金融業界の業務とシステムを知る

この講座では，証券会社，クレジットカード会社，生保会社，損保会社，メガバンクを題材に，金融業界の業務とシステムについて解説する。 Part1～Part4で証券会社，Part5～Part8でクレジットカード会社，Part9～Part11で生保会社，Part12～Part14で損保会社，Part15以降でメガバンクの業務とシステムについて詳しく説明する。
ITpro 日経SYSYTEM
http://itpro.nikkeibp.co.jp/article/lecture/20070227/263374/?ST=lecture

オトコのための女性誌講座

http://trendy.nikkeibp.co.jp/article/special/20071130/1004923/?ml

日経トレンディネット2008/1/11

Excel ワークシート上でリストから選択入力する3つの方法

http://officetanaka.net/excel/function/tips/list.htm

http://dreamy.boy.jp/kihon17.htm

Windows Vista で古いプログラムを実行する方法

Windows XP 用として作成されたほとんどのプログラムはこのバージョンの Windows でも動作しますが、古いプログラムの中には、うまく動作しないもの、またはまったく動作しないものがあります。以前のバージョンの Windows 用として作成されたプログラムが正常に動作しない場合は、プログラム互換性ウィザードを使用して、そのプログラムの互換性設定を変更してください。プログラムの設定を手動で変更するには、個々のプログラムの [互換性] タブを使用します。
http://windowshelp.microsoft.com/Windows/ja-JP/help/bf416877-c83f-4476-a3da-8ec98dcf5f101041.mspx

セキュリティ監査の手順

セキュリティレベルの監査
現状の弱点およびセキュリティホールを知るための監査である。

あらゆる不正アクセスの手口を検証するために、現在知られているすべての不正アクセス手口を自動的に試してくれるソフトウェア（攻撃シミュレータによる擬似アタック手法）を利用するのが一般的である。ただし、ハッカー自身も攻撃シミュレータによる監査手法を研究していることもあるので、それ以外の手口で攻撃される可能性を考慮する必要がある。

運用状況の監査
利用者によるルール違反があるかを監査する。例えば、利用者が安易なパスワードを使っていないかチェックするために、「パスワードクラッカー」と呼ばれるツールを使用する。これは膨大な単語辞書を使ってパスワードを推測するものである。ルールが利用者にとって実行困難であるがゆえに、うまく運用されないこともある。その場合は、対策方法を改善するか、ルールの見直しが必要となる。

セキュリティ監査とは

セキュリティポリシーをベースに、実装レベルでのセキュリティ対策が作成される。これらひとつひとつの要素が、技術的あるいは制度的にうまく機能しているかどうかを検証していくことをセキュリティ監査という。

セキュリティレベルの監査
セキュリティ対策が偏っていないかどうか、ソフトウェアの設定ミスやバグによるセキュリティホールが存在しないかを監査する。例えば、システム担当者の在籍する本社では強固な対策が取られていたとしても、支社や営業所でいいかげんな対策や対応がされていれば、全体のセキュリティレベルは低下する。バランスのとれたセキュリティ対策が必要である。

運用状況の監査
セキュリティポリシーで定められたポリシーとルールに沿って、きちんと運用が実施されているかどうかを評価する。

具体的には「セキュリティ対策の実装」と「セキュリティ監視」を繰り返し行なうことで安全性を高めていく。実際に損害が発生する前に、実装されている対策の見直しや、ルールの見直しを行なうことが重要となる。

リスク分析手法（定量的方法/定性的方法）

リスク分析手法は、「定量的方法」と「定性的方法」の2つに分かれる。

定量的方法
定量的方法は、リスクによる予想損失を金額で把握する方法である。米国では商務省標準局の定める推奨方式があり、さまざまな費用項目から予想損失額を求めることが一般的となっている。日本においても、こういった費用を明らかにするために、近年TCO（Total Cost of Ownership）の推進が叫ばれるようになってきた。定量的方法と定性的方法を組み合わせることで、リスク分析を実施するべきである。

年間予想損失額の算出　米国商務省標準局の推奨方式

式のf と i の値は、過去の実績等のデータから妥当と思われる値を選択する。リスクへの対策を取る前後で年間予想損失額がどのように変化するのかを比較することで、リスク対策に割くべき予算の妥当性を検証できる。

定性的方法
損失の大小を指標で把握する方法である。利用者に質問することで得点を算出する方法や、ディスカッションによって組織全体の弱点と脅威を抽出してリスクを分析する方法がある。

リスク分析の注意点

リスク分析の注意点として以下のものがあげられる。

継続的な分析
環境の変化にともないリスクの詳細も変化する。あるリスクが大きくなることもあれば、その逆もあり得る。新たに発生するリスクもあれば、従来リスクと考えられていたものがなくなるケースもある。したがって、環境の変化にあわせた継続的なリスク分析が重要である。

外部専門業者との共同作業
セキュリティについての概念や技術的な詳細について熟知した管理者がいない場合は、外部のコンサルタントとうまく連携して作業を進めるケースもある。

リスクの優先度の評価
リスク分析によってリスクの詳細が明確になれば、その対策をルールとして記述していく作業へと移行する。

リスクの絞込み
組織の大きさにもよるが、分析の中で多くのリスク項目が列挙されるはずである。それらの項目を優先度に応じて絞り込んでいく必要がある。

リスク分析

「リスク分析」とは、「組織にとって重要な情報資産は何か」「それにはどのようなリスクがあるのか」「何を優先的に守る必要があるのか」について、それぞれ判断することである。

リスク分析では、守るべきものを「資産」、資産を脅かすものを「脅威」に分けて評価していく。

資産の評価
資産には大きく分けて「目に見えるもの」と「目に見えないもの」がある。目に見えるものは、そのものを購入あるいは作成、開発するのに直接関わった費用と、それらを維持管理する費用がその評価価値といえる。

目に見えないものとしては、業務の停止によって発生するコストや、社会的イメージの失墜による損害額のように、金額として算出しにくいものを指す。

脅威の評価
どのような脅威が存在するか、または損害をこうむる可能性があるかどうかを検討する。損害を被るケースについては、その被害の大きさを予想することで、脅威の大きさを評価とする。

不正発見の可能性を増やす

不正発見の可能性を増やすために検討すべき事項は「アクセスコントロール」と「アカウントコントロール」の2点である。

■アクセスコントロール
アクセスコントロールは、各情報の重要性を判断して、情報にアクセスできる人間を限定することを目的とする。各情報を機密度によって分類し、どのユーザーをどの情報にアクセスさせるべきかどうかを検討する。

機密区分によるアクセスコントロール
情報を機密度に応じて分類し、機密レベルごとにセキュリティを確保する方法を取り決める。

職階・職掌によるアクセスコントロール
利用者に応じて、どのレベルの情報にアクセスできるかを決める。
規定外の利用についてはその申請・承認方法を明確にすることでアクセスコントロールに柔軟性を持たせる。

■アカウントコントロール
アカウントコントロールとは、ポリシーの標準化や規定化を行なうことを指す。各部門のポリシーや職階ごとのルールをある程度統一する（標準化を行なう）ことで、標準からはずれた場合をすばやく検知できるようになる。具体的にはルールなどを記した文書類の標準化や、情報の操作方法の標準化などが挙げられる。