青葉台駅伝言板

考えをまとめるための日記。頭を整理するごとに書き換えてしまうので、そんなつもりで優しく見てくーださぃ

情報システムのセキュリティ機能は資産か経費か?

 セキュリティ機能は資産?経費?の論争があったので、その時の論点をメモっておきます。

 

第1問。まずは基本的なセキュリティ機能の会計処理について。

 資産の減価償却管理は情報システム部門のヒトは皆さん経験していると思いますが、システム開発した成果物は、(固定資産として投資額を資産化して)適宜償却していくのがルールかと思います。ではシステム構築のうち、セキュリティに関する開発費用はどのように処理すべき対象でしょうか?

 回答は、資産として償却する場合と、経費として処理する場合の2つが考えられます。

 まずは資産処理すべきと考えてみましょう。セキュリティ部分にしたって、情報システムを作る時の開発の一部であることは間違いないし、だから通常の機能と同様に資産化してすべきものと言う考え方です。例えば、100万円で構築した情報システムを一旦資産化して、翌年から5年間で定額で毎年20万円ずつ償却していくとか。

 次に経費処理できると考えてみましょう。これはセキュリティ機能としての機能は本来の機能や情報資産を守るために、脆弱性の検査や必要な検査をするだけなので、保全検査のように、構築したものが事業資産を増加するための作り込みではないので、資産ではなくかかった費用は経費だ、という考え方。この場合は、100万円は経費なのだから、売上費用から売上経費として減算して納税をするという考え方。

 資産とするか経費とするか、情報システムの機能の棲み分けは、結構、線引が難しいように思います。

 要件定義書にセキュリティ機能としてxxをxx用意しなさいと明示して、それに応じた詳細に内訳をもらうとかであれば、その部分を除外するという考え方も可能な気はしますは、多くは納税逃れと誤認されるのを恐れて安全策で資産処理(いわゆる通常の機能と一緒に扱う)ことに流れることも多いのではないかと思います。セキュリティ機能として、xxxガイドラインに基づき、セキュリティに留意して開発すること、といった感じに仕様書上分界点が曖昧であれば、セキュリティの部分だけを経費として分計するのは難しいように思います。

 

次に第2問。脆弱性検査で脆弱性が見つかって追加対処した場合。

 ①100万円で作ったシステムに対して②10万円で脆弱性検査を実施し、その結果脆弱性が見つかり対処した場合工数として③追加で20万円を支払った場合。どこまで資産として扱わないといけないか。

 第1問からの流れで①は資産、脆弱性検査自身が機能を作り込まない前提であれば、②は経費で良いと思います。では、③は資産になるのかどうか。

 安全策で考えると①同様資産に流れそうですが、他方で会計監査や内部監査をしている方からすると、③の資産が償却費用として追加される。例えば、100万円の5年償却に追加で20万円の償却が追加されて20+4=24万円の償却額になった場合、「誰がどう意思決定して、この資産増を実施したのですか?」という問いに対する回答を求められそうです。

 

 で、この考察の簡単な回答は用意していません。セキュリティ対策は大事ですし、システム企画の段階から、この事業のリスクを考える中で、どのようなセキュリティ対策が必要かが、洗い出せていることが望ましいです。とは言え、なかなかセキュリティ人材とか、リスクヘッジの考え方に長けているヒトもそれほど多くはないでしょうから、まあ、基本は経験者に聞きながら、考え方をきちんとまとめていくべきなんだろうなと思います。

 

 こんど税務署のヒトや、監査のヒトと話するときに聞いてみます。

 

生成AIでのセキュリティ支援の効率化の可能性


最近、学習ができる生成AIを手に入れた。

いろんな生成AIに詳しいわけではないので、他の生成AIとの機能比較はわからないんだけど、カスタマイズできるといっているものなのだろうか。

 

 で、そのAIくん、学習セットを3つまで覚えさせることができる。(覚えさせることができるセットに制限はないけど、問い合わせるときに有効にできる学習セットの上限が3つ)。

