会社組織,職種と経営


customer engineer(CE) カスタマーエンジニア

 サービス技術員。 通常,CE と呼ぶ。客先に納入したコンピューター・システムの保守を担当する技術者。 コンピューター導入後,顧客の要望について,コンピューター製造側のサービス窓口になる。


Chief Accounting Office(CAO) 最高会計責任者


chief administrative officer(CAO) 最高管理責任者,最高総務責任者
 管理業務の視点から,業務運営の適正化を図り,管理責任を負う。


  • Chief Business Officer(CBO) 最高業務責任者

  • Chief Communication Officer(CCO) 最高コミュニケーション責任者

  • Chief Compliance Officer(CCO) 最高遵法責任者

  • Chief Development Officer(CDO) 最高開発責任者


    chief executive officer(CEO) 経営最高責任者

     日本の企業では一般に代表取締役社長(または会長)にあたり,経営全体の構造に関わる社内外の事項につき経営責任を担う。 業務執行のトップで,企業買収や企画,幹部人事を行うなど,事業・人事・組織・技術などの面で幅広い判断をくだす権限があり, 第一線の最終責任を負っている。 アメリカでは老練な経営者や創業者,大株主が会長職にとどまり, その下で社長兼 CEO が指揮する場合が珍しくない。 ただし,最終的な経営権限は取締役会にあり,取締役会が CEO を選出し, またアメリカでは株主の権限が大きいために,大株主や取締役の信任を失い罷免されることも多い。


    interim CEO 暫定 CEO
     Apple 社に復帰した時の Steve Jobs の肩書き。


    chief financial officer(CFO) 最高財務責任者


  • Chief Human resource Officer(CHO) 最高人事責任者


    chief Information officer(CIO)
     情報担当役員または最高情報統括責任者。 企業の情報技術の育成や開発を担当する。 役割は,IT 戦略立案や IT 投資対効果の測定から,システム,ネットワークの構築/運用,ポリシー策定,人材育成まで多岐に渡る。

  • Chief Judicial Officer(CJO) 最高法務責任者

  • Chief Knowledge Officer(CKO) 最高知識管理責任者

  • Chief Legal Officer(CLO) 最高法務責任者

  • Chief Logistics Officer(CLO) 最高ロジスティクス責任者

  • Chief Learning Officer(CLO) 最高学習責任者

  • Chief Marketing Officer(CMO) 最高マーケティング責任者

  • Chief Network Officer(CNO) 最高ネットワーク責任者


    Chief Operating Officer(COO) 最高執行責任者
     日常業務を遂行する上での意志決定を行い,取締役会で承認された経営計画及び業務運営の執行責任を負う。


  • Chief Production Officer(CPO) 最高製品責任者,最高生産管理責任者

  • Chief Privacy Officer(CPO) 最高個人情報(プライバシー)責任者

  • Chief Project Officer(CPO) 最高計画責任者

  • Chief People Officer(CPO) 最高人材活用責任者

  • Chief Quality Officer(CQO) 最高品質責任者
     マイクロソフトが2007年9月1日付けで新設する職種。 同社が提供する製品・サービスに関して,開発,営業,サービス,マーケティングなどの各部門で,日本市場に適した形での品質向上を図る。

  • Chief Risk Officer(CRO) 最高リスク管理責任者

  • Chief Revenue Officer(CRO) 最高レベニュー責任者

  • Chief Strategy Officer(CSO) 最高戦略責任者

  • Chief Safety Officer(CSO) 最高安全責任者


    chief security strategist(CSS)/ Chief Information Security Officer(CISO)  最高セキュリティー責任者
     CIO の役割の中のセキュリティに関わる部分を取り出し,リスクマネジメントの視点を加えたより専門的なも。 アメリカで2000年前後に,CIO の下でセキュリティに特化して責任をもつ職位として登場。

    Certified Information Systems Security Professional(CISSP)
     CSO のグローバル資格の一つ。


    chief technology(technical) officer(CTO) 最高技術責任者,技術担当重役

  • Chief Visionary Officer(CVO) 最高ヴィジョン策定責任者


    企業の組織のありかた
     最近は多くの企業が,縦割り方の官公庁的モデルから,クロスファンクショナルチームのような柔軟な組織を目指そうとしている。


    management information system(MIS)

     企業でコンピュータシステムの管理/運営を集中管理する部門。


    システム・エンジニア system engineer(SE)

     通常 SE と呼ぶ。 利用者の要求を聞き,導入時に運用を含めたソフトの設計を行い, 導入後はコンピュータシステムの保守もする。


    ブリッジ SE
     オフショア開発における IT スキル,言語,文化などを熟知し,委託企業と IT ベンダー間の意思伝達や交渉を可能にするシステムエンジニア。


    system integrator(SI)

