情報セキュリティ、情報セキュリティって・・・。うるさいんじゃ!!!!だまれや!!と逆切れ思想になります。どこでもここでも情報セキュリティです。そりゃそうだ、その勉強してるんだから。
じゃ、頭を冷静に戻しながら、改めまして・・・。皆の大切な情報を守ることが情報セキュリティです。じゃあ、守るための具体的な対策はどうしたらよいのか。
情報セキュリティ対策について整理しています。
情報セキュリティ対策には3つの対策が具体的に挙げられます。
3つの対策について、1つずつ確認しながら、試験で出るところを押さえていきます。 とりあえずここでは「人への対策」を書いていきます。
悲しいことに、不正や 情報漏えい等、セキュリティリスクを高めているのは、ほぼ人です。金に目がくらむのか、魔が差すのかしりませんが、、、とにかくこういった不正を辞めさせるためには、ルール作りが必要です。 どういう具体的なルールや対策が情報セキュリティマネジメント試験に出るのか抑えていきます。
禁止されている情報機器を使って社内の情報を取り扱うことを「シャドーIT」といいます。
組織に雇われている期間が終了するときに、不正が起きやすいというデータが上がっています。そのため雇用契約が終了するときには、業務で知りえた情報に対して秘密保持義務を課す誓約書を書かせることなどが有効
人にはやはり啓発と教育 情報を扱う人は「人」です。その「人」に対して情報セキュリティ教育・啓発を行っていくのも大事です。具体的な教育・啓発の方法が試験に出ますよー!
パスワードはわかりにくいものにする。数字、大文字、小文字、記号を組み合わせる、など。
シャドーIT
禁止されている情報機器を使って社内の情報を取り扱うこと
ソーシャルエンジニアリング
PC操作している人の画面を盗み見したり、ゴミ箱のメモ用紙をあさってパスワードを盗んだりすること。PCなどの機器を介さないことが特徴です。
Need-to-knowの原則
情報は知る必要がある者に対してのみ与え、 知る必要のない者には与えないという原則
特権アカウント
システムの変更ができる(システム管理者)権限を持つアカウントのこと。
レッドチーム演習
もともと軍隊用語です。軍隊の攻撃、防御演習でて、攻撃を仕掛ける側のことを「レッドチーム」と呼んでいたからだそう。セキュリティ対策チームがリアルな攻撃を企業にしかけて 訓練することです。
情報セキュリティ対策するには、1、人への対策、2、技術的な対策、3場所での対策、と3つに分けて考えるとわかりやすいです。
その中で、今回は「人への対策」について書きました。
それぞれどんな対策が取られる理解できれば、情報セキュリティマネジメント試験合格に近づきます。楽勝ですよ、楽勝。
世の中ローコード、とかノーコー…
もちろん「情報セキュリティマネジメント試験」に出るところを中心にね!