人的セキュリティ対策

人的セキュリティ対策について理解しよう【ITパスポート講座】

ITパスポートの情報セキュリティの内容の中でセキュリティ対策について紹介して行きます。
情報資産に対する脅威には3つありました。

  • 人的脅威
  • 技術的脅威
  • 物理的脅威

セキュリティの対策を考える上でそれぞれの脅威に対してどの様に対処していくのかが大切ですね。
試験でもそれぞれの脅威に対する対応の種類について問題が出て来ます。
今回は人的脅威の観点から対応する人的セキュリティ対策について紹介します。

人的セキュリティ対策とは

人的セキュリティ対策は、人間が起こす脅威に対する情報セキュリティ対策になります。
人的脅威は、故意でも故意じゃなくても発生する情報資産のリスクになります。

故意に起こす場合は、組織の情報を外部に漏らす事で利益を得る為というのがほとんどですね。
故意では無い場合は、間違った操作をして情報を破損、消去してしまうなどがありますね。
人的セキュリティ対策ではこれらに対応出来る様に手法を考えます。その為に組織として取り組む事や、技術的に対応する事などがあります。
どの様な種類があるのかをチェックしましょう。

人的セキュリティの対策方法3つ

では人的セキュリティの対策としてどの様は方法があるのかを確認して行きましょう。
今回は試験にも出て来る内容3つを確認して行きます。

  1. 情報セキュリティ啓発・情報セキュリティ訓練
  2. 内部不正ガイドラインの策定
  3. アクセス権の設定

故意に情報漏洩をすると言ったリスクについては、実行させない様に啓発するとか環境を作る必要があります。
故意では無いリスクに対しては技術的にリスクの発生を抑える様にする対策を取ったりします。
3つがどの様な内容なのか覚えておきましょう!

1. 情報セキュリティ啓発・情報セキュリティ訓練

1つ目の人的セキュリティ対策としては『情報セキュリティ啓発・情報セキュリティ訓練』になります。
これは仕事をしている従業員に対して組織として情報セキュリティの意識を高める為のモノになります。

人的脅威が発生する理由の一つとしては『自分の所では発生しないだろう』という様な考え方があります。
これが油断となり情報資産を脅かすリスクにつながったりします。

そこで組織として定期的に重要院に情報セキュリティの訓練を行い、セキュリティを意識した行動をさせる様にするのがこの対策になります。
例えば、USBの使用を禁止する、メールの誤送信を防ぐ為に複数人で宛先をチェックしてから送信するなどを事例を踏まえて伝える事でより効果的に伝える事も可能です。
またセキュリティ対策におけるマニュアルを作成する事でセキュリティに対する行動を意識させたリもします。

2. 内部不正ガイドライン

2つ目の人的セキュリティの対策としては『内部不正ガイドライン』があります。
これは内部の人間による不正を防止する為に実施する内容として情報処理推進機構(IPA)が公開しているモノになります。
このガイドラインでは基本原則として5つの項目を上げています。

  1. 犯行を難しくする(やりにくくする)
  2. 捕まるリスクを高める(やると見つかる)
  3. 犯行の見返りを減らす(割に合わない)
  4. 犯行の誘因を減らす(その気にさせない)
  5. 犯罪の弁明をさせない(言い訳をさせない)

人的セキュリティの対策を行う上でこの基本原則に則っているかどうかを元にチェックをしていくと良いとなっています。また基本原則に沿っているかどうかをチェックするチェックシートもIPAでは配信しているので確認しておいても良いですね。
試験ではこの5つの考え方を覚えておきましょう。

3. アクセス権

3つ目は『アクセス権の設定』です。アクセス管理とも言いますね。
今は社内のネットワークを使用して従業員間で情報を共有する事が多くあります。セキュリティ上、社内のネットワークに接続しているデバイス間でのみやり取りする事になります。しかし外部の悪意を持った人間が社内のネットワークに入ってしまえば情報を盗んだり改ざんする事が可能になります。

そこで誰がどこまで情報を操作出来るのかという権限をそれぞれのユーザーに付与する事で、情報を閲覧のみ出来る人を決めたり、編集出来る人を限定したりする事で情報資産を守るという事をします。これがアクセス管理ですね。
アクセス管理をする事で、内部の人間でも他部署の情報を扱えなくしたりして内部不正を起こしにくくするという狙いもあります。
これを設定する事で情報資産の機密性や完全性を保つ事が可能になっています。

まとめ

今回は情報セキュリティの人的セキュリティのポイントについて紹介しました。
ITパスポートでは人的脅威としての対策や考え方を理解していないと解けない問題が出て来ます。
以前にセキュリティ対策における組織や機関について紹介しましたが、そこでどの様な事をやっているのかをチェックする事も大切です。
特にIPAが出している内部不正防止ガイドラインは基本原則を理解しておく事が大切になりますので必ず調べておいた方が良いですね。
引き続き情報セキュリティの対策の種類を紹介して行きますので参考にしてみて下さい。