     ネットワークを含むハードウェア・システムの設計と調達を行う。


    取締役会

     アメリカでは一般的に,会長か社外取締役が運営を管理し,会議の出席率,報告書の提出,会計監査や給与委員会などの委員会の監督などに目を配る。


    広報部
     業務は,大まかには,社内の情報を集めてプレスリリースを作成,そのプレスリリースを各メディアに配信して記事になることを祈り,乗った自社の記事をクリップして社内に報告することらしい。


    コーポレート・ガバナンス 企業の支配・統治

     株主から実際の企業の意思決定をゆだねられた経営陣が効率的で不正のない経営を行っているかチェックが必要という考え方。 これが機能すると,透明性が高く,株主本位の企業経営がされるとされ,アメリカでは1980年代後半から社外取締役制度の強化などが進められた。
     日本でも企業不祥事の続発に,これを確立することが必要だといわれ出した。 2003年春に施行される,改正商法では取締役会と執行役の役割を区分したアメリカ型経営スタイルの導入が可能になるらしい。


    サプライ・チェーン・マネジメント

     情報技術を活用して,原材料の調達・製品の生産・販売までの流通過程を一つの流れとしてとらえ,これを統合的に管理・もっとも効率的な状態を維持しようとする経営管理の手法。 リアルタイムに近い情報から迅速に需要予測を行う事で,在庫の削減とコストダウンを図る。


    ソーシャルグラフマーケティング
     ツイッターや Facebook などのソーシャルメディアが保有する『ソーシャルグラフ(友達リスト)』を企業のマーケティング・プロモーション活動に活用する新しいマーケティング手法。


    企業の IT 導入計画

     2007年10月12日,ノークリサーチは中堅・大規模企業を対象にした IT 製品の導入実態と今後の投資動向を調査,結果を発表。 サーバのメーカーシェアは,1位 富士通 22.0%,2位 NEC 20.6%,3位 日本IBM 19.1%。 『従業員500人以上3000人未満』でのハードウェア導入実態は,これら3社で全体の6割を占める。 運用管理ソフトのシェアは,1位 日立製作所の『JP1』37.5%,2位 富士通の『SystemWalker』24.0%,3位 日本 IBM の『Tivoli』10.5%。 今後の投資動向は,『セキュリティ強化(個人情報漏洩防止,コンプライアンス強化)』65.3%,『会計監査など“業務単位”の内部統制』44.2%,『ログ監査・収集など“OS/ミドルウェア単位”の内部統制』39.3%。
     2007年12月にタタ コンサルタンシー サービシズ(TCS)が発表した,企業のIT導入計画に関する調査結果によると,IT 導入による成果が計画を下回るとした企業が全体の 1/3 だったが,経営者の43%がそれを容認してた。 問題は,『計画に対する進捗の遅れ』62%,『予算超過』49%,『想定以上の維持費』47%。 調査は,TCS の依頼により英国の調査会社 Dynamic Markets が実施し,米国,英国,フランス,インド,日本など主要8カ国の大手企業で働く IT 担当者800人を対象とした。
     2008年2月5日に日経リサーチが発表した,2007年企業の情報化に関する調査結果によると,購入時や検討時など段階により収集方法に違い があることがわかった。 IT 製品の情報源は,『コンピュータ専門雑誌の記)』75.3%,『セミナー』54.3%,『コンピュータの専門雑誌の広告』49.9%く。 製品購入の検討では,『メーカーが提供する技術資料』55.6%,『メーカーの営業マン』55.4%,『メーカーや SI などのホームページ』41.9%。 IT コンサルティング・サポートサービスについての日頃の情報収集は『コンピュータ専門雑誌の記事』49.1%,『メーカーの営業マン』35.9%,『セミナー』35.0%。 サービス導入の検討は,『メーカーの営業マン』44.6%,『SI・コンサルティング会社からの提案』43.8%,『販売店/ディーラーの営業マン』34.0%。


    企業の情報システム費用
     2010年3月現在,企業の情報システム費の約7割が既存システムの維持費だと言われているが,これはスイッチングコストの高止まり,その大きな理由として自社システムのブラックボックス化が挙げられる。


