63-01.人的セキュリティ対策

スポンサーリンク

人的セキュリティ対策

人的セキュリティ対策とは、人間を原因とした情報セキュリティインシデントの対です。人的セキュリティ対策には、下表のような関連用語があります。

 説明
情報セキュリティ啓発定期的にセキュリティ教育を実施し、セキュリティ意識を高めていくこと
例.情報セキュリティポリシ、情報セキュリティに関する社内規定、マニュアル等を周知
情報セキュリティ訓練実際の標的型メールの攻撃などを想定した訓練を実施
組織における
内部不正防止ガイドライン
IPA(情報処理推進機構)の内部不正の対策の取り組みの一環
アクセス権情報資産に対し、誰に、どの程度の利用を許可するかを設定すること
機密性(情報漏えい)、完全性(改ざん)に対して効果

情報セキュリティ啓発・情報セキュリティ訓練

人的セキュリティ対策として、組織における社員の情報セキュリティ意識や行動遵守のために、定期的に情報セキュリティ啓発情報セキュリティ訓練を行います。

情報セキュリティ啓発では、情報セキュリティポリシー(情報セキュリティ方針)、情報セキュリティに関する社内規定やマニュアルの周知等により、情報セキュリティに対する意識高めます。

一方、情報セキュリティ訓練では、サイバー攻撃を想定した際の正しい行動を社員が実践します。例えば、標的型メールに関する訓練などが該当します。

情報セキュリティ啓発、情報セキュリティ訓練は、いずれも情報セキュリティの意識向上を目的とした人的セキュリティ対策ですが、知識面と実践面の違いがあることを理解しておきましょう。

組織における内部不正ガイドライン

人的脅威のうち、内部の人間が意図的に情報資産を漏洩、紛失、破損させること内部不正と呼びました。

情報処理推進機構(IPA)は、内部不正の対策として「組織における内部不正防止ガイドライン」を公開しています。

出典:IPA 組織における内部不正防止ガイドライン
https://www.ipa.go.jp/security/fy24/reports/insider/

「組織における内部不正防止ガイドライン」は、組織が内部不正対策を効果的に実施することを目的に作成されています。具体的には、5つの基本原則の内容が明記されています。

基本原則説明
犯行を難しくする
(やりにくくする)
対策を強化することで犯罪行為を難しくする
捕まるリスクを高める
(やると見つかる)
管理や監視を強化することで捕まるリスクを高める
犯行の見返りを減らす
(割に合わない)
標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
犯行の誘因を減らす
(その気にさせない)
犯罪を行う気持ちにさせないことで犯行を抑止する
犯罪の弁明をさせない
(言い訳させない)
犯行者による自らの行為の正当化理由を排除する

アクセス権(アクセス管理)

アクセス権の適切な設定(アクセス管理)も人的セキュリティ対策の1つです。情報資産に対してアクセスできる権限を付与することで、誰にどの程度の利用を許可(or拒否)設定できます。

アクセス権の設定(アクセス管理)は、情報セキュリティの要素である機密性完全性に効果を発揮します。

●アクセス権設定の効果
・機密性:情報漏えいの防止
・完全性:情報の改ざんの防止

また、ITパスポート試験では、ファイルに対するアクセス権について、次のように出題されます。

次のアクセス制御方式をもつファイルシステムにおいて、ファイルAへのアクセス権の設定のうち、アクセス制御の条件を満足するものはどれか。

〔ファイルシステムのアクセス制御方式〕
・アクセス権の設定単位:
 所有者
 所有者と同じグループの利用者
 その他の利用者

・アクセス権:
 R(読出し)
 W(書込み)
 X(実行)

・アクセス権の優先度:
 ↑優先度高い
 所有者
 >所有者と同じグループの利用者
 >その他の利用者
 ↓優先度低い

[ファイルへのアクセス制御の条件]
・全ての利用者が実行できる。
・所有者,及び所有者と同じグループの利用者だけが読出しができる。
・所有者だけが書込みができる。
・〇:設定(許可)、-:未設定(拒否)

出典:平成29年秋期 問92(一部改変)
●解答・解説
ファイルAへのアクセス制御の条件の3つを1つずつ確認していきます。
・全ての利用者が実行できる
 X(実行)は全ての設定単位で「〇」となります。

・所有者,及び所有者と同じグループの利用者だけが読出しができる。
 R(読出し)は、所有者「〇」、所有者と同じグループの利用者「〇」、その他の利用者は「-」となります。

・所有者だけが書込みができる
W(書込み)は、所有者「〇」、所有者と同じグループの利用者は「-」、その他の利用者は「-」となります。

したがって、エ)のアクセス権の設定が正しいです。
この記事が気に入ったらフォロー
ぽん之助

20代サラリーマン、前職4年間で20個以上の資格に合格。ホワイト企業に転職を成功。
実体験を元に資格や勉強、転職、キャリアアップ、副業について、『ぽんぱす』で発信しています。
【保有資格】ネットワークスペシャリスト、情報処理安全確保支援士、CCNP、電気通信主任技術者(伝送/線路)、工事担任者総合種、AWS(SAA)その他多数。

ぽん之助をフォロー
ITパスポート
スポンサーリンク
ぽん之助をフォロー
ぽんぱす

コメント

タイトルとURLをコピーしました