マネジメント系

情報を守る基本行動 — パスワード・アップデート・セキュリティポリシー

導入

すべてのサービスで同じパスワードを使い回してはいないでしょうか。もし1つのサービスからパスワードが漏れてしまったら、同じパスワードを設定しているすべてのアカウントが危険にさらされてしまいます。ここでは、個人と組織それぞれが実践すべき情報セキュリティの基本行動を確認していきます。

なぜ重要か

情報セキュリティの問題は、もはや大企業だけの話ではありません。個人のスマートフォンへの不正アクセスや、中小企業を狙ったランサムウェア被害など、あらゆる規模の組織・個人が標的になっています。ITパスポート試験においても、セキュリティ分野はテクノロジ系の中で特に出題比率が高く、個人の対策から組織的な管理まで幅広い範囲が問われます。

社会人として働く上でも、情報セキュリティの基本行動を知っていることは必須です。うっかりしたメールの誤送信や、ルールに違反したUSBメモリの持ち込みが会社に大きな損害を与えるケースは後を絶ちません。「自分には関係ない」と思わず、ひとりひとりの行動がセキュリティの最前線であるという意識を持つことが、試験対策と実務の両方で大切な出発点になっています。

くわしく知ろう

まず個人レベルの対策として重要なのがパスワードの強化です。英大文字・小文字・数字・記号を組み合わせて長い文字列にすることで、推測やブルートフォース攻撃(総当たり攻撃)に対する強度が高まります。サービスごとに異なるパスワードを設定することも欠かせません。

もうひとつ見落としがちなのが、OSやアプリケーションのアップデートです。アップデートの最大の目的は新機能の追加ではなく、発見されたセキュリティ上の弱点(脆弱性)を修正することにあります。放置すると、その弱点を狙った攻撃を受けるリスクが高まります。

組織レベルでは、「情報セキュリティポリシー」が基本になります。これは組織が情報を守るためのルールをまとめた文書で、パスワードの管理方法やPC利用ルール、情報の持ち出し制限などが規定されています。

加えて、アクセス権限管理の考え方も重要です。「必要な人に必要な情報だけを見せる」という最小権限の原則に基づいて、役職や業務に応じたアクセス制限を設けることで、情報漏えいのリスクを最小化できます。

もしセキュリティ事故(インシデント)が発生した場合は、「記録→報告→原因調査→再発防止」という手順で対処することが求められます。

具体例で理解する

たとえば会社で「営業担当は顧客データを閲覧できるが、経理担当は閲覧できない」というルールを設けるのが、アクセス権限管理の実例です。そして、こうした全社員が守るべきルールを体系的にまとめた文書が情報セキュリティポリシーにあたります。一方、社員が業務外のUSBメモリを会社のパソコンに挿すことを禁止するルールも、持ち込み機器経由のマルウェア感染を防ぐ典型的な組織的対策のひとつです。

試験での出題パターン

【パターン1:用語の定義を問う問題】

「情報セキュリティポリシーの説明として適切なものはどれか」という形式で、文書の目的や対象範囲が問われます。「プライバシーポリシー(個人情報取扱方針)」との混同に注意が必要です。情報セキュリティポリシーは社内向けのルール文書、プライバシーポリシーは外部の利用者向けの個人情報取扱方針という使い分けを押さえておきましょう。

【パターン2:最小権限の原則を場面に当てはめる問題】

「あるシステムで、社員に必要最小限のアクセス権だけを付与する目的として適切なものはどれか」という形式です。この場合の正解は「情報漏えいや不正操作のリスクを減らすため」であり、「業務効率化のため」や「システム負荷軽減のため」は誤りとして頻出する選択肢です。

【パターン3:アップデートの目的を問う問題】

「OSのアップデートを適用する主な目的はどれか」という問いに対し、「新機能の追加」は誤りで「脆弱性の修正」が正解です。アップデートとセキュリティパッチの関係を混同しないよう注意が必要です。

よくある間違い・紛らわしいポイント

【情報セキュリティポリシーとプライバシーポリシーの混同】

情報セキュリティポリシーは、社内のルール(パスワード管理・PC利用方法・情報持ち出し手順など)を定めた社員向けの文書です。一方、プライバシーポリシーは、企業がユーザーの個人情報をどのように収集・利用・管理するかを外部に公表する文書です。「ポリシー」という単語が共通のため混同しやすいですが、向き先が「社内向け」か「社外向け(利用者向け)」かで区別できます。

【アップデートの目的の誤解】

「アップデート=新機能追加」というイメージを持ちやすいのですが、セキュリティの観点ではアップデートの主目的は脆弱性の修正です。特にセキュリティパッチと呼ばれる修正プログラムは、既知の攻撃手法に対する防御策として配布されます。「アップデートしなくても普通に使えるから後回し」という行動がインシデントにつながるという理解が試験でも実務でも求められます。

【最小権限の原則と業務効率の対立に見える問題】

アクセス権限を絞ると「不便になる」と感じるかもしれませんが、最小権限の原則はセキュリティリスクの最小化が目的です。権限を広く与えすぎると、その社員のアカウントが不正利用された際の被害範囲が広がります。試験では「なぜ権限を制限するのか」という問いに対し、業務効率ではなくリスク管理の観点から答えることが求められます。

まとめ・試験ポイント

  • パスワード=長く複雑に、使い回し厳禁
  • アップデート=脆弱性修正が主目的(新機能ではない)
  • 情報セキュリティポリシー=組織の社内ルール文書(プライバシーポリシーと区別)
  • 最小権限の原則=必要な人に必要な情報だけ(リスク管理が目的)
  • インシデント対応=記録→報告→原因調査→再発防止
  • 試験では個人の対策と組織の対策の両方が問われる

学習した内容を試験形式で確認しよう。ITパスポート入門試験100問に挑戦できます。

入門試験100問に挑戦する