情報セキュリティマネジメント試験・そもそも情報セキュリティ対策とは？大事なのは３つ。試験に出る内容と出る頻出用語～人への対策編～

情報セキュリティ、情報セキュリティって・・・。うるさいんじゃ！！！！だまれや！！と逆切れ思想になります。どこでもここでも情報セキュリティです。そりゃそうだ、その勉強してるんだから。

じゃ、頭を冷静に戻しながら、改めまして・・・。皆の大切な情報を守ることが情報セキュリティです。じゃあ、守るための具体的な対策はどうしたらよいのか。

情報セキュリティ対策について整理しています。

情報セキュリティ対策に必要な３つの対策

情報セキュリティ対策には３つの対策が具体的に挙げられます。

３つの対策について、１つずつ確認しながら、試験で出るところを押さえていきます。 とりあえずここでは「人への対策」を書いていきます。

情報セキュリティ対策・人への対策

悲しいことに、不正や 情報漏えい等、セキュリティリスクを高めているのは、ほぼ人です。金に目がくらむのか、魔が差すのかしりませんが、、、とにかくこういった不正を辞めさせるためには、ルール作りが必要です。 どういう具体的なルールや対策が情報セキュリティマネジメント試験に出るのか抑えていきます。

資産管理 ・情報に対してアクセス権を設定する

• 資産管理ツールを使って、パソコンに入っているソフトなどを管理する

USBメモリ、CD-Rなどの持ち出し・確認 ・USBやCD-Rを使うときのルール作り

• USBや、ノートPCなど外部に持ち出すことのある情報機器にはパスワードを設定する。
• USBや、ノートPCなどを外部に持ち出す際のルール作り
• 個人のスマホや、ノートPCなどを社内で使うことを禁止する

誓約書などを書かせる

組織に雇われている期間が終了するときに、不正が起きやすいというデータが上がっています。そのため雇用契約が終了するときには、業務で知りえた情報に対して秘密保持義務を課す誓約書を書かせることなどが有効

教育・啓発

人にはやはり啓発と教育 情報を扱う人は「人」です。その「人」に対して情報セキュリティ教育・啓発を行っていくのも大事です。具体的な教育・啓発の方法が試験に出ますよー！

• 社内の「情報セキュリティポリシ」について知ってもらう （研修やセミナーをする）
• 情報セキュリティは、PCなど機器を介してだけでなく、いろんなところから漏れ出すことを知ってもらう 。（のぞき見、ゴミ箱のメモ紙からも情報が漏れだすことがあるよ、っと。）
• わざと攻撃メールを送信するなどの攻撃、レッドチーム訓練を定期的に行う

パスワードの使い方

パスワードはわかりにくいものにする。数字、大文字、小文字、記号を組み合わせる、など。

• 情報を取り扱う人へのルール
• 不正が起きやすくなるので、単独作業はさせない
• Need-to-knowの原則。アクセス権は必要最小限にする。
• アカウントの共有はしない。１人１アカウントにする。
• 職位の高い人には、特にアクセス権を必要最小限にする。（不正が起こりやすいため）
• システムの変更を行うことができる特権アカウント（システム管理者）にもNeed-to-knowの原則を。
• アクセス権が不要になったときは、すぐ削除

ログ管理・監視

• ログを監視していることをみんなに知らせて、抑止力を持たせる

情報セキュリティ対策について試験に出る用語

まとめ・対策は３つある、と分けて理解すると頭に入る

情報セキュリティ対策するには、１、人への対策、２、技術的な対策、３場所での対策、と３つに分けて考えるとわかりやすいです。

その中で、今回は「人への対策」について書きました。

それぞれどんな対策が取られる理解できれば、情報セキュリティマネジメント試験合格に近づきます。楽勝ですよ、楽勝。