    職場パソコン
     2008年1月8日に Business Software Alliance(BSA)が発表した,世界20カ国を対象に実施した職場パソコンの私的利用についての調査結果によると,職場パソコンの私的利用について『制限されている』と回答した人の割合は,日本で56%,世界平均で45%。 制限があることについは,『生産性を向上させるため』と思う人の割合が16%(世界平均21%),『セキュリティ上の理由から』と思う人の割合が59%(世界平均48%)。 コンピュータ利用で危険性のある行為については,『絶対にしない』行為として,『心当たりのない差出人からのメールを開いたり,リンクをクリックしたり,添付ファイルを開いたりすること』が日本で74%(世界平均52%)。 調査は,ほぼ終日インターネットにアクセスした状態で仕事をしている人を対象に,調査会社の RT Strategies が2007年11月上旬に実施。 有効回答数は201件。
     2009年12月7日に Gartner が報告した調査結果では,社員10人に1人のが個人用のノート PC を会社に持ち込んで仕事に使っており,そのような社員は今後も増える見通しである。 調査に参加した企業のうち,社員の PC 持ち込みを許可するポリシーを設けているのは43%,持ち込みを禁止しているのは48%。 保険や通信などの業種は,製造,卸売り,政府機関と比べて,持ち込みを許容する傾向が高かった。 社員の持ち込み PC を仮想マシンで適切に管理できれば,ノート PC を社員に支給する場合と比べて,9〜40%の TOC 削減になるとしている。 調査は米国,英国,ドイツで社員数500人以上の企業の IT 管理者528人を対象に行った。


     2008年2月28日に米国経営管理学会(AMA)と ePolicy Institute が発表した調査報告では,企業の過半数は生産性管理やリスク軽減などのため,多くの企業がメール監視やWebサイトブロッキングなどの技術を使用したり,ルール違反の従業員を解雇していることがわかった。 メール乱用で従業員を解雇したと回答した雇用者は28%,解雇理由は,『何らかの企業方針違反』64%,『不適切もしくは攻撃的な言葉の使用』62%,『過度の私用』26%,『機密保持規定違反』22% など。 ネットの乱用を理由に従業員を解雇したとの回答は30%,解雇理由は,『不適切/攻撃的なコンテンツの閲覧やダウンロード,アップロード』84%,『何らかの企業方針違反』48%,『過度の私用』34% など。 雇用者の66%がネット接続を監視,不適切なサイトへの接続を遮断するソフトの利用率は65%。 調査は,米国の304社を対象に行った。


    企業と電子メール

     企業(会社)は(その中・外を問わず)情報伝達の効率化のために電子メールを取り入れている。 2003年7月28日に公開されたベリタスソフトウェア社の調査によると,CIO や IT マネージャーの 1/3 は,電子メールが1週間も止まることがあれば,交通事故や離婚よりショックが大きいと回答。 企業ユーザーの68%は30分間メールにアクセスできなくなるだけでいらいらする。 約20%はシステムが24時間停止すると,危機に瀕することになると回答。

     会社での電子メールの普及は,その内容と個人使用という問題を引き起こした。 会社のコンピューター(システム)から送信した電子メールは,法的には,内容に関わりなく,会社の公式文書として解釈される。 従って,社員が会社の電子メールを使用して,友人に個人的なメッセージを送信するたびに,会社の情報に関するリスクは僅かながら増える。 また,その内容が反社会的と判断された場合,個人的な電子メールでも捜査の一環としてアクセス可能となり。 雇用主にも責任が発生する。

     企業が電子メールを利用するようになるとともに,私用のメールを検閲するソフトが登場した。 電子メールは送受信にメールサーバー利用するため、この管理者はメールの内容を見ることができる。 検閲ソフトは『飲み会』『デート』など遊びに関係した言葉をキーワードにしてメールをチェックする。 このソフトは私用メールを無くすために導入したり,人事査定に利用しようとされているらしい。
     2004年7月12日にメール関連セキュリティーのプルーフポイント社が発表した調査結果では,企業の3割が従業員が社外に送信する電子メールの“監視要員”を置いていることが分った。 調査対象はアメリカのさまざまな業種の企業で意思決定権を持つ幹部140人。

    従業員 2,000 人以上の企業での電子メールの普及率
    1996年75 %
    1998年91 %



    電子メールが企業のイメージに与える影響

     2003年に発表された,カレンとアイブリッジの調査によると,電子メールによる問い合わせへの対応が企業のイメージを大きく左右するとなった。 半日から翌日までに返信を受け取った回答者の多くは,早かったと感じた。企業の対応が思ったよりよかったのは約8割で,これにより企業イメージが好転したのは66%,商品・サービス購入につながったのは49%だった。 一方,全く返事なかったのは2割だった。 返事が遅かったり,内容が悪いと,企業イメージの悪化や購入中止につながっていた。



