📌 結論から理解する
組織的・人的対策=「人と仕組み」でセキュリティを守る
技術的な対策だけでは情報は守れません。ルール・体制・教育・人材管理という「人と組織の仕組み」が不可欠です。
実際、セキュリティインシデントの多くは、技術的な欠陥よりも人的ミス・内部不正・ルール不備が原因です。
「組織的対策か人的対策か」の分類と、各対策の具体例が頻出です。
組織的対策の具体例
✅ 情報セキュリティ委員会の設置
経営層主導のセキュリティ推進組織。方針決定・予算確保・全社横断的な対策統括を担う。
経営層主導のセキュリティ推進組織。方針決定・予算確保・全社横断的な対策統括を担う。
✅ CISO(最高情報セキュリティ責任者)の任命
情報セキュリティを統括する経営幹部クラスの責任者。経営層とのパイプ役。
情報セキュリティを統括する経営幹部クラスの責任者。経営層とのパイプ役。
✅ CSIRT(インシデント対応チーム)の設置
セキュリティインシデント発生時に対応する専門チーム。事前に手順を定め、訓練を実施。
セキュリティインシデント発生時に対応する専門チーム。事前に手順を定め、訓練を実施。
✅ 情報セキュリティポリシーの策定・運用
基本方針・対策基準・実施手順の3層構造で全社的ルールを文書化する。
基本方針・対策基準・実施手順の3層構造で全社的ルールを文書化する。
✅ リスクアセスメントの定期実施
定期的にリスクを洗い出し・評価し、対策の優先順位を見直す。
定期的にリスクを洗い出し・評価し、対策の優先順位を見直す。
✅ セキュリティ監査の実施
内部監査・外部監査でポリシー遵守状況・対策の有効性を客観的に確認する。
内部監査・外部監査でポリシー遵守状況・対策の有効性を客観的に確認する。
人的対策の具体例
✅ セキュリティ教育・訓練
全従業員への定期的な教育。フィッシングメール訓練・標的型攻撃メール訓練なども実施。 「知らなかった」では済まない状況を作る。
全従業員への定期的な教育。フィッシングメール訓練・標的型攻撃メール訓練なども実施。 「知らなかった」では済まない状況を作る。
✅ 誓約書・秘密保持契約(NDA)の締結
入社・退社時に情報の取り扱いに関する誓約書に署名させる。委託先ともNDAを締結。
入社・退社時に情報の取り扱いに関する誓約書に署名させる。委託先ともNDAを締結。
✅ バックグラウンドチェック
採用時に経歴・犯罪歴などを確認する(法律の範囲内で)。内部不正リスクの低減。
採用時に経歴・犯罪歴などを確認する(法律の範囲内で)。内部不正リスクの低減。
✅ 退職者管理
退職時のアカウント即時無効化・アクセス権削除・機密情報の返却・守秘義務の確認。
退職時のアカウント即時無効化・アクセス権削除・機密情報の返却・守秘義務の確認。
内部不正対策の重要手法
職務分掌(SoD)
重要な業務・権限を複数人に分ける。
1人で不正を完結できなくする。
例:「発注者と承認者を別の人にする」「送金と確認を別の担当にする」
1人で不正を完結できなくする。
例:「発注者と承認者を別の人にする」「送金と確認を別の担当にする」
ジョブローテーション
定期的に担当を変える。
長期在職による不正の発見困難化を防ぐ。
例:「経理担当を2年ごとに変更」
長期在職による不正の発見困難化を防ぐ。
例:「経理担当を2年ごとに変更」
強制休暇
一定期間の強制的な休暇を設ける。
不在時に不正が発覚する効果がある。
銀行などで採用されている手法。
不在時に不正が発覚する効果がある。
銀行などで採用されている手法。
操作ログの監視
誰がいつ何をしたかを記録・定期確認。
「監視されている」という抑止効果も。
不正後の証拠保全にもなる。
「監視されている」という抑止効果も。
不正後の証拠保全にもなる。
「職務分掌(SoD)」「ジョブローテーション」「強制休暇」は内部不正対策の三本柱として試験頻出。
セキュリティ教育の形態
| 形態 | 内容・特徴 |
|---|---|
| 集合研修 | 全社員を集めた定期的な講義。認識共有に効果的 |
| eラーニング | オンラインで自己ペース学習。ログで受講確認が容易 |
| フィッシング訓練 | 模擬フィッシングメールを送り、クリック率を測定・教育 |
| 標的型攻撃訓練 | 実際の標的型攻撃メールを模した訓練メールを送付 |
| インシデント対応演習 | 実際の対応手順をロールプレイで練習 |
🧠 確認クイズ
Q1. 職務分掌(SoD)を導入する主な目的として正しいのは?
Q2. 退職者への対応として最も重要なのはどれか?
Q3. フィッシング訓練の目的として最も適切なのは?