情報セキュリティは、技術対策のみに非ず

こんばんは。Cobbyこと小林 健了です。

最近、ランサムウェアが猛威を振るっています。
ランサムウェアをはじめとしたウイルス対策としては、
・ウイルス対策ソフトの導入、パターンファイルの最新化
・OSのセキュリティパッチの適用
・メールの怪しいリンクをクリックしない
ということが言われています。

確かにウイルス対策ソフト、パターンファイル、セキュリティパッチは技術的なものですが、
「導入しよう」「最新化しよう」「リンクをクリックしよう」といったところは人の意思に関連するところです。

このように、情報セキュリティ対策としては、人的要因も重要な要素となってきます。
情報セキュリティ10大脅威 2017のほうでもさまざまな事例や対策が提示されているので、ご参照ください。

できる逆引き Googleアナリティクス Web解析の現場で使える実践ワザ240 ユニバーサルアナリティクス&Googleタグマネージャ対応」という書籍で勉強中です。


情報処理教科書 高度試験午後I記述 春期・秋期」にインタビューを、
情報処理教科書 高度試験午後II論述 春期・秋期」に体験記を寄稿しておりますので、
秋試験の学習に向けて是非ともお読みくださいませ。



よろしければ、クリックをお願い致します。


ブログランキング・にほんブログ村へ

ITサービスマネージャ 午後2 平成28年問2 「プロセスの不備への対応について」

こんばんは。Cobbyこと小林 健了です。

論述問題の解説が、なんと合格発表日の前日までかかってしまいました (汗)

ITサービスマネージャ 午後2 平成28年問2 「プロセスの不備への対応について」についてコメント致します。

問1とは異なり、再発防止や事前予防まで広てげ過去問を見ると類題はいくつかあります。ですが、ITILの複数のプロセス、特に問題管理プロセスへの深い理解が必要です。
また、肝心の設問イ、設問ウに対する問題文の記述が少なく、基礎となる知見を有していないと規定字数を確保することも困難と思われ、試験現場では選択しにくいでしょう。

設問アでは、「ITサービスの概要、不備があったプロセスの概要、不備の内容」が問われています。
ITサービスの概要は、問題文全体を読んでフィードバックすべき点もないので、こちらは完全にノーヒントです。
不備があったプロセスの概要は、問題文にフォローして論旨を設計するという観点から、インシデント管理プロセスまたは問題管理プロセスに決め打ちします。不備の内容についてはノーヒントですが、プロセスの概要と不備の内容については、「発生したインシデントの対応の後に、インシデントの内容や対応状況を整理し、インシデントの原因である問題を識別する」とありますので、その流れに沿って論述します。例示と大雑把に関連付けると、内容→インシデントの件数が減らない、対応状況→インシデント対応の時間、と言えます。
流れとしては、「ITサービスはXXである。当該ITサービスのインシデントの対応に時間が掛かることが分かった。インシデントの内容や対応状況を整理するとインシデント管理プロセスに不備があることが分かった。更に整理すると、インシデント管理プロセスのYYに不備があった」がよいでしょう。

設問イでは、「調査内容、対策、工夫した点」が問われています。
調査内容については、プロセス単体の観点(手順の曖昧さ、抜け・漏れ、想定外の事象の発生)、プロセス間の連携の観点(共有する情報の不足、連携するタイミングの悪さ)等を記述し、これらに対する対策を論述します。
工夫した点については明確に示されていません。ですが、問題文の記述の中で日常業務として漏れやすいプロセス間の連携の観点を工夫した点とすると収まりは良くなります。
なお、「プロセス間の連携の観点」と発生する問題の例としては、
・インシデント管理プロセスで対応した「既知のエラー」が保存されない、または保存が遅れることで問題管理プロセスのインシデントの予防が機能しなくなり、インシデントの件数が減少しない
・構成管理プロセスではプログラムの構成やバージョンは管理されているがドキュメントの構成やバージョンが管理されていない、もしくは更新が遅延するので、変更した箇所で発生したインシデントの対応に時間が掛かる
などが挙げられます。

