情報を守る基本行動 — パスワード・アップデート・セキュリティポリシー

導入

すべてのサービスで同じパスワードを使い回してはいないでしょうか。もし1つのサービスからパスワードが漏れてしまったら、同じパスワードを設定しているすべてのアカウントが危険にさらされてしまいます。ここでは、個人と組織それぞれが実践すべき情報セキュリティの基本行動を確認していきます。

くわしく知ろう

まず個人レベルの対策として重要なのがパスワードの強化です。英大文字・小文字・数字・記号を組み合わせて長い文字列にすることで、推測やブルートフォース攻撃（総当たり攻撃）に対する強度が高まります。サービスごとに異なるパスワードを設定することも欠かせません。

もうひとつ見落としがちなのが、OSやアプリケーションのアップデートです。アップデートの最大の目的は新機能の追加ではなく、発見されたセキュリティ上の弱点（脆弱性）を修正することにあります。放置すると、その弱点を狙った攻撃を受けるリスクが高まります。

組織レベルでは、「情報セキュリティポリシー」が基本になります。これは組織が情報を守るためのルールをまとめた文書で、パスワードの管理方法やPC利用ルール、情報の持ち出し制限などが規定されています。

加えて、アクセス権限管理の考え方も重要です。「必要な人に必要な情報だけを見せる」という最小権限の原則に基づいて、役職や業務に応じたアクセス制限を設けることで、情報漏えいのリスクを最小化できます。

もしセキュリティ事故（インシデント）が発生した場合は、「記録→報告→原因調査→再発防止」という手順で対処することが求められます。

具体例

たとえば会社で「営業担当は顧客データを閲覧できるが、経理担当は閲覧できない」というルールを設けるのが、アクセス権限管理の実例です。そして、こうした全社員が守るべきルールを体系的にまとめた文書が情報セキュリティポリシーにあたります。

まとめ・試験ポイント

• パスワード＝長く複雑に、使い回し厳禁
• アップデート＝脆弱性修正が主目的（新機能ではない）
• 情報セキュリティポリシー＝組織のルール文書
• 最小権限の原則＝必要な人に必要な情報だけ
• インシデント対応＝記録→報告→原因調査→再発防止
• 試験では個人の対策と組織の対策の両方が問われる