情報セキュリティ対策
テクノロジ系 / 技術要素
---
情報セキュリティ対策とは
情報システムを守るための対策は、大きく分けて「人」「技術」「モノ・場所」という 3 つの切り口で考えることができる。基本情報技術者試験のシラバスでも、情報セキュリティ対策を ①人的セキュリティ対策・②技術的セキュリティ対策・③物理的セキュリティ対策 の 3 種類に分類し、それぞれの側面から検討したうえで自分の担当業務に適用できることを求めている。
イメージしやすいように「家を空き巣から守る」ことに例えてみる。家族に「鍵を必ずかける」「知らない人を家に入れない」と教育するのが人的対策、玄関に電子錠や防犯カメラを取り付けるのが技術的対策、そして塀や門扉、頑丈な建材で物理的に侵入しにくくするのが物理的対策にあたる。情報システムのセキュリティもこの 3 つが揃って初めて実効性を持つ。技術的な防御をどれだけ固めても、社員がパスワードを付箋に書いて貼っていれば意味がなく、逆に社員教育を徹底しても、サーバ室の鍵が誰でも持ち出せる状態では情報は守れない。
① 人的セキュリティ対策
人的セキュリティ対策とは、人為的なミス・不正行為・盗難・ソーシャルエンジニアリング(電話や会話で人をだまして情報を聞き出す手口など)といった「人」に起因するリスクを、教育・訓練によって減らす取り組みを指す。加えて、事件・事故が起きてしまった場合に被害を最小限に抑えるための体制づくりも含まれる。
具体的には、組織内の不正行為を防ぐためのガイドライン整備、eラーニングや資料配布による情報セキュリティ啓発、実際に偽の攻撃メールを送って対応力を測る「標的型メール訓練」や攻撃者役のチームが組織に模擬攻撃を仕掛ける「レッドチーム演習」、ID・パスワードなどの認証情報の割り当てと管理、入社時に交わす秘密保持契約・誓約書などが該当する。たとえば標的型メール訓練は、実際に不審なメールを開いてしまった社員に対してその場で注意喚起を行い、次からは同じ手口に引っかからないようにする、という実践的な教育手法である。
② 技術的セキュリティ対策
技術的セキュリティ対策とは、ソフトウェア・データ・PC・サーバ・ネットワークなどに対して技術的な仕組みを導入し、開発や運用の業務に被害が及ぶのを防ぐ取り組みである。対象範囲が広いため、いくつかの領域に整理すると理解しやすい。
- 不正アクセス・マルウェア対策:マルウェア対策ソフトの導入と定義ファイルの更新、パターンマッチング法やビヘイビア法(振る舞い検知)といった検出手法の活用
- ランサムウェア対策:定期的なバックアップ、バックアップを 3 つ作り 2 種類の媒体に保存し 1 つは遠隔地に置く「3-2-1 ルール」、一度書いたら変更できない WORM 機能やイミュータブルバックアップの活用
- 脆弱性管理:OS やソフトウェアのアップデート、セキュリティパッチの適用、ソフトウェアの部品構成表である SBOM(Software Bill of Materials)を使った管理
- ネットワーク境界の防御:ファイアウォール、Web アプリケーションを狙う攻撃を防ぐ WAF、侵入を検知する IDS・防止する IPS、これらを統合した UTM、社内と社外の間に緩衝地帯を設ける DMZ、社外端末を一時的に隔離してチェックする検疫ネットワーク
- 領域別の対策:携帯端末(スマートフォンなど)のセキュリティ、クラウドサービスのセキュリティ、IoT 機器のセキュリティ、工場などの制御システムのセキュリティ
- 証拠保全・新技術対応:不正アクセスの痕跡を分析するデジタルフォレンジックス、AI を活用した検知技術(AI for Security)と AI モデル自体を守る技術(Security for AI)
たとえば「テレワークで社外から社内と同じ PC 環境を利用できる VDI(仮想デスクトップ基盤)」も、データを手元の端末に残さずサーバ側に集約することで情報漏えいリスクを下げる技術的対策の一種であり、IPA の基本情報技術者試験 科目Aサンプル問題 問49(出典)でも技術用語として取り上げられている。
③ 物理的セキュリティ対策
物理的セキュリティ対策とは、外部からの侵入・盗難・水害・落雷・地震・大気汚染・爆発・火災などの物理的な脅威から情報システムを保護し、信頼性・可用性を確保するための取り組みである。システムの品質を表す指標として RASIS(信頼性・可用性・保守性・保全性・安全性)という考え方があり、物理的対策はこの RASIS を土台から支える役割を持つ。
具体例としては、耐震・耐火設備の整備、停電時にも電源を維持する UPS(無停電電源装置)、データを二重化するミラーリングなどの多重化技術、監視カメラやセキュリティゲートの設置、施錠管理・入退室管理の徹底、離席時に書類や画面を放置しない「クリアデスク・クリアスクリーン」、遠隔地へのバックアップ保管、機器の盗難を防ぐセキュリティケーブル、そして廃棄・再利用時に記憶媒体からデータが漏れないようにする処分プロセスなどが挙げられる。サーバ室の入り口に IC カード認証と生体認証を組み合わせて設置する、というのは物理的対策の典型例である。
3 つの対策は互いに補い合う