 生成AIでの情報漏洩を気にされることがあるけど、実際に使おうと考えてみると、意外と学習させるものは公開情報ばかり。

 最初に問い合わせると、「一般的には・・・」と返していた回答が、学習させると、「・・・ガイドラインの規定では、・・・・」と回答が変わる。

 

これは面白い。

 

 早速、某モバイルOSのアプリ開発者に関する規定(これも公開情報)を学習させ、各規定の規約の違いを要約させると、(内容は多少怪しいけど)回答が返ってくる。

 内容が怪しい回答は、こちらからの質問をより具体的に質問することで改善できるから、何回かのやりとりで、それなりの回答になってくる。

 

・・・・これなら、普通のチャットボットくらいになら、すぐに使えるな

と考えると同時に感じたのが、自分の経験も含めて、スキルセットを登録できれば、自分はいらないかもな・・・と。特に日本の場合はドイツのように法令主義だから、AIとの親和性は非常に高そうだな。「・・・な事案があったんだけど、判決文の草案書いて」と言ったら、すぐにでも書きそう。

 

 そう言えば、数日前に一番読まれた記事が、情報処理試験の出題内容が変わるという記事だった。生成AIくん、・・・なプログラム書いて、と頼むと、PascalでもCでもLispでもPrologでも書いてくれたしな。言語を覚えていることに、あまり価値はなくなってくるのかもしれない。

 セキュアコーディング。これはどこまで対応してくれるかな。次にAIくんと話すときに、試してみよう。

 

 セキュリティ関係の担当をしていると、「・・・なことはOKなんですか?」という質問はたくさん来る。これもルールを学習させれば、それなりに省力化できそう。

 で、結局、最後に残るのは、「セキュリティってなんですか? 守らないといけないものなんですか?」なんてヒトの心を変えること。これはAIくんのきれいな言葉ではなかなか言うこと聞いてくれなさそうなので、ここは圧をかけつつ、人間の出番なのかもしれないな。

 

年末年始

 あっというまに三が日が過ぎ、もう仕事始め。

 元旦に地震での安否登録が出来ていないことで慌ててみたり、その被災地への飛行機の事故に心痛めてみたり、とてものんびりとは言えない。ただ、実際に避難しているヒト、避難してないまでも停電で寒い思いをしているヒトもたくさんいるので、無事なだけでもありがたい限り。

 昨年は2回もポジションが変わり、つまりは2回引き継ぎを行ってきた。

 最初の引き継ぎは4年以上の分の引き継ぎなので、これは引き継ぎきれない。仕方ない。出来るやり方でやってください、としか言えない。

 2つめの引き継ぎは半年あまりの引き継ぎなので、これは引き継げないわけがない。ただ、最初の引き継ぎで気づいたのは、手順や知識の伝承は必要だけど、これだけではどうしようもない。最後は熱意、熱量の熟成。これがないとどうしようもない。

 木を燃やすのと同じで、火が付きやすいヒト、熱しやすく冷めやすいヒト。引いてみて熱を持たないヒト、熱しやすいけど横に大木が欲しいヒト、いろいろいる。その組織との相性とかもあるし、結局は伝えやすい知識・ノウハウと、自分なりのこだわりを引き継ぐ。ただ、同じことにこだわるかはわからないし、こだわりの強要は出来ないので、自分のこだわりを伝えて、相手にこだわりを作ってもらう。それで方針が180°変わったとしても、ベクトルが必要だから、それはそれで仕方がない。

 さて、ヒトに仕事を引き継いだら、今度は自分が新しいベクトルを作る番。通常は正月休みやGWとか、休みの期間にベクトルを熟成して取り掛かるのだが、今年は休みの忙しいのと、公私トモドモばたばたとイベントが多かった。仕方ない、言い訳からの辰年の始まりである。

 

 中身は、今後詰める。

今年の振り返り(だったら一々AIに聞くなよ、By 生成AI)

セキュリティ界隈で気になった、2023年の振り返り。私調べ。

 

① 生成AIによる、フィッシングの巧妙化

② 社員による不正に向けての対処

③ RMMソフトウェアによる不正

④ SaaS機能の生成AIによる高機能化

⑤ 結局は基本のキ

 

