css@dropstone.co.jp
AI利用規程を策定し実行した企業と、何もしなかった企業10年後の企業生産性シミュレーション
AIは導入するかどうかの時代ではありません。 問題は、 設計して使うか無秩序に使われるか この差です。 今回は、中小企業を想定し、10年間の生産性をシミュレーションしてみます。 前提条件(モデル企業) 従業員20名 年商5億円 営業利益率8% 外注5名 BtoB中心 マーケ・資料作成・翻訳・企画でAI利用が想定される 比較するのは次の2社です。 A社:AI利用規程を策定し、法人版で統治 情報区分ルールあり 法人版導入 外注も管理下 表示・法令チェックプロセスあり 年1回教育 社長が説明できる状態 B社:規 ...
中小企業におけるChatGPT(AI)の安全な使い方― IT担当では設計できません。社長がやるしかありません。―
ChatGPT(AI)をどう使うか。 これは現場判断ではありません。IT担当の仕事でもありません。 経営判断です。 中小企業において、AI利用の設計は「社長の仕事」です。 1. なぜIT担当では設計できないのか 多くの中小企業では、 IT担当は兼任 情報システムは外注 セキュリティは部分対応 経営判断権限はない という構造です。 しかしChatGPTは、 情報管理 顧客データ 契約書 事業戦略 ブランド信用 すべてに関わります。 これは単なるITツールではありません。 経営インフラです。 IT担当に「うま ...
.png)
🏢 Phase2:組織と管理(Day12)|アクセス制御の考え方(最小権限・職務分掌)|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. 事故の多くは「権限」から起きる 情報漏えい、データ改ざん、不正持ち出し。 その多くは、 本来不要な権限を持っていた ことが原因です。 アクセス制御は、技術の話ではなく“統制”の話。 試験でも重要論点です。 2. アクセス制御とは何か? アクセス制御とは、 「誰が」「何に」「どこまで」操作できるかを管理する仕組み。 ポイントは3つ。 ✔ 主体(誰が)✔ 客体(何に)✔ 権限(何ができるか) この構造で理解します。 3. 最小権限の原則(Least Privilege) 最小権限の原則とは、 ...
🏢 Phase2:組織と管理(Day11)|クラウド利用時の共有責任モデルを図解する|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. クラウドは「任せれば安全」ではない クラウド事業者は高度なセキュリティ対策を実施しています。 しかし、 だからといって、すべて任せてよいわけではない。 ここを理解していないと、事故は起きます。 試験でも頻出なのが、 「共有責任モデル」です。 2. 共有責任モデルとは何か? 共有責任モデルとは、 クラウド事業者と利用者が責任を分担する考え方。 簡単に言えば、 事業者が守る領域 利用者が守る領域 が分かれているということ。 3. まずは構造を図で理解する クラウドの構造は層になっています。 ...
🏢 Phase2:組織と管理(Day10)|委託先管理の落とし穴と契約上の注意点|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. リスクは“外に出すと増える” 業務委託、クラウド利用、外部ベンダー。 便利です。しかし同時に、 管理対象が社外に広がる という意味を持ちます。 情報を渡した瞬間、その管理責任は完全には消えません。 ここが試験の重要論点です。 2. 委託=責任移転ではない よくある誤解: 「外注したから安心」 違います。 情報の最終責任は、委託元にあります。 例えば: 顧客データを処理委託 システム運用を外部委託 クラウドにデータ保管 事故が起きれば、社会的責任を問われるのは自社です。 3. 委託先リスク ...
.png)
🏢 Phase2:組織と管理(Day9)リスク対応の4類型(回避・低減・移転・受容)を使いこなす|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
前回の記事 1. リスクは「ゼロ」にできない 情報セキュリティの世界でまず理解すべきこと。 リスクはなくならない。 どれだけ対策をしても、リスクは必ず残ります。 だから重要なのは、 どう扱うかを決めること。 これがリスク対応です。 2. リスク対応の4類型とは? リスクへの基本的な対応は、次の4つに分類されます。 ① 回避(Avoid)② 低減(Mitigate / Reduce)③ 移転(Transfer)④ 受容(Accept) 試験では頻出です。 「このケースはどれか?」瞬時に判断できるようにしまし ...
.png)
🏢 Phase2:組織と管理(Day8)|ISMSとは何か?PDCAとリスクアセスメントの本質ISMSとは何か?|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
1. なぜ“管理”が問われるのか? 情報セキュリティマネジメント試験は、技術試験ではありません。 問われているのは、 「組織としてどう管理するか」 です。 ファイアウォールの仕組みよりも、 どうルールを作るか どう見直すか どう改善するか この“管理構造”が得点の核心です。 2. ISMSとは何か? ISMS(Information Security Management System)とは、 情報セキュリティを組織的に継続管理する仕組み のこと。 ポイントは「仕組み」という言葉です。 単発対策ではなく、 ...
🔰 Phase1:基礎理解(Day7)|なぜ内部不正は起きるのか?動機・機会・正当化モデル|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
1. 最大の脅威は「外部」ではなく「内部」 サイバー攻撃というと、外部のハッカーを想像しがちです。しかし実際には、 顧客データの持ち出し 退職前の情報コピー 不正アクセスの内部関与 経費データ改ざん など、内部不正による被害も少なくありません。 試験でも頻出テーマです。 2. 内部不正とは何か? 内部不正とは、 組織内部の者が、意図的に情報資産に損害を与える行為 ポイントは「意図的」であること。 単なるミス(ヒューマンエラー)とは区別されます。 3. なぜ内部不正は起きるのか? ここで重要なのが、有名な理 ...
🔰 Phase1:基礎理解(Day6)|情報セキュリティポリシーとは何か?企業統治との関係|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
1. セキュリティは「技術」ではなく「方針」から始まる ここまでで、 CIA 情報資産 リスク構造 対策の分類 を学びました。 しかし重要な問いがあります。 誰が、どの方針で守るのか? これを定めるのが 情報セキュリティポリシー です。 2. 情報セキュリティポリシーとは何か? 定義: 組織が情報資産をどのような方針で守るかを明文化したもの つまり、 セキュリティの「憲法」のようなものです。 技術よりも上位概念です。 3. なぜポリシーが必要なのか? ポリシーがないと、 部門ごとに対応がバラバラ 判断基準 ...
🔰 Phase1:基礎理解(Day5)|セキュリティ対策の3分類(技術・物理・人的)を体系化する|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
1. セキュリティ対策は「覚える」ものではない 試験では数多くの対策が登場します。 ファイアウォール 入退室管理 教育訓練 ログ監視 ウイルス対策ソフト バックアップ 承認フロー これをバラバラに覚えると混乱します。 重要なのは「分類」です。 セキュリティ対策は3つに整理できる これを体系で理解すれば、問題が解きやすくなります。 2. セキュリティ対策の3分類 情報セキュリティ対策は大きく分けて次の3つです。 分類内容目的技術的対策システムや技術で守る自動的・強制的に守る物理的対策物理環境で守る直接的な侵 ...