皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊!)
─────────────────────────────
ブログの第154回目は、急遽予定していた記事を差し替えて、新聞1面に掲載された東電の暴挙についてです。
驚きました!
今朝の読売新聞1面に大きく、【東電「XP」5年間継続 4万8000台 国は3度更新要請】とあります( ゚Д゚)
東京電力が使用しているPCの、約48,000台のOSが未だにWindows XPで、入れ替え予定の2018年~19年まで使用する計画であると。
その中には、インターネットに接続して使うPCもあると書かれています。
国から重要インフラの指定をされている電力業界ですから、政府からもXPの更新を求める注意喚起の文書を3回出しているとあります。
なぜ重要インフラに指定されているのか? その意味を理解した上で、政府からの文書の無視とも言える計画なのでしょうか?
GRC(Governance, Risk and Compliance)は、本当に大丈夫ですか?
安全だ! 絶対安全と言い続けた原発が、事故を起こして、生き物の住めない土地を生み出して、現在も汚染拡大中。
賠償・補償金での倒産を税金で救われた上に、1社独占での電力料金値上げとやりたい放題を行って、更に今回の計画。
まさか? 安全と目先の給与の値上げやボーナスの支給とを引き換えたなんて事は、無いですよね。
Windows XPのサポート終了は、2007年頃に、2009年4月14日に予定されていたサポートが終了が、5年延長されて、2014年4月8日までになったと発表されていたと思います。
この事から、GEITの成熟度が高くIS中期戦略がしっかりしている組織体では、ライフサイクル計画で、OSの変更は織り込み済みで実施されているはずです。
東電では、Windows XPのサポート終了間際になって、慌てて対策を考えたのではないでしょうか?
サポート切れのOSを使う事での、BIA(Business Impact Analysis:ビジネスインパクト分析)をちゃんとしましたか?
※BIAは、業務やシステムが停止・中断した際に被る損害の大きさや影響する範囲の広さを評価するものです。
・大きさ(金銭的、機会損失等)
・範囲の広さ(事業上、関連先、従業員、社会への影響等)
原発事故での、津波や電力を失った時の、BIA全くできていませんでしたの状況を見ると、今回も考えていないのでは? と思ってしまいます。
本当に、OSを入れ替えずに今後5年間にかかる余計な対策費用とその他諸々、ちゃんと見積もって、結論を出したのでしょうか?
マイクロソフト セキュリティ インテリジェンス レポート 第11版には、以下の掲載があります。
・Windows XPがマルウェアに感染するリスクは、Windows 7の約10倍になる
また、IDC White Paper, Sponsored by Microsoft Corporation, May 2012の調査では、以下の様になっています。
・Windows XP搭載PC1台あたりのサポート時間は年間で11.3時間と、Windows 7搭載PCの2.3時間に比べて、およそ5倍を要する。
・PC1台あたり保守・運用にかかる年間コストもWindows 7の約5倍に達し、年を追うごとに上昇する。
少し考えてみただけでも、48,000台もの業務用PCのハードウェアが、5年間も故障しない事は絶対にありえません。
当然、新しい部品にするとWindows XPにはドライバは存在しないので、動かない事が多いですよ。
代替部品も中古品を調達して、間に合わせる計画なのでしょうか?
何処かと、必ず部品を調達できる契約でもしているのでしょうか?
それとも故障率を部品毎に見積もって、既に調達済みなのですか?
どんなに考えても、サポート切れのWindows XPをあと5年間も使い続ける計画とした、意味が全く解りません。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャ
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/