人的脅威とは[情報処理安全確保支援士講座]
今回は情報処理安全確保支援士で問われる人的脅威について解説します。
人的脅威
人的脅威には、大きく分けて「偶然起こってしまうもの」と「意図的に引き起こされるもの」があります。
それぞれの例と対策方法を確認しておきましょう。
偶発的な人的脅威
- 操作ミスやプログラミングのミス
- メールの送信ミス
- 社員や業者の持ち込みUSBや機器からの漏洩・データ破壊
- FWの設定ミス
偶発的な人的脅威は、システムの使用方法やセキュリティに関する規定の整備、教育・訓練の実施が考えられます。
意図的な人的脅威
- 金銭目的での情報持ち出し
- 退職した社員の不正侵入
- 組織に恨みがある者の怨恨
要因 | 具体例 |
動機 | 過剰なノルマ・金銭トラブル・怨恨 など不正行為のきっかけとなるもの |
機会 | 設定の不備・運用の不手際・ など不正行為を可能とする環境 |
正当化 | 「良心の呵責」を超え、不正行為を納得させる解釈や責任転嫁 |
意図的な脅威への対策は、入退室管理の徹底・アクセス制御・通信データの暗号化・監視システムの導入・アカウントやパスワードの管理徹底・教育の実施・罰則の適用などが挙げられます。
人的脅威が情報資産に及ぼす影響
人的脅威には種類が多く、影響も軽微なものから企業の存続に関わる重大なものまで様々です。
偶発的な脅威はある程度想定できたり被害を抑えられたりしますが、意図的な脅威は無限に考えられる上に発生頻度や被害の範囲を予測することが困難です。
人的脅威・まとめ
人の脅威は、偶発的なものと意図的なものに分けられます。
さらに外部からの脅威と内部要因があり、外部からの脅威は直接対策が難しいため、予防・防止の機能を持つセキュリティ対策を施して脆弱性を対処するだけでなく、検知・追跡の機能を充実させることが重要です。
内部に関しては直接的な対策が可能なので、教育や監査などで抑止・抑制機能を高めつつ、業務プロセスやルールを徹底することで「動機」「機会」「正当化」を成立させないようにすることが重要です。
次回はセキュリティを共有する仕組みについて学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
ディスカッション
コメント一覧
まだ、コメントがありません