 さっきまで違うことも考えてたんだけど・・・思い出したら追記

 

① 生成AIによる、フィッシングの巧妙化

 以前なら、怪しい日本語できたものは詐欺メールかなとあたりが付いたのに、最近は生成AIがきれいな日本語で答えてくれるので、生成AIにかけると日本語がきれいになり、詐欺メールとの区別がつきにくい。

 なにか参考事例を出そうかと思ったが、生成AIエンジンはいろいろあるので、自分のところに来た怪しいメールをきれいな日本語に変換してみてください。

 

② 社員の不正による情報漏洩等

 今年は、社員が意図的に情報漏洩をした事案*1が報道されましたことが多かったですね。

 そのために利用者の権限管理と棚卸しは厳粛にやっているだけど、そもそも本来政党のアクセス権限がある人が情報の持ち出しを意図的に行うというリスクにどう対応するか。 誓約書も罰則も、ログによる警告も十分ではないとすると、やはり情報の持ち出しルートを断つしかないのかな。USBで持ち出せるなんて防げないので、そこは止めるとすると、途端に他の社員が、「本来業務でXXXさんに情報を渡さなければいけないのにどうしたらいいのか」と騒ぎ出す。

 

③ RMMソフトウェアによる不正

 資産管理やリモート管理の機能を支援するソフトウェアの脆弱性を踏み台にした不正アクセス。コロナ禍が開けてもなかなか職場には人は戻らないし、SBOMの実装検討で資産管理との紐づけは課題だから、いろんなSIerがRMMソフトウェアの利用を推奨する矢先での報道。詳細を見て、対応策を考えていきたい。

 

④ SaaS機能の生成AIによる高機能化

 SaaS製品の機能が生成AIにより、非常に魅力的な機能が非常に安価に使え、業務の効率化に非常に役立っている。他方で、SaaSの利用はいろんな情報を外に置くことだから、その情報がどこに置かれるかは確認のしようがない。大手のGAFAクラウドでも同じ。某セキュリティ団体のサイトが、欧州某国にあるのが見て取れる。まあWEBサイトは見てもらうためのものだから良いけど、AIが優秀だからと、公開情報でない情報をホイホイとSaaSにあげていくと、結局は同じ状況。

 だからといって、生成AIを使うのをやめましょうとか、安易にSaaSを使うのをやめましょうとは言えるわけがない。圧倒的に便利だし、安い。おまけに注意しようとしてるヒトの機能のほうが相対的に低くなっている。当面は便益享受だけど、将来的にはなんとか

 

⑤ 結局は基本のキ

 こんなことをつらつら書くと、聞こえるのが「ウチらはセキュリティ人材じゃないから、そういうことはわからないので、セキュリティ人材がやっといて」と。

 まあ、色々と応援するからさあ、みんなで1つずつやっていきましょうよとしか言えない。企業の合従連衡、社員の転職も相まって、組織ガバナンスの前提はちょいちょい変わる。一度作った規程を何年も同じ規程でいいのかは、改めて見直したほうがいい。対面での買い物が、いろんな経済活動は多くはネット上に置かれる。中小企業からすれば、良くって一人情シス、普通はIT人材って何?って話だから、その中で実現するセキュリティを、リスク分析から改めて考えていくしかない。

 

※ いいタイトルをAIに考えされたけど、言いたいことをAIが解答例に出してはくれなかった。今ん所は、そんなもんさ。

 

*1:https://www3.nhk.or.jp/news/html/20231107/k10014250221000.html

人とのつながりと年の終わり

昨日は、仕事納め。

 昨年度末までは一般社団法人への出向、そして4月に帰任し新たな仕事。そして改めて12月に転職して、新たな年を迎えるという、慌ただしい1年。昨年度末には夢にも考えてなかった展開。

 最近はテレワークも盛んで、仕事納めとはいっても、本当に仕事を納めているのか、年末年始も同僚がいるような、奇妙な感じ。そもそも宿題が残っていて、年末年始こそ、自由に時間が取れるぞ、とか考えると、そもそも何も納めていない。

