-
-
🔰 Phase1:基礎理解(Day3)|リスクとは何か?脅威・脆弱性・影響の関係を整理する|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/2/26
1. 「リスク」とは何か? 情報セキュリティの問題の多くは、結局この理解に帰着します。 リスクとは何か? 試験では「リスク評価」「リスク対応」「リスクアセスメント」といった言葉が頻出します。しかし本質 ...
1. 多くの事故は「高度な攻撃」ではない
ニュースでは巧妙なハッキングが注目されます。
しかし現実はどうでしょうか。
実際のインシデントの多くは、
- メール誤送信
- USB紛失
- 設定ミス
- パスワード使い回し
つまり、
人的ミスが原因
試験でも、事故原因として「人」に関する選択肢は頻出です。
2. インシデントとは何か?
インシデントとは、
セキュリティ事故につながる可能性のある事象
まだ被害が確定していなくても、
「不適切な行為や状態」はインシデントです。
例:
- 不審メールを開いた
- 誤って外部共有設定をした
- 不正ログインの兆候がある
3. なぜ人はミスをするのか?
ここが本質です。
人的ミスは「注意不足」ではありません。
構造的に整理すると、原因は3つに分かれます。
4. 人的ミスの3構造
① 知識不足
- 何が危険か知らない
- ルールを理解していない
- 手順を知らない
対策:
→ 教育・訓練
② 判断ミス
- 急いでいた
- 大丈夫だと思った
- 過信していた
対策:
→ ダブルチェック・承認フロー
③ 意図的行為(内部不正)
- 不満
- 金銭目的
- 退職前の持ち出し
対策:
→ 権限制御・監査・ログ管理
5. スイスチーズモデルで理解する
セキュリティでは有名な考え方があります。
事故は1つのミスでは起きない
複数の防御層(チーズ)に穴があり、
それが一直線に並んだとき事故になる。
例:
教育不足
+
アクセス権限過大
+
監査未実施
+
偶然のミス
→ 事故発生
つまり、
人だけを責めても意味がない
仕組みが重要です。
6. 試験で問われるポイント
頻出テーマ:
✔ 教育の目的
✔ 職務分掌の意義
✔ ダブルチェックの効果
✔ 内部不正の防止策
例えば:
- 定期教育 → 知識不足対策
- 最小権限 → 内部不正対策
- 承認フロー → 判断ミス対策
対策と原因を紐づけられるかが重要です。
7. ヒューマンエラーはゼロにできるか?
答えは「できない」。
だからこそ、
- エラー前提設計
- 権限分離
- ログ監視
- 自動化
が必要になります。
セキュリティは“人を信じる設計”ではなく、“人がミスする前提の設計”
これがマネジメント視点です。
8. インシデントの連鎖構造
人的ミスは単体で終わりません。
例:
誤送信
→ 顧客苦情
→ SNS拡散
→ 信用低下
→ 売上減少
最初は小さなミスでも、
経営インパクトに発展します。
試験では「影響の波及」が問われることがあります。
9. 今日のアウトプット課題
考えてみてください。
- 自社で起きやすい人的ミスは何か
- それは知識・判断・意図のどれか
- 仕組みで防げるか
書ければ、理解は深まっています。
10. 今日のまとめ
✔ 多くの事故は人的要因
✔ 原因は「知識不足・判断ミス・意図的行為」
✔ 人を責めるのではなく仕組みで防ぐ
✔ エラー前提で設計する
明日は、
Day5|セキュリティ対策の3分類(技術・物理・人的)を体系化する
対策を整理し、試験対応力を高めます。
-
-
🔰 Phase1:基礎理解(Day5)|セキュリティ対策の3分類(技術・物理・人的)を体系化する|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/2/28
1. セキュリティ対策は「覚える」ものではない 試験では数多くの対策が登場します。 ファイアウォール 入退室管理 教育訓練 ログ監視 ウイルス対策ソフト バックアップ 承認フロー これをバラバラに覚え ...
