学習コンテンツ

2026/3/1

🏢 Phase2：組織と管理（Day12）｜アクセス制御の考え方（最小権限・職務分掌）｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

前回の記事 1. 事故の多くは「権限」から起きる情報漏えい、データ改ざん、不正持ち出し。その多くは、本来不要な権限を持っていたことが原因です。アクセス制御は、技術の話ではなく“統制”の話。試験でも重要論点です。 2. アクセス制御とは何か？アクセス制御とは、「誰が」「何に」「どこまで」操作できるかを管理する仕組み。ポイントは3つ。 ✔ 主体（誰が）✔ 客体（何に）✔ 権限（何ができるか）この構造で理解します。 3. 最小権限の原則（Least Privilege）最小権限の原則とは、 ...

学習コンテンツ情報セキュリティマネジメント試験

2026/2/28

🏢 Phase2：組織と管理（Day11）｜クラウド利用時の共有責任モデルを図解する｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

前回の記事 1. クラウドは「任せれば安全」ではないクラウド事業者は高度なセキュリティ対策を実施しています。しかし、だからといって、すべて任せてよいわけではない。ここを理解していないと、事故は起きます。試験でも頻出なのが、「共有責任モデル」です。 2. 共有責任モデルとは何か？共有責任モデルとは、クラウド事業者と利用者が責任を分担する考え方。簡単に言えば、事業者が守る領域利用者が守る領域が分かれているということ。 3. まずは構造を図で理解するクラウドの構造は層になっています。 ...

学習コンテンツ情報セキュリティマネジメント試験

2026/2/28

🏢 Phase2：組織と管理（Day10）｜委託先管理の落とし穴と契約上の注意点｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

前回の記事 1. リスクは“外に出すと増える” 業務委託、クラウド利用、外部ベンダー。便利です。しかし同時に、管理対象が社外に広がるという意味を持ちます。情報を渡した瞬間、その管理責任は完全には消えません。ここが試験の重要論点です。 2. 委託＝責任移転ではないよくある誤解：「外注したから安心」違います。情報の最終責任は、委託元にあります。例えば：顧客データを処理委託システム運用を外部委託クラウドにデータ保管事故が起きれば、社会的責任を問われるのは自社です。 3. 委託先リスク ...

学習コンテンツ

2026/2/28

🏢 Phase2：組織と管理（Day9）リスク対応の4類型（回避・低減・移転・受容）を使いこなす｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

前回の記事 1. リスクは「ゼロ」にできない情報セキュリティの世界でまず理解すべきこと。リスクはなくならない。どれだけ対策をしても、リスクは必ず残ります。だから重要なのは、どう扱うかを決めること。これがリスク対応です。 2. リスク対応の4類型とは？リスクへの基本的な対応は、次の4つに分類されます。 ① 回避（Avoid）② 低減（Mitigate / Reduce）③ 移転（Transfer）④ 受容（Accept）試験では頻出です。「このケースはどれか？」瞬時に判断できるようにしまし ...

学習コンテンツ情報セキュリティマネジメント試験

2026/2/28

🏢 Phase2：組織と管理（Day8）｜ISMSとは何か？PDCAとリスクアセスメントの本質ISMSとは何か？｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

1. なぜ“管理”が問われるのか？情報セキュリティマネジメント試験は、技術試験ではありません。問われているのは、「組織としてどう管理するか」です。ファイアウォールの仕組みよりも、どうルールを作るかどう見直すかどう改善するかこの“管理構造”が得点の核心です。 2. ISMSとは何か？ ISMS（Information Security Management System）とは、情報セキュリティを組織的に継続管理する仕組みのこと。ポイントは「仕組み」という言葉です。単発対策ではなく、 ...

学習コンテンツ情報セキュリティマネジメント試験

2026/2/28

🔰 Phase1：基礎理解（Day7）｜なぜ内部不正は起きるのか？動機・機会・正当化モデル｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

1. 最大の脅威は「外部」ではなく「内部」サイバー攻撃というと、外部のハッカーを想像しがちです。しかし実際には、顧客データの持ち出し退職前の情報コピー不正アクセスの内部関与経費データ改ざんなど、内部不正による被害も少なくありません。試験でも頻出テーマです。 2. 内部不正とは何か？内部不正とは、組織内部の者が、意図的に情報資産に損害を与える行為ポイントは「意図的」であること。単なるミス（ヒューマンエラー）とは区別されます。 3. なぜ内部不正は起きるのか？ここで重要なのが、有名な理 ...

学習コンテンツ情報セキュリティマネジメント試験

2026/2/28

🔰 Phase1：基礎理解（Day6）｜情報セキュリティポリシーとは何か？企業統治との関係｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

1. セキュリティは「技術」ではなく「方針」から始まるここまでで、 CIA 情報資産リスク構造対策の分類を学びました。しかし重要な問いがあります。誰が、どの方針で守るのか？これを定めるのが情報セキュリティポリシーです。 2. 情報セキュリティポリシーとは何か？定義：組織が情報資産をどのような方針で守るかを明文化したものつまり、セキュリティの「憲法」のようなものです。技術よりも上位概念です。 3. なぜポリシーが必要なのか？ポリシーがないと、部門ごとに対応がバラバラ判断基準 ...

学習コンテンツ情報セキュリティマネジメント試験

2026/2/28

🔰 Phase1：基礎理解（Day5）｜セキュリティ対策の3分類（技術・物理・人的）を体系化する｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

1. セキュリティ対策は「覚える」ものではない試験では数多くの対策が登場します。ファイアウォール入退室管理教育訓練ログ監視ウイルス対策ソフトバックアップ承認フローこれをバラバラに覚えると混乱します。重要なのは「分類」です。セキュリティ対策は3つに整理できるこれを体系で理解すれば、問題が解きやすくなります。 2. セキュリティ対策の3分類情報セキュリティ対策は大きく分けて次の3つです。分類内容目的技術的対策システムや技術で守る自動的・強制的に守る物理的対策物理環境で守る直接的な侵 ...

学習コンテンツデジタルガバナンス

2026/2/28

『中小企業経営者のためのデジタルガバナンス設計【AI時代実践版】』― 社員が意識せず安全にAIを使えている会社を、社長が説明できる状態へ ―

※Amazon電子書籍こちら▷「電子書籍で見る」はじめに AI対応は不可避である・すでに社員はAIを使っている・禁止しても止められない・問題は「使うか」ではなく「どう設計するか」・説明できないAI利用は経営リスクである本書はAIの使い方の本ではない。AI時代の経営設計書である。第1章｜なぜAIを止める会社は負けるのか 1-1 生成AIはインフラ化している1-2 シャドーAIという現実1-3 AI禁止が生むブラックボックス1-4 情報流出の多くは悪意ではなく無自覚1-5 「誰も説明できないAI利用 ...

学習コンテンツ情報セキュリティマネジメント試験

2026/2/27

🔰 Phase1：基礎理解（Day4）｜インシデントはなぜ起きるのか？人的ミスの構造｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

1. 多くの事故は「高度な攻撃」ではないニュースでは巧妙なハッキングが注目されます。しかし現実はどうでしょうか。実際のインシデントの多くは、メール誤送信 USB紛失設定ミスパスワード使い回しつまり、人的ミスが原因試験でも、事故原因として「人」に関する選択肢は頻出です。 2. インシデントとは何か？インシデントとは、セキュリティ事故につながる可能性のある事象まだ被害が確定していなくても、「不適切な行為や状態」はインシデントです。例：不審メールを開いた誤って外部共有設定をした不正 ...

« Prev 1 2 3 4 Next »