sg security_management security_training risk_assessment security_awareness sg-security-management
まず結論
- 情報セキュリティ教育・訓練とは「人によるミスや不正を防ぐための対策」
- SG試験では「教育で対応すべきか」「技術対策と混同しないか」を判断させる問題がよく出る
直感的な説明
セキュリティ事故の多くは👇
- メールの誤送信
- パスワードの使い回し
- 不審メールを開く
👉 つまり「人のミス」
だから👇
👉 人を変える対策が必要
それが教育・訓練です
定義・仕組み
教育・訓練とは
- 従業員のセキュリティ意識・行動を改善する取り組み
主な内容
教育(知識)
- ルールの理解
- 脅威の理解
訓練(実践)
- 標的型メール訓練
- インシデント対応訓練
👉 「知る」+「できる」がセット
なぜ重要か
👉 技術対策だけでは防げない
例👇
- 強いシステムでも
→ パスワードを教えたら終わり
どんな場面で使う?
科目Bの典型パターン
- 誤送信が多発
- フィッシング被害
- 内部不正
正しい判断例
問題でこう聞かれます👇
-
「不審メールを開いてしまう」
→ 教育・訓練 -
「ルールが守られていない」
→ 教育 -
「操作ミスが多い」
→ 訓練
よくある誤解・混同
❌ よくある誤解
- システムを強化すれば解決
- マニュアル配布で十分
⭕ 正しい理解
- 人的対策は必須
- 教育+訓練の両方が必要
SG試験のひっかけ
典型パターン👇
- 「教育すべき場面で技術対策を選ばせる」
- 「ルール違反なのにシステム対応を選ばせる」
👉 問題の原因を見ることが重要
まとめ(試験直前用)
- 教育・訓練=人的リスク対策
- 教育(知識)+訓練(実践)がセット
- 人のミスは技術だけでは防げない
- 問題は「原因が人か」で判断
- 「対策の種類ズレ」に注意
🔗 関連記事
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 攻撃者の種類とは?目的と特徴で整理する【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- SG試験 ケース問題の解き方テンプレ【情報セキュリティマネジメント】
- ケース問題の解き方!CIAとリスク対応で考える実践手順【SG試験】