情報処理安全確保支援士試験の合格を目指す上で、ファイアウォールや暗号化といった技術的対策の知識は不可欠です。しかし、近年のセキュリティインシデントは、技術の穴を突くだけでなく、「人」のミスや不正、物理的な侵入、取引先を踏み台にするサプライチェーン攻撃など、より広範な領域から発生しています。特に午後試験では、こうした技術以外の「組織的・人的・物理的」なセキュリティ対策の知識が、具体的なシナリオに基づいて問われるため、体系的な理解が欠かせません。
この記事では、情報処理安全確保支援士試験で頻出の「人的セキュリティ」「物理セキュリティ」「サプライチェーンセキュリティ」「コンプライアンス」の4つのテーマに絞り、身近な例や実務でのシーンを交えながら、合格に必要な知識を網羅的に解説します。難解な用語も具体例でかみ砕き、午後問題で活かせる実践的な知識の習得を目指しましょう。
目次
情報処理安全確保支援士試験の要!人的セキュリティ対策と内部不正防止策
情報セキュリティ対策と聞くと、最新のサイバー攻撃に対応する高度な技術を想像しがちです。しかし、情報処理安全確保支援士試験、特に午後問題のシナリオでは「いかに堅牢なシステムも、使う『人』が弱点となりうる」という視点が繰り返し問われます。従業員の不注意による情報漏えいや、悪意を持った内部関係者による不正行為は、後を絶ちません。このセクションでは、組織の防御力を内側から高める「人的セキュリティ」の基本を解説します。
内部不正を防ぐ「3つの原則」
組織内部からの情報漏えいやデータ改ざんといった不正行為を未然に防ぐため、情報セキュリティの世界には古くからの鉄則があります。それが「職務分掌」「権限分離」「相互牽制」の三原則です。一人の担当者に権限が集中し、誰のチェックも受けない状況(属人化)を作らないことが目的です。
| 原則 | 概要 | 実生活・仕事での例 |
|---|---|---|
| 職務分掌 | 業務の役割や担当を明確に分けること。 | スーパーで「レジ打ち担当」と「売上金管理担当」を分ける。これにより、一人がレジからお金を抜き取って、売上記録をごまかすといった不正が困難になる。 |
| 権限分離 | 職務に応じて、必要なシステム上の権限だけを与えること。 | システム開発で「開発担当者」にはテスト環境の権限のみを与え、「運用担当者」だけが本番環境を操作できるようにする。開発者が勝手にプログラムを変更できない。 |
| 相互牽制 | 複数の担当者でお互いの業務をチェックし合う仕組み。 | 経費精算で、申請者(営業担当)の申請内容を、その上長(課長)と経理担当者の両方がチェックする。不適切な申請や入力ミスを発見しやすくなる。 |
これらの原則は、単独ではなく組み合わせることで真価を発揮します。例えば、職務分掌で担当を分けても、お互いがチェックしない(相互牽制が働かない)のであれば、不正を見逃すリスクは残ってしまいます。
「ジョブローテーション」がなぜセキュリティ対策になるのか?
