
ITプロジェクトに欠かせない情報セキュリティの基本を解説するよ!
CIA(機密性・完全性・可用性)は必修だよ!
概要
プロジェクトでは多くの情報資産が扱われるため、情報セキュリティの管理は極めて重要です。
ここでは、情報セキュリティの4つの側面(物理的・運用的・デジタル・データ)から、その基本概念と対策を解説します。
物理的セキュリティ(Physical Security)
-
施設・設備・ハードウェアへの不正アクセスを防止
-
出入口の制限、監視カメラ、入退室管理、サーバールームの施錠など
-
災害(火災・洪水・地震)対策として耐火金庫・防水保護も重要
運用的セキュリティ(Operational Security)
-
日常業務における情報保護手順や人為的な脅威への対策
-
権限管理、セキュリティポリシーの制定と周知、従業員の教育訓練
-
人的ミス・内部不正・情報漏えいの防止が主な目的
デジタルセキュリティ(Logical/Technical Security)
-
ITインフラやシステムへの技術的対策を指す
-
ファイアウォール、ウイルス対策ソフト、パスワード管理、アクセス制御
-
暗号化、二要素認証、多層防御(Defense in Depth)など
データセキュリティ(Data Security)
-
プロジェクトで扱う情報(データ)の機密性・完全性・可用性を守る
-
データ分類、バックアップ、暗号化、改ざん検知が重要
-
データ保存期間、廃棄手順、GDPR等のプライバシー規制への対応も必要
比較表:情報セキュリティの4分類と主な対策
| 分類 | 主な対象 | 代表的な対策例 |
|---|---|---|
| 物理的 | 施設・装置 | 入退室管理、監視カメラ、耐火・防水対策 |
| 運用的 | 人・手順・業務運用 | セキュリティポリシー、教育訓練、権限管理 |
| デジタル | ネットワーク・システム | ファイアウォール、ウイルス対策、暗号化 |
| データ | 情報そのもの | 暗号化、バックアップ、データ分類と保存ルール |
データ分類(Data Classification)の4つのセキュリティレベル
組織のデータはその機密性と漏洩時の影響度に基づき、通常以下の4つに分類されます。
- パブリック(Public):
- 一般公開しても組織に損害を与えないデータ。アクセス制限なし。
- 社外秘 / 内部専用(Confidential / Internal Use Only):
- 社員のみがアクセス可能。外部漏洩すると中程度の損害や混乱が生じるデータ。
- 秘密(Secret):
- 限られた権限を持つ一部のチームメンバーのみアクセス可能。漏洩すると深刻な財務的・信用の損害を与えるデータ。
- 極秘(Top Secret / Restricted):
- 経営陣や特定の担当者のみアクセス可能。漏洩すると組織全体に壊滅的・致命的な損害(特許の漏洩、法的重大違反など)を与えるデータ。
データディスカバリー(Data Discovery)
- 定義: 組織内のシステムやネットワーク全体をスキャンし、機密データ(PII、PHI、クレジットカード情報など)が「どこに保管されているか」を自動的に検出・識別・分類するプロセス。
- メリット: セキュリティリスクの事前特定、データ保護体制の強化、規制監査(監査可能性)の適合証明に極めて有効です。
インシデント対応手順(時系列ステップ)
セキュリティ事故(インシデント)が発生した場合、インシデント対応チーム(CSIRT等)は以下の 時系列ステップ に従って迅速に対処します。
- 準備(Preparation): セキュリティポリシーの策定、監視体制の構築、対応ツールの配備、対応チームの編成とインシデント訓練を行います。
- 検知と分析(Detection & Analysis): 異常検知アラートやユーザーからの報告をもとに、インシデントの発生確認し、影響範囲と深刻度を分析します。
- 封じ込め(Containment): 被害の拡大を防ぐための緊急措置を取ります(例:感染したサーバーや端末をネットワークから物理的・論理的に切断する)。
- 根絶(Eradication): 脅威の根本原因を特定し、排除します(例:マルウェアの削除、脆弱性のパッチ適用、不正アカウントの無効化)。
- 復旧(Recovery): 影響を受けたシステムをバックアップから復元し、安全を確認した上で通常の運用に戻します。監視を強化し、再発がないか確認します。
- 事後活動/教訓の整理(Lessons Learned): 対応プロセスを振り返り、報告書を作成します。得られた教訓をもとにセキュリティポリシーや対応手順(準備フェーズ)を改善します。
- データ分類の4つのセキュリティレベル(パブリック、社外秘、秘密、極秘)とそれぞれの影響度を理解する。
- 多要素認証の3カテゴリ(知っていること、持っているもの、あなた自身の何か)の分類問題。
関連模擬問題
【問1】
質問: 多要素認証の中で、「指紋」や「顔認証」などの生体認証を含むカテゴリはどれですか?
選択肢:
- A. あなたが持っているもの
- B. どれも当てはまらない
- C. あなたが知っていること
- D. あなた自身の何か
回答と解説を見る
正解は D です。
解説: 「あなた自身の何か」は、生体認証形式が含まれる多要素認証カテゴリです。これには指紋、網膜、顔、声などの生物学的側面が含まれます。 「あなたが持っているもの」は、アクセスするために所持していなければならないアイテム(モバイルデバイスの認証アプリ、バッジ、トークンなど)を指し、「あなたが知っていること」は、パスワードや秘密の質問の答えなど、記憶している情報を指します。生体認証は明確に「あなた自身の何か」のカテゴリに該当するため、「どれも当てはまらない」は不適切です。
【問2】
質問: プロジェクトスポンサーの意向により、セキュリティ事故のあったベンダーと契約を終了することになりました。引継ぎ先の人的リソースは確保できており、実行中のタスクについて、その役割ごと引き継ぐための会議を行います。この会議の資料として参照すべき資料の組み合わせは、次のうちどれですか。
選択肢:
- A. ガントチャート、RACIチャート
- B. ガントチャート、終了するベンダーのナレッジベース
- C. ダッシュボード、PO
- D. ダッシュボード、RFP
回答と解説を見る
正解は A です。
解説: プロジェクトマネージャーはミーティングに向けて、実行中のタスクの状況把握のためにガントチャートを参照し、役割分担を確認するためにRACIチャートを参照しておくことが望ましいです。ダッシュボードは全体概況が分かりやすいものですが、個々のタスク割り振りを把握するには、ガントチャートの方が有用です。 RFP(Request For Proposal:提案依頼書)、終了するベンダーのナレッジベース、PO(Purchase Order:注文書)は、いずれも引継ぎの際に有用な情報ではありますが、設問では「実行中のタスクについて、その役割ごと引き継ぐため」とあるので、この場合においてはガントチャート、RACIチャートが適切です。