    元社員からのメール
     同僚に電子メールを送ることは,たとえそのメールの内容が会社に対して批判的であっても,違法ではないらしい。 1996年に Intel 社を解雇されたハミディ氏は,1990年代後半に同社の社員3万人にそれぞれ6通の電子メールを送った。 メールの内容は,同社の労働慣行を批判し,社員に反インテル団体への参加を求め,転職を促すものだった。 カリフォルニア州の州地方裁判所は1998年に同社の主張を認め,ハミディ氏に電子メールの送信を止めるよう命じた。 ハミディ氏は上訴,州高等裁判所は2001年,ハミディ氏の行為はインテル社のサーバーへの侵害にあたるという判断を支持した。 しかし,2003年6月30日,カリフォルニア州最高裁判所は侵害行為とは見なされないという裁定を下した。 ハミディ氏が初めて大量の電子メールを送信した後,Intel 社のエンジニアは,内容と IP アドレスに基づいてハミディ氏のメールをブロックするフィルターを付け加えた。だが,ハミディ氏は,別のコンピューターを使ったり,メール中の単語にスクランブルをかける手法でキーワード式のフィルターを避けたりして,フィルターの一部を巧みにかいくぐっていた。


    企業・会社のウェブサイト

     訪問者を増やすには検索エンジンで上位に表示されることが不可欠だと考えている。 そのため,指定したキーワードで上位に表示してもらえる有料の検索サービスや,上位ランクの確保を指導するコンサルタントと契約する企業も多い。 しかし上位に入るためには,ライバル企業だけでなく,コンテンツを掲載しているすべての人とランキングを競わなくてはならないことに気づいてない企業が多いようである。
     内部ページに動的 URL を使っていると,検索エンジンが認識できないため,そこからの訪問者を逃すことになる。

     2006年9月にネットレイティングスにが発表した調査結果では,2000年以降の6年間で企業サイトへの訪問者数は増加傾向にあり,月間100万人以上の訪問者を集める企業サイトが増えている。 キリンビール,サントリー,トヨタ自動車,日産自動車,本田技研工業,ソニー,松下電器産業などが代表。
     2008年7月28日に NRI セキュアテクノロジーズが発表した2007年度中の企業サイトのセキュリティ診断結果によると,個人情報などの重要情報に不正アクセスできるサイトは41%だった。 企業の内訳は,金融業が51%,情報通信が26%,サービス業が11%,製造業が5%,流通業が2%,その他が5%。
     2008年12月19日に Jストリームが発表した『ネット利用に関するユーザー動向調査』では, 調査期間は2008年10月22から27日,PCと携帯電話のそれぞれから,各週1回以上企業サイト/商品サイト,企業名/商品名を検索した10歳から69歳の男女が対象で,有効回答数は1030件。 テレビの視聴がきっかけで PC からインターネットにアクセスした経験のある人は8割以上,携帯電話からアクセスした経験がある人も全体の約半数。 PC では,商品購入やメルマガ登録,ブックマークに関して90%以上の利用経験があり,携帯電話では,プレゼント応募やキャンペーン申し込み,メルマガ登録,ブックマークについて,約6割が経験している。 企業サイトや商品サイトにアクセスしたきっかけは,PC,携帯電話ともに上位はテレビと雑誌。 またPCサイトでの紹介や広告がきっかけで携帯電話サイトへアクセスする割合が31.9%,逆に携帯サイトでの紹介や広告がきっかけでPCでネットアクセスする割合は35.2%。 PC では『詳しく知る』『最新情報を仕入れる』『過去の情報をさがす』『まとまった時間を費やす』『自宅で見る』という項目が,携帯電話よりも大きなポイントを獲得。 携帯電話では,『手短に知る』『移動中に見る』が PC よりもポイントが高く,『休憩中に見る』『隙間時間を利用する』『学校や自宅で見る』についても PC のポイントを上回った。
     2010年1月19日,Web サイト設計を手掛けるビー・オー・スタジオは東証一部上場企業のサイトのユーザビリティやコンテンツの実装度合いの調査結果を発表。 多くの企業においてサイトに必要な機能の実装やレイアウトの設計は行われていたが,サイト設計に対する力の入れ具合や配慮が異なった。 画面サイズは,750ピクセル以上800ピクセル未満42.5%,800ピクセル以上850ピクセル未満15.9%。 トップページで Flash を利用しているのは64.7%。 ローカルナビゲーションの位置は,サイトの左側61.8%,右側20.7%。 『個人情報保護方針』へのリンクの位置は,フッター74.3%。 一方,個人情報保護方針のページがない企業は12.2%。 調査は2009年12月1日。 対象は,33業界,東証一部上場企業1685社,画面サイズやトップページでの Flash の活用など12項目を調査した。