3 つの分類はどれか 1 つを選ぶものではなく、組み合わせて初めて機能する。技術的対策だけでは、社員がフィッシングメールに騙されて認証情報を漏らす「人」のリスクは防げない。人的教育だけでは、サーバ室に誰でも入れる「モノ・場所」のリスクは防げない。物理的対策だけでは、インターネット経由のサイバー攻撃は防げない。実務でセキュリティ対策を検討する際は、常にこの 3 つの視点で抜け漏れがないかを確認する姿勢が重要になる。
---
本資料は IPA(独立行政法人 情報処理推進機構)が公表する基本情報技術者試験シラバス(Ver.9.2、中分類11「セキュリティ」中項目4「情報セキュリティ対策」、本文 p.43-44)に基づく自作の解説テキストである。
- シラバスの目標文・用語例は要約・言い換えた上で解説に用いており、シラバス原文の逐語転載ではない
- 著者:本資料著者(nomuraya-dojo)
- シラバス原文の著作権は IPA に帰属する。原文を確認する際は IPA 公式シラバスページ を参照すること
- 本資料内で言及する科目Aサンプル問題(問49)については、問題番号と出典 URL のみを参照し、問題文・選択肢本文は転記していない
- 本資料の利用にあたっては、IPA の著作権・利用規約に従うこと
考えてみよう
既定では正解・不正解の判定はしません。自分のペースで「答えを見る」を。採点してほしい場合だけ「採点してほしい」を押してください。
問1
人的セキュリティ対策の具体例として、最も適切なものはどれか。
ア ファイアウォールを導入し、外部からの不正な通信を遮断する
イ 標的型メール訓練を実施し、不審なメールへの対応力を社員に身につけさせる
ウ サーバ室の入り口に施錠と監視カメラを設置する
エ 重要データを定期的にバックアップし、遠隔地に保管する
解答:イ
解説:人的セキュリティ対策は、教育・訓練によって人為的なミスや不正行為のリスクを減らす取り組みである。標的型メール訓練は社員の警戒心と対応力を高める代表的な人的対策にあたる。アは技術的対策、ウは物理的対策、エはランサムウェア対策として技術的セキュリティ対策に分類される。
問2
技術的セキュリティ対策に分類されるものとして、最も適切なものはどれか。
ア 秘密保持契約書への署名を全社員に義務付ける
イ サーバ室への入退室を IC カードで管理する
ウ マルウェア対策ソフトを導入し、定義ファイルを自動更新する
エ オフィスの窓ガラスを防犯フィルム付きのものに交換する
解答:ウ
解説:ソフトウェアやネットワークに対する技術的な仕組みの導入は技術的セキュリティ対策にあたる。マルウェア対策ソフトの導入と定義ファイルの更新はその典型例である。アは人的対策、イとエは物理的対策に分類される。
問3
物理的セキュリティ対策の目的を説明した記述として、最も適切なものはどれか。
ア 従業員の不正行為やヒューマンエラーを教育によって未然に防ぐこと
イ ソフトウェアやネットワークに技術的な防御機構を実装すること
ウ 地震・火災・盗難などの環境的・物理的な脅威から情報システムを守り、信頼性・可用性を確保すること
エ 攻撃を受けた際に、被害者が加害者へ損害賠償を請求できる体制を整えること
解答:ウ
解説:物理的セキュリティ対策は、外部からの侵入、水害、落雷、地震、火災などの物理的な脅威から情報システムを保護し、信頼性・可用性を確保することを目的とする。アは人的対策、イは技術的対策の説明であり、エはセキュリティ対策そのものの説明ではない。
問4
次の記述のうち、技術的セキュリティ対策における「複数の防御層を組み合わせる」考え方に最も近いものはどれか。
ア ファイアウォールのみを導入し、それ以外の対策は行わない
イ ネットワーク境界のファイアウォールに加え、WAF・IDS/IPS・マルウェア対策ソフトなど複数の仕組みを組み合わせて防御する
ウ 全社員に共通のパスワードを配布し、管理の手間を減らす
エ サーバ室の入退室管理を廃止し、利便性を優先する
解答:イ
解説:単一の防御手段に依存せず、ネットワーク境界・アプリケーション・端末など複数の層で対策を重ねることで、一つの防御が突破されても被害を最小限に抑えられる。ウとエはむしろセキュリティを低下させる行為であり、アは単層防御にとどまり不十分である。
問5
次の a〜c の記述と、それが属するセキュリティ対策の分類の組み合わせとして、適切なものはどれか。
a 組織内の不正行為を防止するためのガイドラインを整備する
b ソフトウェアの部品構成を管理する SBOM を用いて脆弱性を管理する
c 離席時に書類やパソコン画面を放置しない「クリアデスク・クリアスクリーン」を徹底する
ア a:人的 b:技術的 c:物理的
イ a:技術的 b:人的 c:物理的
ウ a:人的 b:物理的 c:技術的
エ a:物理的 b:技術的 c:人的
解答:ア
解説:a は組織内のガイドライン整備であり、人の行動をルール化・教育する人的セキュリティ対策にあたる。b はソフトウェアの脆弱性管理という技術的な取り組みであり、技術的セキュリティ対策に分類される。c は離席時の書類・画面の管理という物理的な行動ルールであり、物理的セキュリティ対策にあたる。