【SG試験】組織的・人的セキュリティ対策|「仕組み」と「人」で守る強固な組織

IT資格

これまでの連載で、サイバー攻撃の手法や技術的な盾(ファイアウォールや暗号化)について学んできました。しかし、どれだけ最新のセキュリティ製品を導入しても、それを使う「人」に意識が欠けていたり、運用する「組織」にルールがなかったりすれば、簡単に突破されてしまいます。

情報セキュリティマネジメント試験(SG)の真髄は、まさにこの「技術」以外の部分をいかに管理するかにあります。今回は、組織全体でセキュリティレベルを底上げするための重要な柱である、「組織的対策」と「人的対策」について詳しく解説します。

組織的対策の核「ISMS」と「セキュリティ基本方針」

組織としてセキュリティに取り組む際、まず必要になるのが「指針」と「体制」です。

ISMS(情報セキュリティマネジメントシステム)

ISMSとは、組織が情報を安全に管理するための仕組み全体を指します。国際規格である「ISO/IEC 27001」に基づいた運用が一般的です。ここで重要なのは、一度ルールを作って終わりではなく、PDCAサイクル(Plan-Do-Check-Act)を回して、継続的に改善し続けるという考え方です。

情報セキュリティポリシーの3層構造

組織のルールブックである「セキュリティポリシー」は、通常以下の3層で構成されます。試験ではこの違いがよく問われます。

  1. 基本方針(最高位): 組織の代表者が、セキュリティに対する姿勢や目的を宣言するもの。
  2. 対策基準: 基本方針を実現するために、「何をすべきか」という具体的なルールを定めたもの。
  3. 実施手順: 日々の業務において「どのように操作するか」を記したマニュアル。

内部不正とミスを防ぐ「人的セキュリティ」

セキュリティインシデントの多くは、外部からの攻撃だけでなく、内部関係者による不正や過失(ミス)から発生します。これらを防ぐのが人的対策です。

職務の分離(相互牽制)

一人の担当者にすべての権限を与えず、重要な作業(承認や実行)を複数の担当者に分ける考え方です。これにより、不正を働こうとする心理的障壁を高め、ミスを早期に発見できる仕組みを作ります。

セキュリティ教育と啓発

従業員の意識を高めるために、定期的な教育(eラーニングなど)や、標的型メールの訓練を実施します。 「自分たちの行動が組織のリスクに直結している」という意識を持たせることが、最大の防御になります。

雇用に関する対策

入社時の「秘密保持契約(NDA)」の締結はもちろん、実は見落とされがちなのが「退職時の管理」です。退職者のIDやアクセス権を即座に削除することは、内部不正を防ぐための鉄則です。

物理的セキュリティ対策

「マネジメント」の範囲には、物理的な環境の保護も含まれます。

  • 入退室管理: ICカードや生体認証を用いた記録。
  • クリアデスク・クリアスクリーン: 離席時に机の上に書類を置かない、PCをロックする。
  • 物理的破壊: 不要になったHDDや重要書類を、専門業者による裁断や溶解で完全に復元不能にする。

【重要】SNS利用とシャドーITのリスク

現代特有の課題として、試験でも注目されているのが「SNS」と「シャドーIT」です。

ソーシャルメディアガイドライン

個人のSNSへの投稿が、意図せず機密情報の漏洩や炎上に繋がり、組織の信頼を失墜させることがあります。これを防ぐために、私的な利用についてもガイドラインを策定し、注意を促す必要があります。

シャドーITの管理

会社が許可していない個人のスマホやクラウドサービス(無料のストレージなど)を、業務で勝手に使ってしまうことをシャドーITと呼びます。 管理者の目が届かないところで情報が扱われるため、ウイルス感染や情報漏洩の温床となります。これを「禁止するだけ」ではなく、利便性を考慮した代替サービスを提供することもマネジメントの一環です。

【攻略のヒント】科目Bでの事例判断

科目Bでは、「ある従業員が便利なクラウドサービスを使い始めたが、それが規約違反だった」というシナリオが登場します。

ここで問われる正解は、単に「罰則を与える」ことではなく、「なぜそのルールが必要なのかを再教育する」「組織として承認された安全なツールを検討する」といった、建設的なマネジメントの視点です。 「人」を責めるのではなく、「仕組み(教育・ツール)」でどう解決するかを考えるのが、SG試験合格のポイントです。

まとめ:技術・組織・人の「三位一体」

セキュリティ対策は、以下の3つのバランスが取れて初めて機能します。

  1. 技術: 暗号化やファイアウォール(盾)
  2. 組織: ルール、ISMS、物理的対策(型)
  3. 人: 意識向上、教育、倫理(心)

どれか一つが欠けても、そこが脆弱性となります。SG試験の学習を通じて、この「三位一体」の管理を俯瞰して見れるようになれば、立派な情報セキュリティマネジメントの担当者への第一歩です。

次回の連載では、もし事故が起きてしまったらどうするか。「インシデント対応(CSIRT)」と「BCP(事業継続計画)」について解説します。

コメント