    企業内コミュニケーション

     2006年10月11日に NTT レゾナント株式会社と株式会社三菱総合研究所が発表した調査結果では,社内でのコミュニケーション状況について『十分』10.5%,『大体』35.4%。 規模別では,従業員数が50〜99人・100〜499人の企業で,コミュニケーションが取れていないとする割合が高かった。 コミュニケーション不足と感じる点は,『部署を超えた社員間でのコミュニケーション』65.3%,『経営層と一般社員との間のコミュニケーション』63.8%。 情報共有が十分ではないと感じる点は,『業務知識,ノウハウ』74.2%。 コミュニケーションツールの導入では,電子メール 76.7%,イントラネット 49.0%,グループウェア 34,8%,社内 Blog 4.0%,社内 SNS 3.1%。
     2007年5月25日に総務省が発表した,2006年の『通信利用動向調査』によると,ビジネスブログやSNSを開設している企業は全体で4.4%。 2000人以上の従業者規模企業では9.9%。 ネットを利用した広告は全体で27.9%で,従業者規模が大きいほど実施割合が高く『2000人以上』の企業では47.3%。
     2009年1月6日にアイ・ティ・アールが発表した,国内企業のコミュニケーション手法の実態の調査結果では,企業では電子メールや対面でのやり取りを重視していることが明らかになった。 ファイルの添付は,企業内で81%,企業間では87%が利用。 企業内におけるコミュニケーションの手法は,『対面のミーティング』65%,『電話(二者間)』62%,『紙文章で共有』62%,『電子メール』61%。 企業間では,『電話(二者)』72%,『電子メール』69%,『ファックス』59%。 2008年10月に調査を行い,ユーザー企業の『文書作成/管理ソフトウェアの選定や購入』に対する意思決定者などにアンケートを実施。 有効回答数は700件。


    中小企業と IT

     2009年3月10日,アリババ株式会社は,中堅・中小企業の経営陣300名に対する『ネット環境に関する調査』を実施,,調査結果を発表。 社員1人当たり1台とした場合の,パソコンの普及率は,『100%以上』48.7%,『50%〜100%未満』19.3%,『25%〜50%未満』11.3%。 会社で使用しているパソコンにインストールされている主な OS は,『Windows XP』80.6%,『Windows Vista』11.5%,『Windows 2000』4.5%。 インターネットの接続形態は,『光ファイバー回線』62.5%,『ADSL 接続』28.8%,3『CATV 接続』6.6%。 インターネットの利用内容(複数回答)は,『メールの送受信』97.9%,『サイト閲覧(情報の収集)』93.1%,『ホームページの公開(電子商取引は除く)』52.8%。 セキュリティ対策は,『実施している』89.9%。 インターネット接続業者(インターネットサービスプロバイダ)などからセキュリティ対策のサービスを受けているかは,『サービスを受けている』40.2%で,受けているサービス(複数回答)は,『メールのウイルス感染のチェック・削除サービス』68.3%,『ウイルス対策ソフトの導入サービス』60.6%,『迷惑メールフィルタリングサービス』51.9%。 調査期間は,2009年1月6日〜7日。
     2009年10月27日,情報処理推進機構(IPA)は,中小企業の情報セキュリティ対策の実態調査の結果を発表。 診断シートを利用した実態評価では,70点未満が43社(対象は66社)。 業種別の平均点では IT企業 90.3点,サービス 63.3点,製造 59.8点,流通 54.9点。 情報セキュリティ対策が進まない要因について,IPA は組織全体での取り組みが弱い点や,人的リソースと情報源の不足,投資意欲の停滞などがあると分析している。
     2009年11月,シマンテックは,1000人未満の企業を対象に PC およびサーバでのセキュリティ対策の運用状況についての調査結果を発表。 個人向けセキュリティ対策製品の利用は,100人未満の企業で69%。 企業向け製品の利用は,100〜499人の企業78%,500〜999人の企業77%。 管理サーバを用いた集中管理,100人未満の企業25%,100〜499人の企業62%,500〜999人の企業76%。 セキュリティ対策製品のインストール作業を専任の管理者が担当するのは,100〜499人の企業63%,500〜999人の企業64%,100人未満の企業42%。 製品の定期検査やトラブル対応が個人なのは,100人未満の企業44%,100人以上の企業20%未満。 専任の担当者が実施するのは,100〜499人の企業64%,500〜999人の企業71%。 セキュリティ対策を情報システム部門が担当するのは,100人未満の企業21%,100〜499人の企業66%,500〜999人の企業76%。 回答は861社からで,100人未満267社,100〜499人324社,500〜999人270社。
     2010年6月21日,Symantec は世界の中堅・中小企業(SMB)の IT 投資実態に関する調査結果を発表。 調査は28カ国の中小企業(従業員10〜499人)を対象に5月に実施し,2152社の幹部から回答を得た。 電子情報の流出を懸念するのは74%で,42%は実際に社外秘情報や機密情報の流出を経験。 情報が流出した企業は100%の確率で,減収や諸経費の発生といった直接的な損失に見舞われている。 過去1年間に約 2/3 がノート PC やスマートフォンなどの紛失を経験し,サイバー攻撃の被害に遭ったのは73%。
     2010年8月19日,シマンテックは世界の中小企業のセキュリティ意識調査の結果を発表。 情報保護で重視するリスクで,5段階中で『最も重視する』『2番目に重視する』のは,情報漏えい 74%,サイバー攻撃 58%。 情報漏えいを重視する企業の42%は,過去に情報漏えいを経験。 その原因は,『組織内部』40%(過失21%,不正19%),『パートナー企業』25%(過失13%,不正12%),『第三者による不正』24%。 被害内容の内訳(複数回答)は,『収益機会の損失』46%,『ブランドへのダメージ』『直接的な金銭被害』『顧客信用の失墜/顧客関係のダメージ』なども4割前後。 サイバー攻撃を重視する企業では,過去1年間に攻撃を受けた企業が74%。 攻撃の頻度は,『多少あった』51%,『定期的にあった』『大量にあった』21%。 『影響を受けた』のは56%。 これによる損失内容(複数回答)は,『生産性の低下』53%,『収益の損失』や『直接的な金銭被害』『信用低下』『攻撃後の対応コスト』『顧客信用の失墜/顧客関係のダメージ』も目立っている。