定期的に担当業務を変更する「ジョブローテーション」は、一般的に人材育成の手法として知られていますが、セキュリティの観点からも非常に重要です。
目的①:不正の長期化・潜在化の防止
長年同じ担当者が同じ業務を行っていると、業務がブラックボックス化し、不正が隠蔽されやすくなります。
仕事例: ある経理担当者が10年間一人で会社の口座を管理していた結果、少しずつ会社の資金を横領していたが、誰にも気づかれなかった。ジョブローテーションで後任者が着任した際に、過去の不審な金の流れが発覚した。
目的②:業務継続性(BCP)の確保
特定の担当者しかできない業務があると、その人が突然休んだり退職したりした場合に、業務が完全に停止してしまいます。これはセキュリティインシデント発生時の対応遅延にも繋がります。ジョブローテーションにより複数の担当者が業務を経験していれば、不測の事態にも対応できます。
最後にして最強の砦は「セキュリティ教育」
どんなにルールやシステムを整備しても、従業員一人ひとりのセキュリティ意識が低ければ、脅威は簡単に組織内部へ侵入します。標的型攻撃メールやフィッシング詐欺は、従業員の「うっかり」を狙った攻撃の代表例です。
身近な例: 「当選おめでとうございます!」「アカウントがロックされました」といった件名のメールは、ついクリックしたくなります。しかし、これが攻撃者が仕掛けた罠かもしれません。こうしたメールのURLを安易にクリックしない、添付ファイルを開かないといった基本動作を徹底することが重要です。
情報処理安全確保支援士には、インシデント発生を未然に防ぐため、こうした脅威の手口や見分け方を組織全体に周知徹底させるための教育・訓練を計画・実行する役割も求められます。定期的な標的型攻撃メール訓練や、情報資産の取り扱いルールの勉強会などを通じて、組織全体のセキュリティレベルを底上げすることが不可欠です。
サーバ室を守る物理セキュリティ対策|入退室管理からTEMPEST攻撃まで
サイバー攻撃への対策に万全を期していても、攻撃者がサーバ室に物理的に侵入し、サーバ本体を盗み出したり、直接データをコピーしたりしては元も子もありません。情報処理安全確保支援士試験では、データセンターの選定要件や、重要区画への入退室管理方法など、情報資産を物理的な脅威から守るための知識が問われます。このセクションでは、デジタル空間だけでなく、現実世界でのセキュリティ対策である「物理セキュリティ」を解説します。
「誰が・いつ・どこに」を管理する入退室管理
物理セキュリティの基本は、保護すべき重要な情報資産が保管されているエリア(サーバ室や執務室など)に、許可された人物以外が立ち入れないようにすることです。
認証と監視
入退室管理では、まず「認証」によって本人確認を行います。認証には様々な方式があり、セキュリティレベルやコストに応じて使い分けられます。
| 認証方式 | 具体例 | メリット | デメリット |
|---|---|---|---|
| 知識認証 | パスワード、暗証番号 | 手軽で低コスト | 忘却、盗み見のリスク |
| 所持認証 | ICカード、社員証、鍵 | 比較的安価で管理が容易 | 紛失、盗難、貸し借りのリスク |
| 生体認証 | 指紋、静脈、顔、虹彩 | 偽造や貸し借りが極めて困難 | 導入コストが高い、認証精度に課題も |
また、認証した人物が別の無関係な人物を連れて入室してしまう「共連れ(ピギーバック/テールゲーティング)」を防ぐ仕組みも重要です。一人ずつしか通れないゲート(フラッパーゲート、マントラップ)を設置したり、監視カメラ(CCTV)や警備員によって不正な入室がないかを監視したりします。
身近な例: 駅の自動改札は、切符やICカードを持つ人(認証された人)が通ると一度閉じることで、共連れを防ぐシンプルな仕組みと言えます。オフィスセキュリティでは、これをより厳格にしたものだとイメージしてください。
サーバを守る最後の砦「ケージとラック」
自社でデータセンターを持たず、外部の事業者の施設の一部を借りてサーバを設置する「ハウジング」や「コロケーション」といったサービスを利用することも多いです。この場合、一つの建屋に多くの企業のサーバが同居することになります。
身近な例: データセンターが「大型マンション」だとすると、各企業が借りるスペースは「個別の部屋」にあたります。マンションの入り口(データセンターの入口)にオートロックがあっても、自分の部屋のドアにも鍵をかけますよね。
これと同じで、データセンター内でも自社のサーバラックや、サーバ群を囲う金網(ケージ)に物理的な鍵をかける(施錠する)ことが、他社の人間や部外者による不正な操作や盗難を防ぐための基本対策となります。
