しながらステップアップできるセミナーとして進めていきたいと思います。


◇情報交換会

報告者 会員番号 0645 是松 徹 (近畿支部)

saaj_20141129_08合同研究会終了後、会場の国際カンファレンスプラザからすぐ近くの店に場を移し、情報交換を兼ねて懇親会を開催しました。本部、各支部からのご出席者も参加いただいて総勢26名となり、盛況の内に終了しました。
情報交換会では各支部の活動内容の紹介や、情報共有、また支部活動の他支部への展開等についての相談を行うなど交流を深める場になったと思います。また、本部、各支部、ISACA(後援)からも一言いただき、盛り上がりが一層増すきっかけにもなりました。情報交換会の意義を再認識し、通常の定例研究会後の情報交換会活性化の必要性を改めて感じた次第です。


◇施設見学(2日目)

報告者 会員番号 1709 荒町 弘 (近畿支部)

saaj_20141129_09

津波・高潮ステーションの マスコットキャラクター 「なみのすけ」

研究会2日目は大阪府の運営する施設、大阪府「津波・高潮ステーション」の見学を12名の参加を得て行いました。水害に関する大阪の歴史や大阪府が進めてきた津波・高潮への対策状況等について理解する場を持つことができました。
学生の修学旅行の見学コースにもなっているようで当日は学生の団体客も訪れていました。

津波・高潮ステーションの紹介ページ

http://www.pref.osaka.lg.jp/nishiosaka/tsunami/index.html


◇西日本支部合同研究会を振り返って

報告者 会員番号 1709 荒町 弘 (近畿支部)

今回で12回目となる西日本支部合同研究会は関係者のご協力のもと無事開催することができました。
西日本支部合同研究会開催にあたり、ご多忙の中にもかかわらず資料等の準備を行っていただきました発表者の皆様に厚く御礼申し上げます。そして、事務局として運営準備からご協力いただきました支部の皆様、ありがとうございました。
統一テーマを、「ICTによる災害に強いしなやかな社会の実現とシステム監査の重要性」については、あらゆる視点からのご講演を頂戴することができ、新たな発見、気づきが多かったと感じております。
情報交換会にも多数の参加をいただき、支部間での交流を促進する良いきっかけづくりの場になりました。
2日目の施設見学では、私自身、地元大阪に在住しながらもあまり知らなかった大阪の歴史に触れるよい機会でありました。災害対策を考える方々へのご案内を含め再度訪問したいと思います。
普段なかなかお会いできない本部、各支部の方々と直接お会して情報交換できたことを今後の支部活動に生かしたいと思います。そして、他支部でのイベントへのご協力なども積極的に行っていきたいと思います。