63-01.人的セキュリティ対策

人的セキュリティ対策

人的セキュリティ対策とは、人間を原因とした情報セキュリティインシデントの対策です。人的セキュリティ対策の関連用語として、「情報セキュリティ啓発」「情報セキュリティ訓練」「組織における内部不正防止ガイドライン」「アクセス権」があります。

情報セキュリティ啓発・情報セキュリティ訓練

人的セキュリティ対策として、組織における社員の情報セキュリティ意識や行動遵守のために、定期的に情報セキュリティ啓発や情報セキュリティ訓練を行います。

情報セキュリティ啓発では、情報セキュリティポリシー（情報セキュリティ方針）、情報セキュリティに関する社内規定やマニュアルの周知等により、情報セキュリティに対する意識高めます。

一方、情報セキュリティ訓練では、サイバー攻撃を想定した際の正しい行動を社員が実践します。例えば、標的型メールに関する訓練などが該当します。

情報セキュリティ啓発、情報セキュリティ訓練は、いずれも情報セキュリティの意識向上を目的とした人的セキュリティ対策ですが、知識面と実践面の違いがあることを理解しておきましょう。

組織における内部不正ガイドライン

人的脅威のうち、内部の人間が意図的に情報資産を漏洩、紛失、破損させることを内部不正と呼びました。

情報処理推進機構（IPA）は、内部不正の対策として「組織における内部不正防止ガイドライン」を公開しています。

「組織における内部不正防止ガイドライン」は、組織が内部不正対策を効果的に実施することを目的に作成されています。具体的には、5つの基本原則の内容が明記されています。

アクセス権（アクセス管理）

アクセス権の適切な設定（アクセス管理）も人的セキュリティ対策の1つです。情報資産に対してアクセスできる権限を付与することで、誰にどの程度の利用を許可（or拒否）設定できます。

アクセス権の設定（アクセス管理）は、情報セキュリティの要素である機密性、完全性に効果を発揮します。

また、ITパスポート試験では、ファイルに対するアクセス権について、次のように出題されます。

次のアクセス制御方式をもつファイルシステムにおいて、ファイルAへのアクセス権の設定のうち、アクセス制御の条件を満足するものはどれか。

〔ファイルシステムのアクセス制御方式〕
・アクセス権の設定単位：
　所有者
　所有者と同じグループの利用者
　その他の利用者

・アクセス権：
　R（読出し）
　W（書込み）
　X（実行）

・アクセス権の優先度：
　↑優先度高い
　所有者
　＞所有者と同じグループの利用者
　＞その他の利用者
　↓優先度低い

［ファイルへのアクセス制御の条件］
・全ての利用者が実行できる。
・所有者，及び所有者と同じグループの利用者だけが読出しができる。
・所有者だけが書込みができる。
・〇：設定（許可）、－：未設定（拒否）

出典：平成29年秋期　問92（一部改変）

【まとめ】人的セキュリティ対策

それでは最後におさらいをしておきましょう！