実はね、うっかり会社のメールで怪しいリンクを開きそうになったことあるの…。
「情報漏えい」や「不正アクセス」って、じつは人の油断から起きることも多いんだよっ!
だからこそ大事なのが、「人的セキュリティ対策」!
今回は“人”が関わるセキュリティの守り方を、わかりやすく学んでいこっ♪
人的セキュリティ対策とは?
人的セキュリティ対策とは、
人のミスや不注意・だまされやすさを減らすためのセキュリティ対策だよ。
セキュリティ対策って、ファイアウォールとかウイルス対策ソフトだけじゃなくて、
社員や関係者の行動・判断にも目を向ける必要があるの!
こわいメールとか…つい開いちゃいそうになるから、ちゃんと知っとかないとっ!🥹
代表的な人的対策
① 情報セキュリティの「教育・啓発」
セキュリティって、専門家だけの話じゃない!
社員全員が「なにが危険か」「どうすればいいか」を知っておく必要があるの。
例:
② 標的型攻撃メール訓練
最近は、本物そっくりのメールで社員をだまして情報を抜き取る「標的型攻撃」が増えてるの。
だから、「訓練メール」を送って、クリックしちゃう人がいないかをチェックする会社も多いんだよ!
❌ 間違ってクリックしても訓練だから安心
→ でも、ちゃんと指導・学習につなげようね!
③ モニタリング・監視
社員の操作ログやアクセス履歴を記録・確認して、
もし不審な動きがあればすぐ気づけるようにする仕組みだよっ!
例:
④ アクセス権の設定・管理
だれが、どのデータにアクセスできるか。
それをしっかり制限することも重要な「人的対策」のひとつ!
❌ 事務アルバイトさんが経営会議の資料を見れる状態になってた…
→ これ、アクセス権設定ミスの例だよ!
メリットとデメリット
メリット
デメリット
人的セキュリティ対策に関するITパスポート試験の過去問!
ISMS(情報セキュリティマネジメントシステム)の情報セキュリティリスク対応における、人的資源に関するセキュリティ管理策の記述として、適切でないものはどれか。
ア:雇用する候補者全員に対する経歴などの確認は、関連する法令、規制及び倫理に従って行う。
イ:情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて、周知する。
ウ:組織の確立された方針及び手順に従った情報セキュリティの適用を自社のすべての従業員に要求するが、業務を委託している他社には要求しないようにする。
エ:退職する従業員に対し、退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え、退職後もそれを守らせる。
正解は『ウ』
「業務を委託している他社には情報セキュリティを要求しない」という内容はダメっ!
社内の人にセキュリティを守ってもらうのはもちろんだけど、外部の会社にお仕事お願いしてるときも、ちゃんとセキュリティ対策をお願いしなきゃだめだよ〜っ!
だって、その会社が情報もってるんだもん!共有するなら、お互いにルールも守らないとねっ。
ITパスポート試験をスマホで手軽に勉強!
「えろ勉」も戦略的に開発&運営してるよ~!この記事が勉強になったり、ためになったよ〜って思ったら、なにかアクションをお願い!!「えろの力で勉強するゲーム:えろ勉」
私のハートにもアクセス権つけなきゃ…
誰にでも開けちゃダメかもっ🥺🔐
