読み方 : じんてきセキュリティたいさく
人的セキュリティ対策
人的セキュリティ対策とは?
サイバーセキュリティにおける対策分野の一つで、人間の行動や知識、意識に起因するリスクを低減するための施策。「技術的対策」「物理的対策」と並ぶセキュリティ対策の柱の一つに位置づけられ、組織に所属する従業員や関係者を対象に実施される。
具体的な取り組みとして、まず教育や研修、啓発がある。情報の取り扱いルール、標的型攻撃メールへの対処法、パスワードの管理方法などを従業員に周知し、適切な判断と行動を身につけさせる。模擬フィッシングメールを使った訓練を定期的に行う組織も多い。対象は新入社員に限らず、管理職や委託先の担当者まで広く含まれる。
ルールの整備と運用も重要な要素である。機密情報の保存場所、端末の持ち出し手順、アクセス権限の範囲などを明文化し、組織全体に遵守を求める。業務上必要な範囲にのみアクセスを許可することで、内部不正や誤操作による影響を抑えられる。退職者や異動者のアカウントを速やかに無効化することも重要である。また、操作ログの記録や複数人による承認体制など、監視あ確認の仕組みを設けることも人的対策に含まれる。不審な操作の早期発見や、重要業務における不正やミスの抑止につながる。
人的対策が重視される背景には、情報セキュリティ事故の多くが人為的要因によって発生するという実態がある。メールの誤送信、不審な添付ファイルの開封、端末や記憶媒体の紛失などはいずれも人的な要因によって生じている。また、人の心理的な隙を突く「ソーシャルエンジニアリング」や「フィッシング詐欺」は、厳重な技術的セキュリティ対策を講じていても正規の利用者権限によってこれをすり抜けて被害をもたらす。リモートワークの普及により、公衆無線LANの利用や画面の覗き見といった、個人の管理能力に依存するリスクも増加している。
共有ボタンをタップ