どんなに組織がセキュリティに気を付けていても、それを扱う人間の無知や不注意によって引き起こされる人的脅威には対応できないっすよ。
だからITを活用する人みんながちゃんと勉強しないといけないんだね。
そのとおりっす。人的脅威に対する最も有効な対策は「教育と学習」なんす。ITパスポートという資格が必要とされる理由はここにあるといっても過言じゃないっすよ。
シラバスでは、まずどのような脅威があるのかを一通り学んでから、それらに対する対応策を別の単元でまとめて学習するという順番になっていますが、当サイトでは脅威の種類とその対応策をセットで紹介していきます。個人的にはこちらの方が分かりやすいと思いますので。
目次 非表示
人的脅威の種類
情報セキュリティにおける脅威(情報資産に損害を与える要因となるもの)は、大きく、人的脅威、物理的脅威、技術的脅威の3つの観点から分類できます。
技術的脅威はボリュームが多いので、次のページで紹介するっすよ。
人的脅威とは、人間の行動によって引き起こされる脅威で、故意だけでなく過失も含みます。
| 種類 | 説明 |
|---|---|
| 漏えい | 機密情報や個人情報などが外部に流出すること。人的ミスや故意によるものがある。 |
| 紛失 | 情報が記録された媒体(USB、書類、PCなど)を誤って失うこと。第三者に拾われると情報漏えいの危険がある。 |
| 破損 | 人的ミスによりデータやシステムが破壊されること。例:誤ってファイルを削除するなど。 |
| 盗み見 | 他人の画面や書類などをこっそり見る行為。 |
| 盗聴 | ネットワーク通信や会話などを第三者が無断で傍受すること。Wi-Fi盗聴などが含まれる。 |
| なりすまし | 他人のID・パスワードを使って本人になりすまし、不正アクセスを行う行為。 |
| クラッキング | 悪意をもってシステムに侵入・破壊・改ざんなどを行う不正行為。 |
| ソーシャルエンジニアリング | 技術的手法を用いずに人間の心理や不注意を利用して、パスワードや機密情報をだまし取る行為。例:社内の人間のふりをして電話で情報を聞き出す、ごみ箱から書類を漁るなど。 |
| 内部不正 | 組織内部の人間(従業員など)による不正アクセスや情報の持ち出しなど。 |
| 誤操作 | 意図せず重要な操作をしてしまい、情報消失やシステム障害を引き起こす行為。 |
| ビジネスメール詐欺(BEC) | 企業の役員や取引先を装い、メールを使って金銭や重要情報をだまし取る行為。 |
| ダークウェブ | 通常の検索では見つからない匿名性の高いネット領域。情報売買や犯罪行為が行われることがある。 |
他人がパスワードや個人情報などの機密情報を入力しているところを肩越しに覗き見て盗み取る行為をショルダーハッキング(ショルダーハック)と呼びます。情報セキュリティの人的脅威に関連するもので、ソーシャルエンジニアリングの一種とも言えます。
ショルダーハッキングの例として、ATMで暗証番号を入力しているところを後ろから見られる、電車内でスマホの画面をのぞかれる、オフィスでパソコンのログイン操作を見られるなどがあります。
不正のトライアングルとは、人が不正行為を行う背景にある3つの要因を示した概念であり、企業などで内部不正が発生するメカニズムを理解し、防止策を考えるために使われます。
①機会(チャンス):不正が可能な環境や仕組み(例:チェックが甘い、1人で処理できる、監視なし)
②動機(プレッシャー):不正を行いたくなる個人的・経済的な理由(例:借金、ノルマ、生活苦、評価へのプレッシャー)
③ 正当化(言い訳):不正を自分の中で正当化する心理(例:「ちょっと借りただけ」「会社が悪い」「自分は報われてない」)
クラッキングに似たもので「ハッキング」があります。クラッキングが主に、利益目的・破壊・情報盗用などの悪い目的で行われるのに対して、ハッキングは問題解決や技術探求など、技術的にシステムを解析・操作する行為全般を指します。
日本では「ハッカー=悪者」という誤解があるっすが、本来の「ハッキング」は中立的な意味っす。メディアではあまり区別されてないっすが、専門的にはきちんと分けて使われてるっすよ。
人的セキュリティ対策
人的セキュリティ対策とは、情報セキュリティにおいて人に起因するリスクを低減するための対策です。技術的な防御(ファイアウォールやウイルス対策ソフトなど)では防ぎきれない「人のミス」や「悪意ある行動」を防ぐことが目的です。