 本来は、仕事を納めて、大掃除して、新年の挨拶に迎えて準備万端整えて、正月を迎え、改めて、家族、親戚、友人等々に新年の挨拶を行い、新たな気持で新たな年を迎える。そんな行事が、核家族化が進み、おまけにコロナでヒトと会うのにも気を使うようになり、メリハリが無くなってきた感じ。惰性で仕事をやるのはよくない。

 

 最近、audible*1を始めた。いわゆる聞く読書。職場もかわり、緊張して眠りも浅いこともあり、また、紙の本を買っても狭い部屋に置くところもないかなと。(そういう意味では、以前からKindleも愛用しているが、紙の本ほどは頭に入ってこずに、なかなか定着していない)

 寝る前や通勤に聞く読書。なかなかまだ脳が混乱中。

 

  • 新しく買った本・・・かなり正確に描写がされていないと頭に入ってこない。本の場合は、自分の理解に合わせて読む速度を変えてみたり、反芻してみたい。おまけに漢字を見れば意味がわかることが、読み上げ言葉だと、しばらくして、「ああ、あそこの言葉は、真摯ではなく、紳士が登場していたんだ」とわかる。
    これが、作家によって、きちんと描写している本と、読者の創造に委ねている本に分かれる。正確に書かれているものは聞いていてもわかるんだが、冒頭、回想シーンから入るような小説は、もはや頭の中でイメージが出来ないし、それが読者の理解に構わずに一定の速度で入ってくるので、結構な割合で、理解できずに途中で終わってしまうことが多い。
  • TVドラマの原作本・・・もともとドラマで見ているので、「確か筋はこうだったっけな」とイメージすると理解は出来る。もう少し慣れてみたら結構良いかも。
  • 過去に買って読んだ本・・・これは結構入ってくる。集中してなくても、一定の速度で音声で入ってくるので、1つ1つの言葉が響く。稲盛先生の本。響く響く。しっかりしないとと戒めになるし、緊張の中に自信にもつながる。非常にいい。

 

 環境が変わったからこそ、節目はしっかりと気になるし、新しいことにも興味が湧く。改めて組織というものを客観的に眺めるいい機会になっていると思う。

 年の終わりに人と会い、一年を振り返る。コロナの前に戻すべきところは戻す。

 

*1:https://www.audible.co.jp/

スキルと経験の活かし方に悩む

10年ぶり以上で、システム運用監視の部署のヒトの話を伺った。

 

システム運用監視って何?というヒトもいるかも知れない。まあ、各企業で使っている情報システムの安定稼働監視とシステム運用業務を行ってくれる部署なので、子会社や外部委託してるかもしれないけど、大きな会社にはおおよそある機能かもしれない。求められるサービスレベルによって、体制のサポート期間は平日日勤帯の場合もあれば、24H365Dの場合もある。

この業務、問題が起きなければ暇になって眠たくもなるんだけど、一旦事件が起きると、上を下への大騒ぎになることがある。システムはたくさんあるので、通常は沢山のヒトが必要になる。そういう部署の効率化、コスト削減って、10年前もやっていたけど、その最新の方向性を聞いてみた。

 

① 監視と運用は別物。監視の自動化はいろいろ手段もあって、ツールも提供されている。

② 受け付けるにあたり、まずは自動化を徹底してやる。ここは監視も運用もあるけど、むしろ運用の側面が強いかもしれない。ここでいう自動化は今流行りの生成AIではなく、いわゆるスクリプト化で自動化できるもの。これをシステム作る人もやるし、運用監視を受け入れるヒトも徹底してやる。障害を検知しても、それを緊急に対処すべきなのか、翌営業日で良いかがわかってれば、アラームが必ずしも必要ともわからない。

③ 監視対象は、昔はオンプレサーバも多くあったけど、今はクラウドが主流。このため、主要クラウドの監視ツールには精通して、クラウドならではの動きも見る。クラウドも、CPUの負荷率が高まっても、オートスケールによる制御もしてくれるから、クラウドのツールに精通していることが望ましい。

