人的セキュリティ対策
人的セキュリティ対策とは
Section titled “人的セキュリティ対策とは”情報セキュリティの脅威は、外部からの攻撃だけではありません。組織の内部で働く従業員のミスや不正行為が原因で、情報漏えいやシステム障害が発生するケースも少なくありません。こうした「人」に起因するリスクに対処するための取り組みを人的セキュリティ対策と呼びます。
技術的な対策(ファイアウォールや暗号化など)をどれだけ導入しても、それを使う「人」がルールを理解していなければ効果は発揮できません。人的セキュリティ対策は、教育・訓練・ルールづくり・監視を組み合わせて、組織全体のセキュリティレベルを高めることを目的としています。
情報セキュリティ啓発
Section titled “情報セキュリティ啓発”情報セキュリティ啓発とは、組織に所属するすべての人に対して、情報セキュリティの重要性やルールを周知・浸透させる活動のことです。
啓発活動の具体例には、次のようなものがあります。
- ポスターやメールでの注意喚起:「不審なメールのリンクをクリックしない」「離席時はPCをロックする」など、日常的に意識すべきルールを繰り返し伝える
- e ラーニングの実施:全社員が共通の教材で情報セキュリティの基礎知識を学ぶ
- セキュリティニュースの共有:最近のサイバー攻撃事例を社内に紹介し、他人事ではないという意識を持たせる
啓発活動のポイントは、経営層から新入社員まで全員を対象にすることです。どれだけ技術に詳しい社員がいても、一人でもルールを知らない人がいれば、そこがセキュリティの穴になってしまいます。
情報セキュリティ訓練
Section titled “情報セキュリティ訓練”啓発が「知識を伝えること」であるのに対し、情報セキュリティ訓練は「実際に体験させること」で対応力を高める取り組みです。知識として「不審なメールに注意」と知っていても、いざ巧妙な偽メールが届いたときに正しく判断できるとは限りません。訓練を通じて実践的な対応力を身につけることが重要です。
標的型メールに関する訓練
Section titled “標的型メールに関する訓練”情報セキュリティ訓練の代表例が標的型メールに関する訓練(標的型メール訓練)です。
標的型メールとは、特定の組織や個人を狙って送られる、業務に関係がありそうな内容を装った偽メールのことです。受信者がうっかり添付ファイルを開いたり、本文中のリンクをクリックしたりすると、マルウェアに感染する恐れがあります。
標的型メール訓練では、組織のセキュリティ担当者が実際に疑似的な標的型メールを従業員に送信します。訓練の流れは次のとおりです。
- セキュリティ担当者が、本物の攻撃メールに似た疑似メールを作成する
- 従業員に予告なしで疑似メールを送信する
- リンクをクリックした人や添付ファイルを開いた人を集計する
- 結果を共有し、不審なメールの見分け方や正しい対処法(開かずに報告するなど)を教育する
試験で出るポイント
その他の訓練例
Section titled “その他の訓練例”標的型メール訓練以外にも、さまざまな訓練があります。
- インシデント対応訓練:情報漏えいやシステム障害が発生した場合を想定し、報告・初動対応・復旧までの手順を実際にシミュレーションする
- 避難訓練に相当するBCP訓練:災害やサイバー攻撃による業務停止を想定し、事業継続計画(BCP)に沿った行動を練習する
アクセス権の管理
Section titled “アクセス権の管理”アクセス権とは、情報システムやデータに対して「誰が」「どのような操作(閲覧・編集・削除など)」をできるかを定めた権限のことです。アクセス権の適切な管理は、人的セキュリティ対策の中でも特に重要な要素です。
最小権限の原則
Section titled “最小権限の原則”アクセス権管理の基本となる考え方が最小権限の原則です。これは、「業務に必要な最低限の権限だけを付与し、不要な権限は与えない」という原則です。
たとえば、経理部門の社員には会計システムへのアクセス権を与えますが、開発部門のソースコードにアクセスする権限は不要です。逆に、開発部門の社員が経理データを閲覧できる状態も望ましくありません。
最小権限の原則を守ることで、以下の効果があります。
- 万が一アカウントが乗っ取られても、被害の範囲を最小限に抑えられる
- 内部不正のリスクを減らせる(不要な情報にアクセスできなければ、不正に使うこともできない)
- 操作ミスによる重要データの誤削除・誤変更を防げる
アクセス権管理の実務ポイント
Section titled “アクセス権管理の実務ポイント”アクセス権は「一度設定して終わり」ではなく、継続的な見直しが必要です。
| 場面 | 対応 |
|---|---|
| 入社・異動時 | 新しい業務に必要な権限を付与する |
| 異動・退職時 | 不要になった権限を速やかに削除する |
| 定期見直し | 現在の権限が業務内容に合っているか確認する |
とくに退職者のアカウント削除漏れは、内部不正や情報漏えいの原因になりやすい典型的なリスクです。退職と同時にアカウントを無効化する運用ルールを徹底することが大切です。
試験で出るポイント
どれだけ教育やルールを整えても、それだけでは不正やミスを完全に防ぐことはできません。実際の行動を監視する仕組みを設けることで、問題の早期発見と抑止効果が期待できます。
監視の具体例には、次のようなものがあります。
- アクセスログの記録・分析:誰がいつどのデータにアクセスしたかを記録し、不審な操作がないかを確認する
- メールやWebアクセスのモニタリング:業務に関係のない大量のデータ送信や、外部への機密情報の持ち出しがないかをチェックする
- 監視カメラの設置:サーバールームなどの重要エリアへの入退室を記録する
- 操作ログの取得:システム管理者の操作を記録し、不正な変更がないかを確認する
監視は「従業員を疑うため」ではなく、「組織全体を守るため」に行うものです。監視を行っていることを従業員に周知すること自体が、不正行為の抑止力として機能します。
組織における内部不正防止ガイドライン
Section titled “組織における内部不正防止ガイドライン”組織の内部関係者(従業員、委託先社員など)による不正行為を防ぐために、IPA(独立行政法人 情報処理推進機構)が策定したのが組織における内部不正防止ガイドラインです。
このガイドラインでは、内部不正を防止するための基本的な考え方として、次のような対策が示されています。
| 対策の観点 | 内容 |
|---|---|
| 犯行を難しくする | アクセス制御や持ち出し制限で、不正を実行しにくい環境をつくる |
| 捕まるリスクを高める | ログの記録や監視により、不正が発覚する可能性を高める |
| 犯行の見返りを減らす | 持ち出しても利用できないようにデータを暗号化するなど |
| 犯行の誘因を断つ | 職場環境の改善や公正な人事評価で、不正の動機を生まない |
| 犯行の弁明をさせない | ルールや罰則を明確に周知し、「知らなかった」と言わせない |
これらは状況的犯罪予防の考え方に基づいています。「不正をする人が悪い」と個人の問題にするのではなく、「不正がしにくい環境をつくる」という組織的なアプローチが重視されています。
試験で出るポイント
まとめ ── 人的セキュリティ対策の全体像
Section titled “まとめ ── 人的セキュリティ対策の全体像”人的セキュリティ対策は、啓発で意識を高め、訓練で実践力を養い、アクセス権管理で被害範囲を限定し、監視で不正を抑止・検知するという、複数の取り組みを組み合わせて初めて効果を発揮します。そして、これらの取り組み全体を支える指針として組織における内部不正防止ガイドラインが活用されています。