    企業でのソフトのアップデート

     Nimda やブラスターのような重大なセキュリティー問題が発生すると,非常に用心深くなり,ソフトウェアのアップグレードの更新時期を遅らせるようになる。 これは,ソフトウェア会社は存亡に関わるほどの打撃となる。


    企業組織のクロスファンクショナルチーム

     従来の縦割り組織に横軸を通した形でプロジェクトチームを発足させ,組織全体の問題点を抽出したり,改善策を検討したりするもので, 縦割り型組織の弊害で硬直してしまった組織を蘇らせるのに,非常に効果があると言われる。 ゴーン社長が日産リバイバルプランにおいて力をいれていたものの一つ。 縦割り型組織は,組織のメンバーは企業全体よりも自分の所属する組織自体のメリットを優先しがちとなる。 それに対して,クロスファンクショナルチームでは各組織の代表者が集まり,企業に対するメリットにフォーカスした議論ができるので,ドラスティックな方向転換を行う際には非常に有効。 このようなチームの情報共有をサポートするには,サーバー型の情報共有システムはあまり効率的ではないとされる。 サーバー型は,基本的にまず第一に設計が必要で,アクセスする人数,アクセスする組織の場所,ネットワーク構成など,必要な項目を元にシステム担当が最適なシステムを構築する。 クロスファンクショナルチームのような短期のプロジェクトや,メンバーが頻繁に入れ替わるプロジェクトになると,そのフォローはかなり面倒な作業になる。 それに対し,P2P 型はクロスファンクショナルチームのようなプロジェクト型のビジネススタイルをサポートするのに非常に有効とされる。


    社外持ち出し

     2006年8月にガートナージャパンが発表した調査結果では,5割の企業がモバイル PC や記憶媒体を社外に持ち出していた。 重要書類を持ち出さないという企業は7割だったが,モバイル PC は,『常時持ち出している』22.9%,『ある程度持ち出している』26.7%。 モバイルPCと記憶媒体について,『全く持ち出さない』という企業はともに3割程度。 私物の PC や記憶媒体を社内ネットワークに接続する割合では,『日常的にある』が9.2%(2005年は10.7%)。 その背景には,会社支給の PC のスペックが低いことや,自分の PC の方が使い勝手がいいからということが挙げられる。


    企業の情報流出

     発生要因には個人の過失や内部犯行,外部からの不正アクセスといったさまざまなものがある。 ある程度対象を絞った攻撃では,一定期間に特定の業種にフォーカスして攻撃を仕掛けている。 また,解雇や退職に追い込まれた従業員の弱みに付け込んだり,パートナー企業の脆弱なポイントを突いたりして,攻撃者自身に追及の手が届かないようにしている。 標的とする企業に何らかのつながりがある人間に金銭を渡して犯罪に引き込んだり,企業に恨みを持つ人間を扇動したりして,攻撃者が自ら手を出さないというのが常套手段となっている。

