情報マネジメント概論技術士 ( 情報工学総合技術監理 ) 奥田孝之 1

目次情報管理と情報マネジメント情報の定義情報の性質マネジメント階層と情報知識の構造化ナレッジマネジメント情報システムセキュリティ原則 2

情報管理と情報マネジメント比較定義情報管理情報の構造 / 取得 / 配布 / 保守に関する組織化と制御情報マネジメント情報と知識の再利用蓄積維持するためのマネジメント技術分野技術と制度データ管理情報検索文書管理図書館情報学シソーラスデータベース技術インデクシングオンラインデータベースナレッジマネジメントセキュリティ意思決定セキュリティ技術情報の価値ネットワーク管理 3

情報 (Information) とは辞書的意味 ( 出典 : OED) ビジネスの意味情報の役割 1. 形を与える ( 人格形成教育 ) 2. 知識事実事象の報知伝達 3. 特定の事実話題に関し語られる知識 4. 蓄積可能で無人で伝送されるもの 5. 特定の記号を選択する度合いの量置かれた状況を把握するしかし完全な情報は得られない意思決定の判断材料評価行動 (CopyRight)T.Okuda 4

様々な情報の定義ポラトマッハルプ梅棹忠夫シャノン小松崎清介中野収組織化され伝達されるデータ知られていることという内容人間と人間との間で伝達される記号系列不確実性を減らすもの人間の諸活動を支える有意味の記号系列メッセージ記号媒体の複合体 5

情報の定義 (3)~ 分野別 ~ 最初の意味工学的な意味経営工学の意味森鴎外シャノンサイモン Nachricht の訳語情報敵戦場に関する情況報告事象 ( 物事 ) を認識伝達するための信号の集合 Bit= 情報の最小単位意思決定理論における 3 層構造 ( データインフォメーションインテリジェンス ) 6

知識データ情報新規性高いニュース誤報不正確性が残る情報データ客観性正確性知識新規性が求められない科学 (CopyRight)T.Okuda 7

データとは定義 : 情報を生みだすための素材データの種類 1 一次データ ( オリジナルデータ ) ➁メタデータ ( データに関するデータ ) 3インデックス書式 4 二次データ ( 解析統計集計 ) 反情報論赤木昭夫 2006 を一部改変 8

データとは? 二次データデータデータベース書式インデックス一次データメタデータ 9

情報の中立性要件 (1) データの種類に依存しない (2) データは他のデータと関係を持つ (3) データ表示のないデータはない (4) データの意味は情報の利用者と無関係 (5) 正しいデータがデータである出典 : 反情報論赤木昭夫 2006 10

情報の性質複製容易性時系列による変化循環性再利用性伝達時間情報蓄積による価値の増大情報に意味や解釈が付加されることがある 11

複製容易性デジタル情報の特徴媒体からの独立物理的な制約からの自由収穫逓増の法則原価 = 初期費用 / 個数 + 流通コスト+ 複製コスト初期コスト >> 複製コスト流通コストソフトウェア開発 ( 数億円 ~ 数百億円 ) CD-ROM: コスト数十円 12

情報伝達時間情報伝達には時間が掛かる会話電話 FAX 電子メール新聞手紙書籍雑誌秒 ~ 分分 ~ 時間分 ~ 時間日半日数日月年伝達時間理解時間配達時間理解時間作成時間開封時間記事執筆印刷配達作成郵送開封原稿作成校正配布 13

方言周圏論文化的中心地から同心円状に伝達するナメクジマイマイツブリカタツムリデデムシ柳田國男蝸牛考 14

マネジメント階層と情報知恵知識情報データナレッジマネジメント情報管理データ管理情報マネジメント (CopyRight)T.Okuda 15

知識とは現象と原因の連鎖を理解しているこうなったらこうなる手段 A 結果 A 原因 A 現象 A 手段 B 結果 B 原因 B 現象 B 手段を知っているこうしたらどうなる 16

形式知と暗黙知暗黙知ノウハウ慣習形式知特許マニュアル仕様書勘経験論文手順書出典 : 小宮山宏 : 知識の構造化オープンナレッジ 2004 一部改変 17

知識の構造化知識の組み合わせ融合知識知識領域知識の構造化 = 知識 + 関連付け出典 : 小宮山宏 : 知識の構造化オープンナレッジ 2004 一部改変 18

知恵とは複数の既存知識を組み合わせ新しい知識を得る知識 D 知識 A 知識 B 知識 C 知識 D 既存知識を異なる領域に適用する領域 A 領域 B 手段 A 結果 A 手段 A 結果 B 19

