-
-
🔰 Phase1:基礎理解(Day4)|インシデントはなぜ起きるのか?人的ミスの構造|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/2/27
1. 多くの事故は「高度な攻撃」ではない ニュースでは巧妙なハッキングが注目されます。しかし現実はどうでしょうか。 実際のインシデントの多くは、 メール誤送信 USB紛失 設定ミス パスワード使い回し ...
1. セキュリティ対策は「覚える」ものではない
試験では数多くの対策が登場します。
- ファイアウォール
- 入退室管理
- 教育訓練
- ログ監視
- ウイルス対策ソフト
- バックアップ
- 承認フロー
これをバラバラに覚えると混乱します。
重要なのは「分類」です。
セキュリティ対策は3つに整理できる
これを体系で理解すれば、問題が解きやすくなります。
2. セキュリティ対策の3分類
情報セキュリティ対策は大きく分けて次の3つです。
| 分類 | 内容 | 目的 |
| 技術的対策 | システムや技術で守る | 自動的・強制的に守る |
| 物理的対策 | 物理環境で守る | 直接的な侵入を防ぐ |
| 人的対策 | 人の行動を管理する | ミスや不正を防ぐ |
この3分類は試験頻出です。
3. 技術的対策とは何か?
定義
システムやソフトウェアを用いて守る対策
代表例
- ファイアウォール
- IDS/IPS
- アクセス制御
- 暗号化
- ウイルス対策ソフト
- 多要素認証
- ログ監視
特徴:
✔ 自動で動く
✔ 強制力がある
✔ 人の判断に依存しにくい
試験では「最も確実な対策」として扱われることが多いです。
4. 物理的対策とは何か?
定義
物理的な侵入や持ち出しを防ぐ対策
代表例
- 入退室管理
- 施錠
- 監視カメラ
- 耐火金庫
- サーバ室管理
- 盗難防止ワイヤー
ポイント:
情報漏えいはサイバー攻撃だけではありません。
ノートPC盗難
USB持ち出し
こうしたリスクを防ぐのが物理対策です。
5. 人的対策とは何か?
定義
人の行動を制御する対策
代表例
- セキュリティ教育
- ルール策定
- 誓約書
- 職務分掌
- ダブルチェック
- 内部監査
人的対策は「意識」に依存します。
そのため、
技術対策と組み合わせることが重要
これが試験のポイントです。
6. なぜ3つ必要なのか?
例を考えてみます。
パスワード管理の場合:
- 技術:多要素認証
- 物理:端末盗難防止
- 人的:パスワード教育
1つだけでは不十分です。
多層防御(Defense in Depth)が重要。
7. 試験で問われる典型パターン
✔ どの分類に属するか
✔ どの対策が最も適切か
✔ 不足している対策は何か
例:
「USB紛失防止策として適切なものは?」
- 暗号化 → 技術
- 持ち出し禁止規定 → 人的
- 施錠管理 → 物理
選択肢の分類ができれば正答率は上がります。
8. 対策はリスクのどこを減らすか?
Day3と接続します。
- 教育 → 脆弱性低減
- ファイアウォール → 脅威遮断
- バックアップ → 影響低減
対策はリスクの3要素のどれを減らしているかで整理できます。
これが理解できると応用問題が解けます。
9. 実務視点の重要ポイント
セキュリティは
「全部やる」ことではありません。
- コスト
- 効果
- 優先順位
を考えて設計します。
つまり、
セキュリティ対策は経営判断
これがマネジメント試験の本質です。
10. 今日のアウトプット課題
次を書いてください。
- 技術・物理・人的対策を3つずつ挙げる
- 自社で不足している分類はどれか
- その理由は何か
整理できれば理解は定着しています。
11. 今日のまとめ
✔ セキュリティ対策は3分類できる
✔ 技術・物理・人的は役割が違う
✔ 多層防御が重要
✔ 対策はリスクのどこを減らすかで考える
明日は、
Day6|情報セキュリティポリシーとは何か?企業統治との関係
“ルール設計”の核心に入ります。