設問ウでは、「事前予防的な活動」が問われています。
これは、仮に設問ア、設問イで任意のプロセスを選択していたとしても、設問ウでは問題管理プロセスの観点で論述することが求められていることを意味します。
(そのため、設問イでは問題管理プロセスに触れる内容とすると論述が楽になります)
事前予防的な活動の内訳としては、問題文の通り、「過去に発生したプロセスの不備に起因するインシデントの傾向分析」とこれを受けた「事前予防的な活動」に大別されます。
ですが、これ以上はノーヒントですので自らの経験と考えのみで論述する必要があります。

この問題は、受験者の経験の有無で難易度が大きく変動すると思われます。

情報処理教科書 高度試験午後I記述 春期・秋期」にインタビューを、
情報処理教科書 高度試験午後II論述 春期・秋期」に体験記を寄稿しておりますので、
秋試験の学習に向けて是非ともお読みくださいませ。



よろしければ、クリックをお願い致します。


ブログランキング・にほんブログ村へ

ITサービスマネージャ 午後2 平成28年問1 「ITサービスを提供する要員の育成について」

こんばんは。Cobbyこと小林 健了です。

ITサービスマネージャ 午後2 平成28年問1 「ITサービスを提供する要員の育成について」についてコメント致します。

過去問に類題はありませんが、問2 (後程解説) のほうではITILの複数のプロセス、特に問題管理プロセスへの深い理解が必要ですので、大半の受験者は問1を選択したと想定しています。

設問アでは、「ITサービスの概要、ITサービスを提供する上で必要となる要員の能力、要員の能力が必要となる理由」が問われています。
ITサービスの概要はノーヒントに見えますが、後程問題文に登場するチームとその役割、要員構成 (ベテランと新人の存在) には触れておきましょう。キャパシティ管理について論述する場合はサービスの応答時間 (SLAの内容) にも触れます。
要員能力については、「適切な知識と技能」「適用する能力」に大別されます。これは、以下の2例に示されいます。
・問題管理プロセスの例は、適用する能力の例
・キャパシティ管理プロセスの例は、適切な知識と技能の例
いずれか、あるいは両方の観点で論述します。
要員の能力が必要となる理由については、例にあるように
・インシデント発生時の事後的な活動にとどまり、事前予防的な対策を実施できず、インシデントの再発防止ができない。
・キャパシティ計画を適切に策定できず、サービスの応答時間の目標が達成できない。
など、最終的にITサービスマネージャにそもそも求められている内容 (インシデントの再発防止) 、SLA未達 (サービスの応答時間の目標が達成できない) など、ITサービスとして問題がある、という観点で示します。
これらの事象は、今後発生する可能性がある、または既に発生して対策が急務の状況、いずれでもよいでしょう。

設問イでは、「重点的に高めようとした能力、実施した要員育成策、工夫した点」が問われています。
重点的に高めようとした能力については、チームの役割と個々の要員の経験などを考慮し、重点的に高めようとした能力を決定します。
要員育成策では、要員育成計画の作成、OJTの確実な実施、モチベーションの維持のための方策について論述します。
上記では、個々の要員の経験を考慮すること、OJTを実施することからも、設問アでチーム内の要員構成について触れておくとよいでしょう。
工夫した点については、社内の人材育成体系、外部の研修期間の活用など、OFF-JTを意識した工夫について論述します。

設問ウでは、「評価と改善事項」が問われています。
評価については
・計画通りに要員育成策を実施できたか
・想定通りに要員の能力が高まったか
・「要員の能力が必要な理由」で述べた、ITサービスとして問題となる事象に対応できたか
という観点で評価します。
そのうえで、問題となった事項の改善を加えたり、今回の取り組みを社内に展開してさらなるITサービスの品質向上を図ったり、といった改善内容となるでしょう。

問題文に沿って何となく書けてしまう難易度の低い問題ですが、以下に具体的、定量的に記載できるかで合否が分かれると考えています。

情報処理教科書 高度試験午後I記述 春期・秋期」にインタビューを、
情報処理教科書 高度試験午後II論述 春期・秋期」に体験記を寄稿しておりますので、
秋試験の学習に向けて是非ともお読みくださいませ。



