J-MCMC28006
リスクマネジメント
情報通信技術(IT)
20年以上のSE(プログラミングから世界標準PMBOKに則ったプロジェクトマネジメントまで)経験を基に、コンサルタントに転向し13年。コンサルタントとしてはJ-SOX対応を皮切りに、個人情報保護、情報セキュリティ、事業継続計画等リスクマネジメントを幅広く対応。リスクマネジメントのフレームワークに沿って、Plan、Do、Check、Actの各種イベント全てについて、クライアントを支援している。更には、ITサービスマネジメントについてもベストプラクティスであるITILを基に、変更管理、リリース管理、構成管理、ナレッジ管理、インシデント管理など多岐にわたり、クライアントを支援した実績を有する。又、業務プロセスを可視化(プロセスモデリング)によるクライアントの業務改善や、ビジネスアナリシスの世界標準BABOKに則ったアクティビティ・タスクによるクライアントのシステム戦略・企画等の実績も有する。
◯データセンタの全社的リスクマネジメント(ERM)構築(2010年6月~現在)
2010年度、社長の要請で、内部統制強化のための現状調査として、業務効率化、財務諸表の信頼性、コンプライアンス面の分析を実施、特に問題の有った請求業務、IT全般統制面の脆弱性を特定し、次年度以降の改善体制の整備及び中期改善計画立案に導いた。
2011年:新請求システムの企画、IT資産管理の仕組み構築、ID・パスワード管理手順の作成。構築したマネジメントの準拠性調査のためシステム監査。ERMのマネジメントレビューを通して次年度の活動方針を策定。ERMのデミングサイクル(PDCA)の実装に導いた。
2012年度:事業継続計画(BCP)策定、システム開発基準策定、その他軽微な業務プロセス改善を指導。定例のシステム監査、マネジメントレビュー実施後、次年度以降の中期改善計画の策定に導いた。
2013年度:BCP訓練実施、情報セキュリティマネジメントシステム(ISMS セキュリティポリシー:基本方針+対策基準)構築、その他軽微な業務プロセス改善(BPM)。定例のシステム監査、マネジメントレビュー実施後、次年度以降の中期改善計画策定に導いた。
2014年度:引き続きBCP訓練、ISMSの各種手順作成、ITSMS構築に向けITILとのギャップ分析、その他軽微なBPM。システム監査、マネジメントレビュー実施後、次年度以降の中期改善計画策定に導いた。
2015年度:BCP訓練、ISMSの各種手順作成、ITSMSとして変更管理手順構築、ナレッジ管理要件整理、その他軽微なBPM。システム監査、マネジメントレビュー実施後、次年度以降の中期改善計画策定に導いた。
2016年度:BCP訓練、ISMSの手順書作成、ITSMSとしてリリース管理理手順構築、ナレッジシステム構築。リリース後5年を経過した新請求システムの見直しとして、業務プロセスを可視化(AsIs)→アローダイアグラムに変換後、PERTによりクリティカルパス特定、更にプロセス分割によりクリティカルパスを短縮するプロセスモデリング(ToBe)を通してターンアラウンドタイムを2日短縮。システム監査、マネジメントレビュー実施後、次年度以降の中期改善計画策定に導いた。
又、ERM構築とは独立して、サイバーセキュリティの強化計画を策定。重要情報資産特定、詳細リスク分析実施後、リスク受容水準を超えるリスクに対する対策案を選定し、ロードマップを作成。
2017年度:BCP訓練、ISMSの各種手順作成、業務ミスが多発するリース関連業務のプロセスを可視化、問題点を特定。明細管理システムを構築、リース業務のミス軽減に成功。システム監査、マネジメントレビュー実施後、次年度以降の中期改善計画策定に導いた。 又、社長から、監査等の指摘事項に対する改善策を明示しても継続して遵守できない理由の調査を依頼され、社長〜管理職及び現場の担当者に至るまで複数回のワークショップを行い特性要因分析により原因を特定。IT化による改善案を提示した。
2018年度:BCP訓練、ISMSの各種手順作成、86号監査取得の準備としてIT全般統制の総点検を実施。具体的には、COBITベースのギャプ分析で残課題として特権ID管理、アクセスログ管理を特定。ギャップ分析に加え、監査として情報セキュリティ監査を実施、マネジメントレビュー実施後、次年度は特権ID管理、アクセスログ管理に対応する事業計画策定に導いた。
2019年度:例年のBCP訓練、システム監査、特権ID管理、アクセスログ管理の策定に向けて活動中。
◯大手製造業の製品画像検索による品番特定システム基本構想策定(2015年5月~2015年10月)
コールセンターで、ボトルネックとなっている問合せ対象製品の品番特定業務を、専門家に頼らず、1次受けで解決する方法を確立すべく現状調査から基本構想策定をプロジェクト責任者として遂行した。
対象製品の修理に関連し、品番特定が必要な500件/日の問合せを利用者から製品画像をメールで受信していた。品番特定に費やす工数は大きく、1件あたり1,200円のコストが掛かっていた。