④ システムは立ち上がっているけど、想定通りに動いていないやつ。これも見つける。プログラムが動いてないと、サービスも対応できてないけど、当然エラーもでないので、これまでは見つけにくかったのも、予めわかっていれば見つけられる。

 

そんなこんなで、何百人いたチームが1桁少ない人数で回っている。コスト削減の観点で言えば、すごい!の一言。

でもこの残ったヒトは、クラウドの知識も、各システムやサービスの知識がある方が望ましいし、結構高いスキルや知識が求められるスーパー人材になるんだけど、でも日々の仕事が忙しいわけでもなく、優秀な経験をどう活かそうかというジレンマに陥って、なり手がいなくなったり、人材獲得のジレンマがあるという。

 

 もちろん、ここに生成AIを組み合わせてというのも選択肢にはあるが、いくつか問題がある。この問題は別なときにまとめておくけど、一言で言えばブラックボックス化したあとに、生成AIの知ったか、というか誤解とどう対峙するかということかな。

 

 10何年ぶりに古巣の仕事を聞いて、非常にこちらはモチベーションが高まった。でも説明してくれたヒトは古巣に10何年以上継続して頑張ってくれているわけで、本当に頭が下がる。



 

制度を変えるエネルギー

守破離、という言葉がある*1

守破離: 剣道や茶道などで、修業における段階を示したもの。「守」は、師や流派の教え、型、技を忠実に守り、確実に身につける段階。「破」は、他の師や流派の教えについても考え、良いものを取り入れ、心技を発展させる段階。「離」は、一つの流派から離れ、独自の新しいものを生み出し確立させる段階。

 

第1段階の守として、まずは形に従ってみる。ゴルフを始めるにもまず形から、それからレッスンプロに基本形を倣うと、成長は早いんだろう。まずは一定のレベルになるまではルールに従う。  

第2段階の破は、ある程度のレベルに達したら他のルールを取り入れて、より成長できる点を見つけてみる。この際に、それぞれのルールに強弱はあるから、強いルールを弱いルールで変えるのか、弱いルールを強いルールで押し切るのか。それはその場次第。  

第3段階の離としては、彼我のルールをわかった上で自分でルールを作ってみる。ルールを作って周りを巻き込んで、みんながハッピーな世界を作れる。    

 

大企業に比べてベンチャーが自由だという。それは出来たばかりの組織だから。ベンチャーでは、まずはルールは作りながら事業の成長を考えていかないといけない。創業者はワンマンと言われるし、そもそもヒトもいない中でワンマンでなかったら進むわけがない。

それに対して老舗企業は組織も古いからしきたりやルールも多いので、新たに入れば、それは窮屈に感じやすい。

日本も終戦から70年以上経っている。終戦で一度全部壊されて、占領されて、そこから新しい国家を作り沢山の法律を作りながら成長してきた。立ち上げた人たちは引退するくらいの期間が経っているから、今の世代が同じようなエネルギーを発揮しないとルールが変わらない。

そもそも、制度は守っている方が楽だし、安全なのだ。制度を変える方がエネルギーが要るのだ。 終戦のときのように全部が壊れていれば、一から作れるのだが、しっかりと社会が出来ていると、現状のしがらみや、この現在の制度で維持されている社会を壊すリスクを冒す怖さが出る。

 

 だが実際は時間軸は1つではない。会社で言えば、老舗もあるし、ベンチャーもあるし、それらを合併したり買収したり、時間軸は絡み合う。もちろん、絡んでも個別のルールを選択するのも1つだし、そもそもルールは各社で作るべきだから、無理やり絡めなくても良い。でも、実際は絡めることの意味合いもある。一言で言えば、パクリの促進。よいところは学び、悪しきところは改める。そのためにもルールは複数しっていないといけないし、それを絡めたり、解いたりすることが肝だったりする。

 

「こんなルールだがかおかしいんだよ」言うのは簡単。おかしいルールがあるから、考えるヒントはある。え、何のことを言っているのかって? 主には、組織セキュリティの話です。

 

*1:https://kotobank.jp/word/%E5%AE%88%E7%A0%B4%E9%9B%A2-689006