故障時にどう動く?「フェールセーフ」と「フェールセキュア」
システムや機器が故障した際、「安全を優先する」のか「セキュリティを優先する」のか、設計思想によって動き方が異なります。この違いは午後問題のシナリオで問われやすい重要知識です。
| 設計思想 | 考え方 | 具体例 |
|---|---|---|
| フェールセーフ (Fail Safe) | 故障時には、人命や安全を最優先に確保する方向に倒す。 | ・信号機が故障 → 赤点滅になり、車に停止を促す。 ・踏切が停電 → 遮断機が下りたままになり、電車の安全を確保する。 |
| フェールセキュア (Fail Secure) | 故障時には、情報資産の機密性やセキュリティを最優先に確保する方向に倒す。 | ・オフィスの電気錠が故障 → 施錠されたままになり、部外者の侵入を防ぐ。 ・システムの認証サーバが故障 → アクセスをすべて拒否し、不正ログインを防ぐ。 |
どちらが良いという話ではなく、対象となるシステムや機器の特性に応じて、適切な設計思想を選ぶことが重要です。
目に見えない脅威「TEMPEST攻撃」
物理的な対策は、侵入や盗難だけを考えればよいわけではありません。PCやディスプレイ、プリンタ、LANケーブルといった電子機器は、動作中に微弱な電磁波を外部に漏洩しています。この漏洩電磁波(テンペスト)を特殊なアンテナで傍受し、モニタに表示されている内容や通信内容を盗聴する攻撃をTEMPEST攻撃と呼びます。
仕事例: 最高機密を扱う政府機関や研究施設などでは、この攻撃を防ぐために、部屋全体を金属板で覆って電磁波を遮断する「シールドルーム」を導入したり、電磁波の漏洩が少ない特殊な機器を選定したりといった対策が行われています。
狙われるのは取引先!サプライチェーン攻撃の対策と委託先管理の要点
自社のセキュリティをどれだけ強化しても、取引のある関連会社や、業務を委託している企業のセキュリティが甘ければ、そこを踏み台として侵入される可能性があります。このように、製品やサービスの供給連鎖(サプライチェーン)の中で、セキュリティ対策が手薄な組織を狙って、最終的な標的(ターゲット)への攻撃の足がかりにする手法を「サプライチェーン攻撃」と呼びます。自社だけでなく、取引先全体のセキュリティレベルを意識することが、現代のセキュリティ対策では不可欠です。
サプライチェーン攻撃の仕組み
サプライチェーン攻撃は、ターゲット企業を直接攻撃するのではなく、信頼関係を悪用する巧妙な手口です。
身近な例え: 堅牢な要塞(ターゲット企業)を正面から攻めるのは大変です。そこで攻撃者は、要塞に毎日食料を納品している信頼されたパン屋さん(取引先)に忍び込み、パンに毒を仕込みます。要塞の兵士たちは、いつものパン屋さんからの納品なので疑うことなく受け入れ、内部から崩壊してしまう、というイメージです。
仕事での具体例:
- ソフトウェア経由: 多くの企業が利用する会計ソフトの開発会社に攻撃者が侵入。正規のアップデートプログラムにマルウェアを混入させて配布し、そのソフトを更新したすべての企業に感染を拡大させる。
- 委託先経由: ターゲット企業A社が、システムの保守・運用をB社に委託していたとする。攻撃者はセキュリティ対策の甘いB社に侵入し、保守作業で使われる正規のリモートアクセス回線を利用してA社の社内ネットワークに侵入する。
対策の要は「委託先の適切な管理」
サプライチェーン攻撃への対策は、自社内だけで完結しません。取引を開始する前から、取引中、そして契約終了後に至るまで、委託先を適切に管理し続けることが重要です。
| 管理フェーズ | 主な対策内容 |
|---|---|
| 契約前 | ・委託先のセキュリティ対策状況を評価する(セキュリティチェックシートなど)。 ・実施すべきセキュリティ要件を明確にし、契約書に盛り込む。 |
| 契約中 | ・委託先が契約通りのセキュリティ対策を実施しているか、定期的に監査する。 ・インシデント発生時の報告・連携体制を明確にしておく。 |
| 契約終了後 | ・委託先に提供した情報資産(データや機器)が、確実に返却または破棄されたことを確認する。 |
また、情報共有を行う前にはNDA(秘密保持契約)を締結し、万が一の情報漏えいに備えることも基本となります。
ソフトウェアの成分を把握する「SBOM」