よろしければ、クリックをお願い致します。


ブログランキング・にほんブログ村へ

午後Ⅱ論述試験概説 ITサービスマネージャ 問2

こんばんは。Cobbyこと小林 健了です。

本日は、平成27年度「ITサービスマネージャ」の午後Ⅱ論述試験の概説です。

第2回目は、ITサービスマネージャ 問2 「ITサービスに係る費用の最適化を目的とした
改善について」です。
今回が、平成27年度秋期 情報処理技術者試験 午後Ⅱ解説の最終となります。

設問ア あなたが携わったITサービスの概要、顧客からの要求事項、および利用した
外部サービスについて、800字以内で述べよ。

1.1 ITサービスの概要
求められているものは「ITサービスの概要」であり「情報システムの概要」ではないことに
注意が必要です。ヒントはありませんが、要求事項の項目につながる内容がよいでしょう。
・可用性、使用ユーザ数←品質や性能、費用
・重要業務に供されること←インシデントラン楽や業務報告などのコミュニケーション
・機密情報の取り扱いが求められる←機密情報の取扱いなどの情報セキュリティ

1.2. 顧客からの要求事項
問題文から、以下を設定します。
・品質や性能、費用
・インシデント連絡や業務報告などのコミュニケーション
・機密情報の取扱いなどの情報セキュリティ

1.3 利用した外部サービス
問題文から、以下のいずれかを選定します。
・業務の一部やすべての外部委託
・ITサービスの基盤に活用する、外部のデータセンタやクラウドサービス

設問イ 設問アで述べた顧客からの要求事項に応えるために、供給者に求めた要求事項と、
供給者管理の活動内容について、800字以上1,600字以内で具体的に述べよ。

2.1. 実施した費用改善策
問題文から、以下を設定します。
・品質や性能、費用
・インシデント連絡や業務報告などのコミュニケーション
・機密情報の取扱いなどの情報セキュリティ
顧客の要求事項の水準を下回らないことが重要です。

2.2 供給者管理の活動内容
問題文の内容を活用します。
・供給者への要求事項に基づいて、故障発生などの品質項目、機密情報へのアクセスなどの
 情報セキュリティ項目について、範囲・間隔を定めて監視する。
・評価基準を設け、監視結果や業務報告から外部サービスについて評価する。
・供給者への要求事項に照らして不適合がある場合は、原因と再発防止策について
 報告を求める。

ここで、設問ウに向けて、品質項目、情報セキュリティ項目、外部サービスの評価基準
及び報告フォーマット等については、具体的な記載項目を提示することが重要です。

設問ウ 設問イで述べた供給者管理の活動の評価と、供給者管理の改善の継続について、
600字以上1,200字以内で具体的に述べよ。

3.1 供給者管理の活動の評価
問題文にはヒントはありませんので、ご自身の経験と考えに基づいて記述します。
例えば、以下を記述できるでしょう。
・定期的な監視や評価基準に従った外部サービスの評価を行った。
・その結果、顧客の業務には影響しないものの不適合が見つかった。
・供給者に対し、原因と再発防止について報告を求め、報告を受領した。
・その後、供給者が報告通りに再発防止を行い、不適合は発生しなくなった。
・よって、適切に供給者管理の活動を実施できていると評価する。

3.2. 供給者管理の改善の継続
問題文には「顧客からの要求事項などの変化に応じて供給者への要求事項を見直すだけでなく、
品質項目の監視内容を見直すなど、」とあるので、
・品質項目の監視項目を見直した
・理由は顧客からの要求事項がXXに変化し、供給者への要求事項を見直した、
 またはYYという追加のタイ魚が生じたためである。
といった内容を記述します。

ここまでお読みくださいまして、ありがとうございます。
「情報処理教科書 高度試験午後II論述 春期・秋期」に体験記を寄稿しておりますので、
是非ともお読みくださいませ。