セキュリティ教育・啓発
従業員のセキュリティ意識を高め、適切な行動を促します。教育や研修によって、情報セキュリティポリシー・各種社内規程・マニュアルを遵守させるといったことが挙げられます。
定期的な訓練とテスト
定期的に情報セキュリティ訓練(標的型メールに関する訓練など)を行うことによって、実践的な対応能力を養います。
レッドチーム演習とは、実際の攻撃者になりきって組織のセキュリティを総合的に評価・検証する演習です。レッドチーム(攻撃者役)がリアルな攻撃を仕掛け、ブルーチーム(防御者役)がそれに対抗する形で実施され、机上訓練では得られない現実的な教訓が得られます。
内部不正の防止策(組織における内部不正防止ガイドライン)
IPA(独立行政法人 情報処理推進機構)が公開している『組織における内部不正防止ガイドライン』は、企業・官公庁・教育機関などの組織が内部不正による情報漏えい等のリスクを軽減するための実践的な対策指針を示した文書です。
内部不正(情報の不正取得・漏えい・改ざんなど)を防ぐために、組織として整備すべき制度・技術・運用の3側面からの対策を網羅しています。
内部不正対策を3つの視点(組織的対策、人的対策、技術的対策)で整理し、10の対策項目を挙げています。
アクセス権限の適切な管理
アクセス権限を適切に管理して、必要最小限の情報にしかアクセスできないようにします。万が一、IDやパスワードを不正入手され、なりすまし行為や不正アクセスが行われた際に、被害を最小限にとどめることができます。
物理的脅威の種類
物理的脅威とは、情報システムや設備そのものに対して、直接的・物理的な被害を及ぼす脅威のことを指します。これはサイバー攻撃のような論理的(デジタル)な脅威とは異なり、建物やハードウェアに実際の損傷を与えるものです。
| 種類 | 説明 |
|---|---|
| 災害 | 自然現象や偶発的な事故によって、情報資産に損害を与える脅威。 |
| 破壊 | 人為的な攻撃によって、設備を破壊しシステム停止やデータ損失を招く脅威。 |
| 妨害行為 | 業務やサービスの正常な運用を意図的に妨害する行為。 |
物理的セキュリティ対策
物理的セキュリティ対策とは、情報資産を物理的な脅威から守るための対策を指します。
入退室管理
入退室管理とは、施設や部屋に誰が、いつ、どこに出入りしたかを管理・制御することを指します。特にサーバルームや重要情報を扱うエリアでは、物理的セキュリティ対策として非常に重要です。
入退室管理の最も基本的なものとしては、監視カメラによる監視・記録、登録された社員証などで入退室を許可するICカード認証、事前に設定したPINコードで認証する暗証番号、警備員や受付担当が確認する有人管理などがあります。
生体認証(バイオメトリクス認証)とは、人間の身体的または行動的特徴(指紋・静脈・顔・虹彩・声紋など)を使って本人確認を行う認証方式です。パスワードやカードと違い、忘れたり盗まれたりしにくいという利点があり、高セキュリティを求められる場面で広く使われています。
生体認証は、ICカードやPINコードと併用(多要素認証)することで、より堅牢なセキュリティを実現できます。
多要素認証とは、ユーザーがシステムにログインする際に、複数の異なる種類の認証要素を使って本人確認を行うセキュリティ対策のことです。1つの要素だけでなく、2つ以上の要素を組み合わせることで、なりすましなどのリスクを大幅に減らすことができます。
一般に、所有物(ICカードなど)による認証、記憶(暗証番号など)による認証、生体情報(指紋など)による認証の3つを組み合わせるのが理想的と言われています。
・本人拒否率(FRR:False Rejection Rate)
正しい本人を誤って拒否してしまう確率です。正規の利用者なのに、指紋認証で「別人」と判断されて認証されないケースなどが該当します。
本人拒否率が高いと、正当なユーザーが頻繁にログインできず、ストレスを感じるなど、利便性が低下します。
・他人受入率(FAR:False Acceptance Rate)
他人(なりすまし)を誤って本人として受け入れてしまう確率です。別人が顔認証で本人になりすまし、システムにアクセスできてしまうケースなどが該当します。
