BIPROGY Foresight in sight BIPROGY Foresight in sight

安全・安心

技報サイト内検索

img158.jpg

クラウド利活用におけるガバナンスとリスク対策

伊藤 直行

パブリッククラウドの利用拡大に伴い,IT部門が自社の情報システム基盤として活用するだけでなく,事業部門がDXビジネスの付加価値訴求を目的としたサービス基盤として利用する企業が増えている.IT部門の要員数が必ずしも十分ではない企業では,パブリッククラウドを利用する上でのセキュリティ対策の標準ルール策定を含めたクラウドガバナンスや運用体制の整備が,本番開始後の後追いでの対応になる傾向がある.クラウドガバナンス不全の状態に陥らないようにするには,クラウド利用に伴うリスクを評価し,それらのリスク対応案を検討・コントロールすることで,クラウドガバナンス体制を強化することが重要である.また,OWASPやNISTが公開しているフレームワークは,生成AIのセキュリティリスクへの有益な対策ガイダンスとして,技術的なリスク項目の認識と対策の評価に有効である.

ダウンロード【PDF】(596.0 KB)別ウィンドウで開く

DX時代における安全・安心なデジタルサービスの運営

合原 忠孝,小原 浩二郎

利用者にとって安全・安心なサービスを安定的に提供し,より魅力的なサービスを目指すためにサービス提供者が実践する活動が,サービスマネジメントである.先を見据えて機能の改善や拡張を行い,ビジネスとして成長させるためには,運営フェーズにおけるサービスマネジメントが重要である.
BIPROGYでは,サービスビジネスの早期立ち上げと提供,ビジネス面や技術面の品質向上とリスク回避を目的として,サービスビジネスのライフサイクルにおけるプロセスを定義している.さらに,サービス開発や運営に欠かせない知見をナレッジとして整備して共有している.また,デジタル技術を用いたサービスビジネスの実践を支援するサービス「AlesInfiny」を社外にも提供している.

ダウンロード【PDF】(618.0 KB)別ウィンドウで開く

情報セキュリティに関する安全・安心の確保に向けた取り組み

瀧谷 龍二

2022年6月にBIPROGYの協力会社社員によるA市における個人情報を含むUSBメモリー紛失事案が発生した.事業存続が危ぶまれる状況となり,全てを見直す覚悟でおこなった第三者委員会調査では,「コンプライアンス意識の欠如」が指摘される厳しいものであった.BIPROGYは,総合的再発防止策の中で,顧客機密情報を対象とする対応は,セキュリティ専門組織により管理・モニタリングする特例運用管理を実施することに加えて,内部監査人協会の3ラインモデルに準拠し内部監査を適用することとした.特例運用管理と内部監査は,顧客機密情報を対象とする対応を厳格に管理するとともに,コンプライアンスとリスク管理を意識に根付かせていく狙いがある.さらにルールと仕組みを前提とした再発防止策だけでは,今後の事案の風化,意識の希薄化を防げないと考え,意識醸成の施策として,全役職員への意識浸透プログラムや毎年事案発生日を含む週を情報セキュリティ週間と設定し,事案の振り返り,研修やセッションを実施することとした.これらの施策を徹底することにより,一日も早く信頼を取り戻しお客様とともに更なる社会課題の解決に貢献していきたい.

ダウンロード【PDF】(524.9 KB)別ウィンドウで開く

メソドロジー整理によるシステム開発計画立案の精度向上

中村 誠

システム開発プロジェクトの計画立案段階において,先達の経験知や技術の継承による開発計画の精度向上と次世代の人材育成を目的に,メソドロジー(方法論)を活用した「全体マップ」と「プロジェクト実施計画書,プロジェクト管理計画書」のガイドライン及び「開発実行計画」を作成した.「全体マップ」では,開発計画の本質的な意味の正しい理解と開発全体の網羅的かつ俯瞰的な把握が容易となり,「全領域」「全工程」について,目的・構成要素・主要タスクを明確化することにより,抜け漏れのない開発計画の立案に寄与する.「プロジェクト実施計画書」及び「プロジェクト管理計画書」のガイドラインでは,顧客要求をシステム要件として,見積可能な機能や作業レベルに分解する手順を説明し,「開発実行計画」では,ゴールに至るプロセスを整理し,遂行フィジビリティを担保した.

ダウンロード【PDF】(678.1 KB)別ウィンドウで開く

安全で安心な情報システムを提供する安全・安心チェック

鈴木 龍生

2010年代半ば以降,自社製品だけで情報システムを構築する案件は減少し,他社製品を利用した情報システムを構築する案件が増えてきている.他社製品を扱う際,開発プロジェクトに他社製品に対する知見や取引実績が伴わない場合,そこに潜むリスクに気が付かないままプロジェクトを進め,リスクを顕在化させる可能性がある.
このリスクに対し,プロジェクトが認識し,回避・低減を図ることを目的に,2020年に安全・安心チェックプロセスを策定し,運用を開始した.本プロセスでは,外部調達ハードウェア,外部調達サービスシステム,ブロックチェーン技術,AI技術の四つのカテゴリについて,リスクを俯瞰的・網羅的に洗い出したチェックリストを用いることで,多くの開発プロジェクトに適切なリスク対策を施すことができる.

ダウンロード【PDF】(466.2 KB)別ウィンドウで開く

【記事】クラウドサービス利用における安全・安心の確保

ダウンロード【PDF】(742.8 KB)別ウィンドウで開く