     2000年ごろからの攻撃パターンをみると,2002年ごろまでは特定の企業だけ標的にする攻撃が目立ったが,2001年ごろからは無作為に攻撃する傾向が強まった。
     2006年ごろからある程度対象を絞った攻撃も増えつつある。
     2007年は飲食業界の企業が集中的に狙われ,その後は医療業界,リゾート業界と対象が移り変わっており,攻撃手法もそれぞれの業界で使われるシステム環境に合わせて変化している。
     2008年は特定企業を狙う攻撃が復活し,3つのタイプの目的が混在する状況になった。
     2008年は90件が刑事事件につながり,数百万件以上の個人情報などが漏えいする大規模事件が多発した。 調査した90件の事件の原因別の内訳は,組織外部が75%,組織内部が20%,業務委託先などのパートナー企業が32%だった(原因が複数の場合もあり,合計は100%にならない)。 象となるデータへのアクセス権限を持つ業務担当者やIT管理者が関与しているケースが多い。 また2008年は金融危機に伴う急激な景気悪化で企業のリストラが加速し,解雇や退職に追い込まれた従業員が悪意を持って行ったり,第三者が犯罪へ勧誘したりすることも多い。 また,不正アクセスを行った犯罪者の地域は,東欧やアジアである場合が多く,クレジットカードなどの偽造を目的とした攻撃元は東欧に集中していた。
    また,この年はWebサーバに存在するSQLインジェクションの脆弱性を悪用する不正アクセス攻撃が多発した。  攻撃者が重要データを盗み出す際には,トロイの木馬やスパイウェア,バックドアといった複数のマルウェアを組み合わせて実行するケースが多い。 一般の PC ユーザーを狙うような攻撃では,ウイルス対策ソフトなどで検知・駆除できる場合があるが,特定の企業が標的にされる場合,攻撃者が既存のマルウェアを大幅にカスタマイズしたり,専用に開発したりしているため,ウイルス対策ソフトでの検知はほぼ不可能とされる。