他人受入率が高いと、本人以外でも認証を通過できる危険性があり、セキュリティリスクが高まります。
本人拒否率と他人受入率はトレードオフの関係にあります。厳密に判定すると、 他人受入率は低くなりますが本人拒否率が高くなります(セキュリティ重視)。逆に緩く判定すると、本人拒否率は低くなりますが他人受入率は高くなります(利便性重視)。
不正なアクセスを防ぐために、「入ったら出ないと再び入れない」または「出たら入らないと再び出られない」というルールをシステムが管理する仕組みです。
例えば、入室の記録はあるが退室した記録がないにもかかわらず同じ人間が入室しようとするケースや、退室の記録がある人間が再び退室しようとしているケースなど、記録されたデータと矛盾している行動を阻止することで、なりすましなどを防止します。
アクセス制御や安全管理システムなどで使われる機能で、複数の装置や扉の動作を互いに連動させて制御する仕組みです。ある装置やドアが開いている・動作している間は、他の装置やドアが動作できないように制御することで、安全性やセキュリティを確保します。
緊急時対応・備え
災害対応計画(BCP)、避難訓練、遠隔バックアップなどによって、万が一、情報システムや設備に損傷があった場合でも被害を最小限に食い止めます。
さらに、万が一災害が起こった時の備えとして、UPS(無停電電源装置)の設置による停電対策や、耐震パッドや転倒防止グッズなどの耐震対策を行うことは機器の故障を防ぐために有効です。
企業や個人が、重要なデータを自社の施設とは異なる場所にあるサーバやストレージへコピー・保存する仕組みのことです。災害や障害などに備えて、データを別拠点で安全に保管することが目的です。
クリアデスク・クリアスクリーンは、情報セキュリティの観点から重要な職場のセキュリティ運用ルールです。
机の上に機密情報や業務書類などを放置せず、常に片付ける運用ルールです。書類の盗難・覗き見・紛失防止、災害時のリスク低減、整理整頓による業務効率向上などを目的としています。
PCやモニターの画面に機密情報を表示したまま放置せず、画面をロックまたはログアウトする運用ルールです。第三者による覗き見(ショルダーハッキング)の防止、内部不正や不注意による情報漏えい防止などを目的としています。
確認○×問題
企業の従業員になりすましてIDやパスワードを聞き出したり、くずかごから機密情報を入手したりするなど、技術的手法を用いない攻撃をクラッキングという。
(出典:令和5年度春期分 問89一部改変)
答え:×
設問の記述はソーシャルエンジニアリングの説明です。クラッキングとは、悪意をもってシステムに侵入・破壊・改ざんなどを行う不正行為をいいます。
肩越しに盗み見して入手したパスワードを利用し、他人になりすましてシステムを不正利用する行為は、ソーシャルエンジニアリングに該当する行為といえる。
(出典:令和4年度春期分 問91一部改変)
答え:〇
記述の通りです。ソーシャルエンジニアリングとは、技術的手法を用いずに人間の心理や不注意を利用して、パスワードや機密情報をだまし取る行為で、例えば、社内の人間のふりをして電話で情報を聞き出す、ごみ箱から書類を漁るなどの行為が該当します。
通常の検索エンジンでは検索されず匿名性が高いので、サイバー攻撃や違法商品の取引などにも利用されることがあり、アクセスするには特殊なソフトウェアが必要になることもあるインターネット上のコンテンツの総称をダークウェブと呼ぶ。
(出典:令和6年度春期分 問87一部改変)
答え:〇
記述の通りです。ダークウェブは、通常の検索では見つからない匿名性の高いネット領域で、情報売買や犯罪行為が行われることがあります。
企業の役員や取引先を装い、メールを使って金銭や重要情報をだまし取る行為をビジネスメール詐欺(BEC)という。
答え:〇
記述の通りです。ビジネスメール詐欺(BEC:Business Email Compromise)とは、企業の役員や取引先を装い、メールを使って金銭や重要情報をだまし取るサイバー詐欺の一種です。
指紋や声紋など、身体的な特徴を利用して本人認証を行う仕組みを、多要素認証という。
(出典:令和6年度春期分 問89一部改変)
答え:×
設問の記述は生体認証(バイオメトリクス認証)の説明です。
