sg sg-security-measures data_leakage it_security_operations
まず結論
- 情報漏えい対策とは、個人情報・顧客情報・営業秘密などの重要情報が、許可なく外部へ出ないようにする対策です。
- SG試験では、技術的対策だけで十分か、運用ルールや教育も必要かを判断させる問題で出やすいテーマです。
情報漏えい対策は、ツールを入れて終わりではありません。
アクセス権限、持ち出しルール、暗号化、ログ管理、教育、委託先管理などを組み合わせて考える必要があります。
直感的な説明
情報漏えい対策は、会社の大切な書類を「勝手に外へ持ち出されないようにする仕組み」と考えると分かりやすいです。
例えば、金庫に入れるだけでは不十分です。
- 誰が金庫を開けてよいかを決める
- 持ち出すときの承認手続きを決める
- 持ち出した記録を残す
- 紛失したときの連絡手順を決める
- 従業員にルールを教育する
このように、情報漏えい対策では、技術で防ぐことと、人や組織の運用で防ぐことの両方が必要です。
SG試験では、「暗号化しているから安全」「USBを禁止したから十分」のような単純な考え方は注意です。
定義・仕組み
情報漏えい対策は、重要な情報が不正に閲覧・送信・持ち出し・紛失されることを防ぐための対策です。
主に、次の2つに分けて考えると整理しやすくなります。
| 区分 | 内容 | 例 |
|---|---|---|
| 技術的対策 | システムや機器で防ぐ対策 | アクセス制御、暗号化、DLP、ログ監視、マルウェア対策 |
| 運用対策 | ルールや人の行動で防ぐ対策 | 情報分類、持ち出しルール、教育、誓約書、委託先管理 |
技術的対策の例は、次のとおりです。
- アクセス権限を必要最小限にする
- 重要ファイルを暗号化する
- USBメモリや外部ストレージの利用を制限する
- DLPで機密情報の送信やコピーを監視する
- ログを記録し、不審な操作を確認する
- マルウェア感染を防ぐ
運用対策の例は、次のとおりです。
- 情報資産を分類する
- 機密情報の取扱いルールを決める
- 社外持ち出し時の承認手順を決める
- 従業員に教育・訓練を行う
- 委託先との契約や管理を行う
- 退職者のアカウントや貸与物を回収する
IPAの情報セキュリティ関連資料でも、情報漏えいを防ぐには、技術だけでなく組織的・人的な対策を組み合わせる考え方が示されています。
IPA 情報セキュリティ
どんな場面で使う?
情報漏えい対策は、次のような場面で重要になります。
- 顧客情報や個人情報を扱う業務
- 営業秘密や設計情報を扱う業務
- 社外とのメール送信やファイル共有が多い業務
- テレワークや外出先で端末を利用する業務
- 委託先に情報を渡して業務を依頼する場合
科目Bのケース問題では、特に次の流れで考えると判断しやすくなります。
-
守るべき情報を特定する
何が機密情報なのかを整理します。 -
利用できる人を限定する
必要な人だけがアクセスできるようにします。 -
持ち出しや送信のルールを決める
承認、暗号化、送信先確認などを決めます。 -
技術的に制御する
DLP、アクセス制御、ログ監視などを使います。 -
教育と点検を続ける
ルールを知ってもらい、守られているか確認します。
SG試験では、選択肢に「技術的対策だけで漏えいを完全に防止できる」といった表現がある場合は注意です。
現実の情報漏えいは、誤送信、紛失、設定ミス、内部不正、委託先での管理不備など、技術だけでは防ぎきれない原因でも起こります。
よくある誤解・混同
情報漏えい対策では、次のような混同がよくあります。
| 誤解しやすい考え方 | 正しい理解 |
|---|---|
| 暗号化すれば情報漏えい対策は完了 | 暗号化は対策の一部。アクセス管理や運用ルールも必要 |
| DLPを入れれば漏えいは必ず防げる | DLPは検知・制御に有効だが、情報分類や運用設計が必要 |
| 外部攻撃対策だけでよい | 誤送信、紛失、内部不正、委託先管理も重要 |
| ログを取れば十分 | ログは確認・分析して初めて意味がある |
| 教育は技術的対策より重要ではない | 人の操作ミスを減らすために教育も重要 |
SG試験では、次のような選択肢に注意します。
-
「すべての情報を自由に持ち出せるようにして、漏えい時だけ確認する」
→ 事後確認だけでは不十分です。事前の制御が必要です。 -
「重要情報を暗号化しているので、アクセス権限の管理は不要である」
→ 誤りです。暗号化とアクセス管理は別の対策です。 -
「情報の分類に応じて、持ち出し可否や取扱いルールを決める」
→ 情報漏えい対策として適切です。 -
「委託先に渡した情報は、委託先の責任なので管理しなくてよい」
→ 誤りです。委託先管理も情報漏えい対策に含まれます。
迷ったときは、情報を守る対策が、技術だけに偏っていないかを確認します。
SG試験では、技術的対策と運用対策を組み合わせる選択肢が正解になりやすいです。
まとめ(試験直前用)
- 情報漏えい対策は、重要情報を外へ漏らさないための対策です。
- 技術的対策には、アクセス制御、暗号化、DLP、ログ監視などがあります。
- 運用対策には、情報分類、持ち出しルール、教育、委託先管理などがあります。
- SG試験では、技術だけで十分とする選択肢に注意します。
- 判断基準は、情報資産管理・アクセス管理・持ち出し管理・教育を組み合わせているかです。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】