よろしければ、クリックをお願い致します。


ブログランキング・にほんブログ村へ

午後Ⅱ論述試験概説 ITサービスマネージャ 問1

こんばんは。Cobbyこと小林 健了です。

本日は、平成27年度「ITサービスマネージャ」の午後Ⅱ論述試験の概説です。

第1回目は、ITサービスマネージャ 問1 「ITサービスに係る費用の最適化を目的とした
改善について」です。

設問ア あなたが携わったITサービスの概要と、ITサービスにかかる費用の最適化を目的とした
改善を行うに至った背景について、800字以内で述べよ。

1.1 ITサービスの概要
求められているものは「ITサービスの概要」であり「情報システムの概要」ではないことに
注意が必要です。ここでは、「顧客と合意したサービス目標」やそれを満たす仕組みを解答します。
問題文からは、直接及び間接的なものを合わせ、以下を解答するとよいと読み取れます。
・サービスを提供するために要している費用
・サービス管理手順等のプロセス (箇条書き部分との対応)
・体制 (自社、関連部門及び外部の供給者) (箇条書き部分との対応)
・サービス時間 (箇条書き部分との対応)
・外部の供給者との間の契約内容 (箇条書き部分との対応)

1.2. 改善を行うに至った背景
問題文から、「顧客の要求事項、サービス提供者の経営環境、技術の変化などに応じ、(中略)、
適切な費用改善策を立案し、」とあるため、背景は「「顧客の要求事項、サービス提供者の
経営環境、技術の変化」があった」とします。

設問イ 設問アで述べた背景を契機として実施した費用改善策と、改善策を立案し実施する上で
検討した内容について、800字以内1,600字以内で具体的に述べよ。

2.1. 実施した費用改善策
問題文から、
・サービス管理手順の簡素化、自動化ツールなど、プロセスの見直し
・他サービスとの要員配置の調整、外部要因の活用など、体制の見直し
・外部の供給者に委託しているサービスのサービス時間や費用など、契約内容の見直し
の観点で具体的に記述します。ここでは、問題文の冒頭にある「ITサービスに係る費用の
最適化を目的として」「顧客と合意したサービス目標に照らして」とありますので、
やみくもな費用改善策では不可と言えます。具体的には、顧客と合意したサービス目標を
達成できる水準の費用改善策が求められます。

2.2 改善策を立案する上で検討した内容
問題文に、「現状のサービスを提供するために要している費用の状況を把握し、改善目標を
設定する。」「パレート図、特性要員図などを用いて、非効率な活動がないか、必要な資源の選定、・
活用において改善の機会がないかなどについて分析する。」「その上で、運用効率や生産性の
向上に向けて、次のような観点から施策を検討する必要がある。」とあります。
このことから、
・費用の状況の把握
・改善目標の設定
・パレート図、特性要員図などを用いた分析
・運用効率や生産性の向上といった、施策検討にあたっての課題設定
について記述します。この中では、パレート図、特性要員図など、QC七つ道具を示唆した
分析が例示されていることが特徴的です。

2.3 改善策を実行する上で検討した内容
問題文に、「関係部門とも協議し、費用対効果、実行可能性などを十分に検討した上で
費用改善策を決定し、実施することが重要である。」とあります。
このことから、
・費用対効果
・実現可能性
について記述します。「関係部門とも協議し」とありますので、自分だけで決定した改善策では
不可です。関連部門を明示しながら、一人で決定した改善策ではないことを記述します。

設問ウ 設問イで述べた費用改善策を実施した後、改善目標を達成できたかどうかを監視・
分析した内容と、費用の最適化に向けた継続的な取組みについて、600字以上1,200字以内で
具体的に述べよ。

3.1改善目標を達成できたかどうかを監視・分析した内容
問題文にはヒントはありませんので、ご自身の経験と考えに基づいて記述します。

3.2. 費用の最適化に向けた継続的な取組み
問題文には「様々な環境の変化に応じて、」とありますので、環境の変化を複数想定し、
それぞれの環境変化に合わせた継続的な取組みの内容を記述します。

ここまでお読みくださいまして、ありがとうございます。
「情報処理教科書 高度試験午後II論述 春期・秋期」に体験記を寄稿しておりますので、
是非ともお読みくださいませ。


よろしければ、クリックをお願い致します。


ブログランキング・にほんブログ村へ

プロフィール

小林 健了

Author:小林 健了
取得資格: 中小企業診断士、技術士(電気電子部門)、情報処理技術者 (ITストラテジスト等) 。主にITや製造現場の観点から、企業経営、コンサルティング、技術について情報提供してまいります。

最近のトラックバック

ブロとも申請フォーム

アンケート

人気blogランキング

よろしければ、クリックをお願いします!! ↓↓↓↓↓↓↓↓

人気ブログ

ブログ内検索