多要素認証とは、ユーザーがシステムにログインする際に、複数の異なる種類の認証要素を使って本人確認を行うセキュリティ対策のことです。1つの要素だけでなく、2つ以上の要素を組み合わせることで、なりすましなどのリスクを大幅に減らすことができます。
以下のバイオメトリクス認証に関する記述のうち、適切なものは2つある。
- 指紋や静脈を使用した認証は、ショルダーハックなどののぞき見行為によって容易に認証情報が漏えいする。
- 装置が大型なので、携帯電話やスマートフォンには搭載できない。
- 筆跡やキーストロークなどの本人の行動的特徴を利用したものも含まれる。
- 他人を本人と誤って認証してしまうリスクがない。
(出典:令和4年度春期分 問75一部改変)
答え:×
- 誤り。指紋や静脈などの生体認証は、身体的特徴を使って本人確認を行うものであり、画面や入力内容をのぞき見する「ショルダーハック」では取得できません。
- 誤り。過去の一部の生体認証技術(静脈認証や一部の虹彩認証)には当てはまっていた可能性がありますが、現在では技術の進歩により、多くの生体認証装置はコンパクト化され、スマートフォンにも搭載可能となっています。
- 正しい。生体認証(バイオメトリクス認証)とは、人間の身体的または行動的特徴を使って本人確認を行う認証方式です。記述内容は、特に行動的特徴に分類されるものです。
- 誤り。生体認証を含むあらゆる認証方式には、誤認のリスクが存在します。
以上より、適切な記述は3.の1つのみとなります。
情報セキュリティ対策を、”技術的セキュリティ対策”、”人的セキュリティ対策”及び”物理的セキュリティ対策”に分類したとき、次の事例は”物理的セキュリティ対策”の例である。
「サーバ室、執務室などの場所ごとにセキュリティレベルを設定し従業員ごとのアクセス権が付与されたICカードで入退室管理を行う。」
(出典:令和7年度春期分 問88一部改変)
答え:〇
記述の通りです。物理的セキュリティ対策とは、情報資産を物理的な脅威から守るための対策を指します。入退室管理は、物理的セキュリティ対策として最も基本的なものです。
個人の認証に用いる要素を、知識、所有物及びバイオメトリクスの三つに分類したとき、「SMSを用いた認証」は、所有物を要素として用いた認証の例である。
(出典:令和7年度春期分 問100一部改変)
答え:〇
記述の通りです。SMS(ショートメッセージサービス)による認証は、本人の携帯電話などの端末を「所持していること」を前提とした認証方法です。したがって、SMS認証は「携帯電話=所有物」の確認手段です。
バイオメトリクス認証の他人受入率と本人拒否率に関する次の記述中の(a)、(b)に入れる字句の適切な組合せは、(a)が「利便性」、(b)が「安全性」である。
バイオメトリクス認証の認証精度において、他人受入率を低く抑えようとすると(a)が高くなり、本人拒否率を低く抑えようとすると(b)が高くなる。
(出典:令和7年度春期分 問69一部改変)
答え:×
他人受入率は他人(なりすまし)を誤って本人として受け入れてしまう確率です。他人受入率が低いと、なりすましを高い確率で防止できるため安全性は高まりますが、正当なユーザーが頻繁にログインできず、ストレスを感じるなど、利便性が低下します。
また、本人拒否率は正しい本人を誤って拒否してしまう確率です。本人拒否率が低いと、正当なユーザーが拒否される確率が低くなるため利便性は高まりますが、他人を誤って本人として受け入れてしまう確率が高くなるため、安全性は低下します。
以上より、正しくは(a)が「安全性」、(b)が「利便性」となります。
アクセス制御や安全管理システムなどで使われる機能で、複数の装置や扉の動作を互いに連動させて制御する仕組みをアンチパスバックという。
答え:×
設問の記述はインターロックの説明です。ある装置やドアが開いている・動作している間は、他の装置やドアが動作できないように制御することで、安全性やセキュリティを確保します。
なお、アンチパスバックとは、不正なアクセスを防ぐために、「入ったら出ないと再び入れない」または「出たら入らないと再び出られない」というルールをシステムが管理する仕組みです。
例えば、入室の記録はあるが退室した記録がないにもかかわらず同じ人間が入室しようとするケースや、退室の記録がある人間が再び退室しようとしているケースなど、記録されたデータと矛盾している行動を阻止することで、なりすましなどを防止します。