ナレッジマネジメント KM:Knowledge Management 個人の持つ知識や情報を組織全体で共有し課題を解決し新しい知識を創造する活動効果 : 組織全体の生産性の向上意思決定の迅速化業務の改善知識の移転ベンチマーキングベストプラクティス 20

情報セキュリティの考え方 OECD 情報セキュリティ9 原則 Need to Knows 原則最小特権リスクの把握と管理要因とリスク特定ログの採取と確認多層防御 21

リスク要因内部誤操作 35.2% 管理ミス 22.2% 紛失置忘れ 14.1% 不正持ち出し 5.8% 設定ミス 4.4% 内部犯罪 1.4% バグセキュリティホール 1.6% 84.7% 盗難 11.2% ワームウィルス 2.2% 外部不正アクセス 0.7% その他不明 0.9% 参考 : 日本ネットワークセキュリティ協会報告書 2008 14.1% 22

情報システムのセキュリティのためのガイドライン (OECD 1992) 1 認識の原則 2 責任の原則 3 対応の原則 4 倫理の原則 5 民主主義の原則セキュリティ文化 6 リスクアセスメントの原則 7 セキュリティの設計及び実装の原則 8 セキュリティマネジメントの原則 9 再評価の原則 23

認識の原則 (Awareness) 更新の必要性システム構成の把握不正アクセス被害リスクの認識安全防護措置セキュリティ強化セキュリティの必要性自分たちが出来ること 24

責任の原則 (Responsibility) 全参加者が責任を負う更新情報の提供役割にふさわしい責任利用者が理解できる情報提供開発者利用者管理者対策の実施 25

対応の原則 (Response) ネットワークの相互接続急速広範な被害脆弱性脅威セキュリティ事件情報共有予防検出タイムリに協力対応 26

倫理の原則 (Ethics) 他者の正当な利益尊重ベストプラクティスの形成及び採用倫理的な行動作為不作為の影響他者の損害情報システム及びネットワークの普及 27

民主主義の原則 (Democracy) 適合セキュリティ民主主義の価値情報の自由な流通思想及び理念を交換する自由個人情報の適切な保護情報及び通信の秘密公開性並びに透明性説明責任 28

リスクアセスメントの原則 Risk Assesment 情報システムの相互接続脅威と脆弱性を識別物理的及び人的要因保護すべき情報の性質と重要性潜在的な損害要因セキュリティポリシーリスクの許容レベル適切な制御を選択 29

セキュリティの設計及び実装の原則 Security design and implimentation 不可欠なものとするセキュリティ方針システム設計ネットワーク設計情報の価値と比例セキュリティ技術安全防護策実装技術 30

セキュリティマネジメントの原則 Security management セキュリティマネジメントの包括的アプローチ事件事故の予防システム要件参加者の役割異常検出セキュリティシステムリスク異常対応復旧保守監査 31

再評価の原則 (Reasesment) 情報システムとセキュリティの再評価方針実践手段手続の検討と修正セキュリティのレビュー再評価脅威の変化継続的な実施脆弱性の発見 32

Need to Know 原則ある業務を遂行するために役割にある人のみに情報にアクセスする権限を与える ( 情報資産ごとに付与 ) アクセス管理の大原則アクセスできる人が絞り込まれる事件事故のリスクが大幅に減る 33

アクセス管理設計情報資産 A 情報資産 B 情報資産 C 情報資産 D Aさん職務 A Bさん職務 B Cさん職務 C : 更新できる : 参照できる : アクセス不可 34

最小特権 (Least Privilege) 特権 : システムの大きな変更を行なう権限イントールパスワード変更ユーザ登録システム管理者の権限 ( 特権 ) を最小化特権ユーザーで実行されているプログラムにセキュリティホールがあった場合や, 特権ユーザーのアカウントに侵入された場合にも被害を最小化できるセキュア OS 35

ログの採取と確認入室記録侵入検知アナログ情報棚鍵デジタル情報アクセスログ確認不正持出部屋建物 36

シャノンの情報理論情報を定量化することにより媒体格納や通信に利用情報の定義 : 不確実性を減少させるものある事象が起こる確率が p であるときそれが実際に起きたことを知ったときに得られる情報量は log2(1/p) 情報源符号化と伝送路符号化確率論的に扱えるデータ量を扱うメッセージの内容の重要性や意味を考慮しない 37

情報マネジメント概論 技術士 ( 情報工学 総合技術監理 ) 奥田孝之 1

情報マネジメント概論技術士 ( 情報工学総合技術監理 ) 奥田孝之 1