現代のソフトウェアは、様々なオープンソースソフトウェア(OSS)や外部ライブラリを組み合わせて作られています。いわば「秘伝のタレ」のように、中身が分からないまま利用していると、その部品(ライブラリ)に深刻な脆弱性が発見された際、自社の製品が影響を受けるかどうかの判断が迅速にできません。
そこで登場したのがSBOM(Software Bill of Materials / ソフトウェア部品表)という考え方です。
身近な例え: SBOMは、食品のパッケージに記載されている「原材料名」のリストと同じです。アレルギー物質(脆弱性)が特定された際に、その原材料が商品に含まれているかをすぐに確認できます。
SBOMの活用例
下記のようなリストがあれば、「Log4jに新たな脆弱性が発見された」というニュースが出た際、自社が利用するシステムにその部品が含まれているか、そしてバージョンが影響を受けるものかを即座に特定し、対策を講じることができます。委託先からソフトウェアを納品してもらう際に、このSBOMの提出を契約で義務付けることが、サプライチェーン全体のセキュリティ強化に繋がります。
支援士に必須の法律知識|個人情報保護法からGDPRまで主要法令を解説
情報セキュリティの取り組みは、単なる自主的な活動ではありません。多くの場合、「法律」によって最低限実施すべき安全管理措置や、事業者の責務が定められています。情報処理安全確保支援士は、これらの法規制、すなわちコンプライアンス(法令遵守)を理解し、組織が法に違反しないよう助言する役割も担います。特に個人情報の取り扱いに関するルールは、試験でも実務でも最重要の知識です。
国内の主要セキュリティ関連法規
まずは、日本国内の事業活動に関わる代表的な法律を整理しましょう。それぞれの法律が「何を禁じているのか」「何を義務付けているのか」を、具体的な違反シナリオと合わせて理解することが重要です。
| 法律名 | 主な目的とポイント | 違反した場合の仕事上のシナリオ例 |
|---|---|---|
| 個人情報保護法 | 個人の権利と利益を保護する。事業者に対し、個人データの利用目的特定、安全管理措置、本人の同意なき第三者提供の原則禁止などを義務付ける。 | 顧客リストを本人の同意なくマーケティング会社に販売した。ECサイトで管理していた個人情報が漏えいしたが、アクセス制御などの適切な安全管理措置を怠っていた。 |
| 不正アクセス禁止法 | 不正なアクセス行為そのものを防ぐ。他人のID/パスワードの無断使用、セキュリティホールを悪用した侵入、他人の認証情報を不正に取得・保管する行為などを禁止。 | 退職した元従業員が、在職中に知っていたIDとパスワードを使って会社のサーバにログインし、機密情報を盗み見た。 |
| サイバーセキュリティ基本法 | 国全体のサイバーセキュリティ水準を向上させるための基本理念や、国・地方公共団体・重要インフラ事業者などの責務を定める法律。 | (この法律自体に直接的な罰則は少ないが)電力会社が国が示す安全基準を軽視した結果、サイバー攻撃で大規模な停電を引き起こし、社会インフラに多大な影響を与えた。 |
国境を越えるデータの取り扱いと「GDPR」
グローバルに事業を展開する企業にとって、海外の個人情報保護法規への対応も必須です。その代表例が、EUの「GDPR(一般データ保護規則)」です。
GDPRは、EU域内にいる個人の個人データの扱いに厳格な規制を設けており、違反した場合には巨額の制裁金が科されることで知られています。
仕事での具体例: 日本のECサイトが、フランス在住の顧客に商品を発送している場合、そのフランス人顧客の氏名、住所、購買履歴などの個人データはGDPRの保護対象となります。もし顧客から「自分のデータを全て消去してほしい」という要求(忘れられる権利)があれば、企業は原則として応じなければなりません。
身近な例: 海外のウェブサイトを閲覧した際に、「Cookieの使用に同意しますか?」という大きなバナーが表示される経験はありませんか? あれは、サイト訪問者の閲覧履歴などを収集する際に、本人から明確な同意を得ることを義務付けているGDPRなどの法律に対応するための仕組みです。
日本企業であっても、EU圏の顧客や従業員の個人データを取り扱う限り、GDPRのルールを遵守する必要があるのです。
まとめ
セキュリティ事故の多くは「人」や「委託先」が弱点になります。情報処理安全確保支援士試験では「内部不正対策」「委託先へのセキュリティ要求」「物理的な侵入防止策」「法令遵守」が典型的な出題テーマです。本記事で解説した人的・物理・サプライチェーン・法令の4つの側面を押さえることで、技術偏重ではないバランスの取れた学習ができ、合格へと繋がるでしょう。