最終更新日:2026年6月6日
sg security_management security_training risk_assessment security_awareness sg-security-management
まず結論
- 情報セキュリティ教育・訓練とは「人によるミスや不正を防ぐための対策」
- SG試験では「教育で対応すべきか」「技術対策と混同しないか」を判断させる問題がよく出る
直感的な説明
セキュリティ事故の多くは👇
- メールの誤送信
- パスワードの使い回し
- 不審メールを開く
- なりすまし電話で秘密情報を聞かれる
👉 つまり「人のミス」
だから👇
👉 人を変える対策が必要
それが教育・訓練です
定義・仕組み
教育・訓練とは
- 従業員のセキュリティ意識・行動を改善する取り組み
主な内容
教育(知識)
- ルールの理解
- 脅威の理解
訓練(実践)
- 標的型メール訓練
- インシデント対応訓練
- なりすましの問い合わせを受けた場合の本人確認・報告訓練
👉 「知る」+「できる」がセット
なぜ重要か
👉 技術対策だけでは防げない
例👇
- 強いシステムでも
→ パスワードを教えたら終わり
どんな場面で使う?
科目Bの典型パターン
- 誤送信が多発
- フィッシング被害
- 内部不正
正しい判断例
問題でこう聞かれます👇
-
「不審メールを開いてしまう」
→ 教育・訓練 -
「ルールが守られていない」
→ 教育 -
「操作ミスが多い」
→ 訓練
よくある誤解・混同
❌ よくある誤解
- システムを強化すれば解決
- マニュアル配布で十分
⭕ 正しい理解
- 人的対策は必須
- 教育+訓練の両方が必要
SG試験のひっかけ
典型パターン👇
- 「教育すべき場面で技術対策を選ばせる」
- 「ルール違反なのにシステム対応を選ばせる」
👉 問題の原因を見ることが重要
SG試験で選択肢を切る判断軸(予防・検知・回復編)
-
「社内教育・ルール周知・意識向上」と書かれている
→ 予防の対策を優先します。事故を起こしにくくする事前対策です。 -
「アクセスログを監視し、異常を見つける」と書かれている
→ 検知・追跡側の対策です。発生前に止めるというより、兆候や事後の証跡を扱います。 -
「コンティンジェンシープラン」や「バックアップ」と書かれている
→ 回復(復旧)側の対策です。被害後に業務を戻す準備として整理します。
迷ったら、「起こる前に減らすか(予防)/起きたことを見つけるか(検知)/起きた後に戻すか(回復)」で切り分けます。
まとめ(試験直前用)
- 教育・訓練=人的リスク対策
- 教育(知識)+訓練(実践)がセット
- 人のミスは技術だけでは防げない
- 問題は「原因が人か」で判断
- ソーシャルエンジニアリングは、本人確認・折返し確認・報告ルールを訓練する
- 「対策の種類ズレ」に注意