製品はライフサイクルが長く、特に製造中止製品の問合せでは多大な時間を要する。解決すべき問題は専門家に依存する品番特定プロセスであり、コールセンターの全員がこのプロセスを実行可能にすることが課題と捕らえ、これを実現するソリューションの基本構想策定をビジネスアナリシスの世界標準、BABOKに沿って進めた。
構想は、対象製品を100枚撮影し、ディープラーニングにより製品の特徴データベースを構築し、問合せで受信した製品写真をキーに検索して、AIによるパターン認識で品番を特定する。
既に現物が存在しない製品の特徴データベースは、現存する設計(CAD)データを基にCGを作成し、写真の代用とする企画とし、経営層にプレゼンを実施。システム化の開発着手承認に導いた。
◯大手家電量販店の事業継続計画(BC/DR対策(2016年10月~2017年3月)
大手家電量販店において、直下型の大地震発生時の液状化を伴う被害を想定し、BCPを策定。
全システムを調査、業務影響度分析を実施し復旧優先度を決定。高重要度システムについては遠隔地にリプリケーションを設け、リアルタイムで切り替えが可能な災害復旧計画を作成。
有事の際に高重要度のシステムを停止させること無く、事業の継続が可能な初動行動計画を策定、大型災害対策構築に導いた。
◯製造業の組織内CSRIT構築(2017年3月~2017年8月)
情報セキュリティリスクアセスメント、ポリシー策定を指導したクライアント(製造業)に対して、通常時のモニタリング基準、情報セキュリティインシデント発生時の初動対応としての緊急時対応手順、インシデント・ハンドリングマニュアル、社長のプレス対応スクリプト作成等、セキュリティ事故発生時に備える仕組(組織内CSIRT Computer Security Incident Response Team)の構築・運用に導いた。
◯空港の情報キュリティポリシー策定(2017年6月~2018年3月)
空港運営会社で、全17部門で所有する、テロに利用され兼ねない図面等の重要情報資産の特定からその取扱によりリスクを算定する詳細リスク分析と、その他の情報資産ついてはISO/IEC 27001とのギャップ分析による組み合わせアプローチによりリスクアセスメントを実施し、その結果を経営層へプレゼンテーションし、基本方針を決定の上、その評価結果から選定した管理作を文書化。情報セキュリティポリシーの制定に導いた。
◯大手交通会社 システム監査・情報セキュリティ監査(2017年8月~2019年3月)
2017年度:大手交通会社及びグループ会社の計20部門の情報セキュリティ監査を担当。監査基準は、同社の情報セキュリティ規程・情報セキュリティ標準の準拠性調査。予備調査として、情報セキュリティ自己点検を実施。その結果により対象部門を選定し、本調査を実施。監査結果から要改善項目に対する改善提案を添えて、経営層へ監査結果報告を実施した。
2018年度:2017年度と同様の情報セキュリティ監査を28部門に対して実施。更に、各部門主管の10システムを抽出して、同社のシステム開発規程・システム開発標準に対するシステム監査(準拠性調査)を実施した。
◯国立大学情報セキュリティ詳細リスク分析指導(2017年11月~2018年11月)
国立大学の情報処理センター長(教授)及び情報システム部に対して、大学内で取り扱う重要情報資産の洗い出しから、重要度による分類、リスク地の算出、リスク対応計画の策定、残留リスクの特定までを指導し、学長の承認取得に導いた。
◯製造業のセキュリティポリシー策定・セキュリティ運用支援(2018年3月~2019年月)
情報セキュリティの仕組みを有していなかった国内製造業社が、モバイルデバイスの利用を開始し、セキュリティ事故に繋がり兼ねないことを懸念した経営層からの相談で、情報セキュリティリスクアセスメントの実施から体制構築、情報セキュリティポリシー策定。又、モバイルデバイス使用の基準(ルール)作り。更には、情報セキュリティマネジメント運用(情報セキュリティ活動計画、情報セキュリティ教育、委託先点検、情報セキュリティ自己点検、情報セキュリティ監査、マネジメントレビュー)の支援までを実施。2019年3月から情報セキュリティマネジメントシステムの実運用に導いた。
◯大手製薬メーカーのIT全般統制プロセス改善(2018年5月~2018年10月)
大手製薬メーカーで、施行から10年を経過したJ-SOX法(金融商品保護法)に基づく、IT全般統制の運用が大変重く、遅延を招いているとの相談を受け、既存の組織のプロセス資産(AsIsフローチャート)を分析し、ボトルネックを洗い出し、最適なソリューションとしてITを含めたソリューション導入を組み込み、ToBeプロセスを導き、フローチャートとして可視化した。更にIT導入のための要件を整理し、ベンダへのRFP提出に導いた。
メールアドレス:lucky7@dra.bbiq.jp