     2008年6月11日に Verizon Business が発表した,企業のデータ漏えいや侵害に関する事件の分析結果を取りまとめたリポート『企業の情報流出事件に関する実態調査報告書』によると,情報流出の87%は適切な対策を講じていれば防止できたはずとしている。 情報流出は,外部から73%,内部から18%が発生。 ビジネスパートナーが絡む流出は39%。 原因は複数の要因が絡むことが多く,62%は内部のミスが直接・間接的な原因。 意図的な情報流出の59%はハッキングや不正侵入によって発生。 アプリケーションやOSなどの脆弱性を突いた攻撃は25%弱。 ただし,脆弱性が悪用されたケースのうち90%は,少なくとも半年前からパッチが公開されているのに適用していなかった。 流出に社内で気付いたケースは14%で,75%は第三者が発見し,発見までに長期間が経過していた。 種類別では,『クレジットカード情報』84%,『個人識別情報』32%,『非機密データ』16%,『認証情報』15%,『知的財産』8%,『企業財務情報』5%。 データの種類別は,『オンラインデータ』82%,『オフラインデータ』7%,『ネットワークとデバイス』7%,『エンドユーザーデバイス』4%。 データ漏えい/侵害の発生割合を従業員規模別で見ると,『11〜100人』30%,『1001〜1万人』26%,『101〜1000人』22%,『1万〜10万人』14%。 原因別(重複ケースもあり,合計値は100%にはならない)では,『ハッカーなどの企業外』73%,『社員などの企業内』18%,業務委託先などのパートナー39%。 漏えいしたデータ件数の平均は,企業外3万件,企業内37万5000件,パートナー18万7500件。 パートナーによる原因の内訳は,『パートナー側にある資産(システム)や通信経路』57%,『不明』21%,『IT管理者』16%。 データ漏えい/侵害の原因は,『過失』62%,『ハッキング』59%,『マルウェア』31%,『不正使用』22%。 過失のうち,79%は『怠慢・手抜かり』で,ほとんどが間接的にデータ漏えい/侵害に関与していた。 ハッキングの内訳は,『アプリケーション/サービスレイヤへの攻撃』39%,『OS/プラットフォームレイヤへの攻撃』23%,『既知の脆弱性利用』18%,『バックドア』15%。 既知の脆弱性利用のうち,71%は情報公開から1年以上を経過したもの,19%が6〜12カ月経過したものが標的になった。 脆弱性を悪用するハッキング事件の90%以上は,修正パッチなど迅速に適用していれば防止できるものだった。 業界別の傾向では,金融サービスは,企業内を原因とするリスクが高い,詐欺や過失による攻撃が目立つ,攻撃レベルは高度で時間をかけて行われるが発見および対策は迅速,正体不明の情報資産が少なく,管理意識が高い。 食品関係は,攻撃の大半は企業外からで,パートナー企業との通信経路を悪用する傾向が高い,全般的なセキュリティ構成が弱く,反復的な攻撃も多い,POSシステムを突破口にして,関連企業のシステムにもマルウェアなどの攻撃を広げる,漏えい/侵害の発見に時間がかかる。 流通関係は,リモートアクセス・Webアプリケーション・無線LANへの攻撃が目立つ,攻撃レベルが低い単純な攻撃が多いが,複雑なものが時折見受けられる,漏えい/侵害の発見を外部に大きく依存している。 技術サービスでは,攻撃レベルは高度。技術に明るいが,情報資産やシステム構成の把握に苦慮している。ハッキング攻撃が目立ち,脆弱性の悪用が多い。 しかし,修正パッチ適用などの包括的な対策が十分ではない。 悪意のある内部関係者が問題。社員全体のアクセス権限がほかの業種よりも高い傾向にあり,管理も難しい。 知的財産の侵害が他業種よりも多い,などの傾向がある。 調査は2007年までの4年間で,2億3000万件の情報流出にかかわる科学捜査約500件と,企業の情報流出数百件について分析した。
     2009年2月,Symantec と Ponemon Institute は共同で実施した調査の結果,会社を辞めた従業員の6割が勤務先から情報を持ち出していると発表。 調査対象は米国で2008年に会社を辞めたり,解雇されたりした従業員1000人で,回答者の59%が顧客リストなどの社外秘情報を持ち出したことを認めた。 持ち出した情報は電子メールアドレス一覧,従業員情報,顧客情報など。持ち出しの形態は CD または DVD へのコピーが53%,USB メモリへの保存が42%,自分の個人メールアカウントへの送信が38%を占めた。 情報持ち出しを認めた従業員のうち61%は,勤務先に対して良い印象を持っていなかった。 回答者の82%は,辞めるときに勤務先から書類や電子文書を検査されることはなかったと回答。 辞めた後に会社のコンピュータシステムやネットワークにアクセスしたとの回答も24%に上った。
     2009年4月15日,Verizon Business は企業の情報漏えい事件に関する実態調査報告書を公開。 情報漏えい元の大半はサーバやアプリケーションで,漏えいしたデータの99%を占め,事件の69%は第三者からの通知によって発覚した。 以下の対策をとれば90%は回避できたとしている。 デフォルトの認証情報を変更する,認証情報を共有しない,ユーザーアカウントを見直す,アプリケーションのテストとコードの見直し,パッチの適用を徹底する,人事部門が適切に退職者の手続きをする,アプリケーションを記録・監視する,『疑わしい』と『異常』を定義して分析する,など。 これは2008年に同社が調査対応した情報漏えい事件の動向を分析したもの。
     2010年4月,Microsoft と EMC のセキュリティ部門 RSA Security の委託により,Forrester Consulting が実施した企業の IT 部門に対する調査で,法令遵守や,『保守データ』の不測の漏洩防止にかなりの予算を投じる一方,社の極秘情報の保護には十分な費用を充てていなかったと発表。 それによると,保護を必要とする企業データには『長期的な競争上の優位をもたらす秘密情報(製品計画,業績予測,企業秘密など)と,保護を義務付けられている保守データ資産(盗難や漏洩が発生した場合に『有害』となる顧客情報,医療情報,クレジットカード情報など)』がある。 調査対象は,米国その他の企業で IT セキュリティ関連の意思決定を担当する305人。


    情報漏えい防止技術の導入で準備すべきこと
     重要と判断するための基準やリスクを組織全体で見直し,再度設定する。 次に現場業務のフローに基づいて実際にデータを重要度別に仕分ける。 これらの作業は,人事異動や組織再編,新規事業の構築時に実施するのが望ましいらしい。 保護対象とするデータの特定や,保護する内容(アクセス制限や移動の制限)がある程度概観できるようにし,導入後は定期監査などを行って,効果を高めるために改善していく運用が望ましいらしい。


    WikiSWOT
     さまざな企業の SWOT 分析を Wiki 形式で掲載しているサイト。 SWOT 分析とは企業の強み(Strength),弱み(Weakness),機会(Opportunity),脅威(Threat)をまとめたもの。 誰もが編集でき,多数の有名企業の分析が集められている。
    サイト:    http://www.wikiswot.com


    戻る 『そ』最初のメニュー