ITサポート:DAY41|情報セキュリティ

🐥 カイピヨくんと学ぶ ITサポート独学
- DAY41|情報セキュリティ
- 📖 はじめに|DAY41は「セキュリティ=面倒」が消える日
- 第1章|結論:守る理由は「被害が現実だから」
- 第2章|そもそも「情報」とは何か?
- 第3章|情報が漏れると何が起きる?
- 🎮 体験しよう:情報漏洩被害シミュレーター
- 第4章|「うちは狙われない」は通用しない
- 第5章|セキュリティ事故の3パターン
- 🎮 体験しよう:セキュリティ事故3パターン
- 第6章|なぜ「人」が一番の弱点なのか
- 🎮 体験しよう:よくある人的ミスチェック
- 第7章|ITサポートが守る対象は「情報」
- 第8章|セキュリティは「全員参加」
- 第9章|ITサポートがまず伝えるべきこと
- 第10章|DAY41で覚えればOKなこと
- 📊 今日のゴール
- 📝 DAY41まとめ
DAY41|情報セキュリティ
― 守るべき理由 ―
通勤中、家事をしながら、セキュリティの本質を音声で学習
※音声と記事の内容は同じです。お好みの方法で学習してください
📖 はじめに|DAY41は「セキュリティ=面倒」が消える日
セキュリティの話になると、こんな反応が返ってきます。
- 「難しそう…」
- 「ルールが多くて面倒」
- 「そこまで気にしなくても…」
でも、ITサポートとして一番伝えなければいけないことはこれです。
"守らないと困る理由"が必ずある
DAY41では
ウイルス対策の前に、なぜ守るのか
を、現実ベースで理解します。
「セキュリティは怖がる話じゃないピヨ。」
"失うと困るもの"の話ピヨ!🐥💙
第1章|結論:守る理由は「被害が現実だから」
まず結論です。
盗まれる・壊される・止められる
"現実の資産"
昔と今の違い
📊 情報セキュリティとは何か(CIA三要素)
セキュリティのCIA三要素:情報セキュリティは、①機密性(Confidentiality):許可されていない人が情報にアクセスできないようにする、②完全性(Integrity):情報が改ざん・破壊されないようにする、③可用性(Availability):必要な時に情報にアクセスできるようにする、の3つを守ることです。この3つが守られないと、情報は「資産」としての価値を失います。
情報の資産価値:日本ネットワークセキュリティ協会(JNSA)の調査(2023年)によると、1件の個人情報漏洩による想定損害賠償額は平均29,768円。これに漏洩件数を掛けると、例えば1万件漏洩で約3億円、10万件で約30億円の損失です。情報は目に見えないが、確実に経済的価値を持つ資産です。
デジタル資産の脆弱性:物理的な資産(紙、金庫)は盗むのに時間と労力が必要ですが、デジタル資産は①瞬時にコピー可能、②遠隔地から攻撃可能、③痕跡を残しにくい、④大量に盗める、という特徴があります。だからこそ、紙の時代以上に厳重な管理が必要です。
第2章|そもそも「情報」とは何か?
DAY21の復習です。
情報の例
第3章|情報が漏れると何が起きる?
🎮 体験しよう:情報漏洩被害シミュレーター
第4章|「うちは狙われない」は通用しない
現実は…
自動で狙われる
理由
- ✅ 攻撃は人力じゃない(ボット、自動スクリプト)
- ✅ プログラムで一斉(数万〜数百万のIPアドレスをスキャン)
📊 中小企業こそ狙われる現実
中小企業への攻撃増加:IPA(情報処理推進機構)の調査(2024年)では、サイバー攻撃を受けた中小企業の割合は68.3%(前年比+12.5%)。理由は、①セキュリティ対策が手薄、②ITリテラシーが低い社員が多い、③セキュリティ予算が限られている、④IT専任担当者がいない、ためです。攻撃者は「守りが弱い」企業を狙います。
自動化された攻撃:サイバー攻撃の95%以上は自動化されたボット・スクリプトによるものです(Symantec調査)。攻撃者は①全世界のIPアドレスをスキャン、②脆弱性のあるサーバ・サービスを自動検出、③自動で侵入・攻撃を実行。人間が手動で選んで攻撃しているわけではありません。「うちは小さいから狙われない」は完全に誤解です。
サプライチェーン攻撃:大企業を直接攻撃するのは難しいため、セキュリティの弱い取引先(中小企業)を経由して大企業にアクセスする手法が増加しています(2023年に前年比+42%)。中小企業は「自社だけの問題」ではなく、取引先全体のセキュリティリスクになります。
第5章|セキュリティ事故の3パターン
ITサポート目線で整理します。
🎮 体験しよう:セキュリティ事故3パターン
📊 実際のセキュリティ事故統計と被害額
事故の分類別発生率:JNSA「2023年情報セキュリティインシデント調査」によると、①盗まれる(情報漏洩):52.3%、②壊される(ランサムウェア、データ破壊):28.7%、③止められる(DDoS攻撃、サービス停止):19.0%。最も多いのは情報漏洩ですが、どのパターンも深刻な被害をもたらします。
ランサムウェア被害の急増:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等」では、ランサムウェア被害件数は197件(前年比+67件、+51.5%)。被害企業の73.2%が身代金を要求され、平均要求額は約1,200万円。支払っても復旧できない場合も多く(復旧率約60%)、事業継続が困難になるケースもあります。
DDoS攻撃の規模:DDoS(Distributed Denial of Service)攻撃は、大量のアクセスでサーバをパンクさせる手法。Cloudflareの報告では、2024年に観測された最大規模のDDoS攻撃は5.6Tbps(1秒間に5.6テラビット=約700GB)。EC サイトが1時間停止すると、平均損失は約300万円〜1,000万円と言われています。
第6章|なぜ「人」が一番の弱点なのか
実際の原因
- ✅ パスワード使い回し(1つ漏れると全部危険)
- ✅ 添付ファイル開封(マルウェア感染の入口)
- ✅ フィッシング(偽サイトでID・パスワード入力)
ITサポートの実感
使い方で事故が起きる」
🎮 体験しよう:よくある人的ミスチェック
1-2個:改善の余地あり
3個以上:今すぐ行動を見直そう
📊 セキュリティ事故の原因統計
人的ミスが原因の割合:Verizon「2024 Data Breach Investigations Report」によると、セキュリティ侵害の82%は人的要因(Human Element)が関与しています。内訳は、①フィッシング36%、②認証情報の漏洩・盗難25%、③誤操作・設定ミス21%。技術的な脆弱性だけでなく、人の行動が最大のリスクです。
パスワード使い回しの実態:NordPassの調査では、日本人の平均パスワード数は約85個ですが、実際に使い分けているのは平均12個のみ。73%の人が「複数サービスで同じパスワードを使っている」と回答。1つのサービスから漏洩したパスワードで、他のサービスにも不正ログインされる「パスワードリスト攻撃」が多発しています。
フィッシング詐欺の巧妙化:Anti-Phishing Working Group(APWG)の報告では、2024年のフィッシング攻撃は月平均約132万件(前年比+27%)。特に「信頼できる企業(銀行、EC、配送会社)になりすます」手口が95%を占めます。URLの微妙な違い(例:amazon.co.jp → arnaz0n.co.jp)を見抜けず、偽サイトで認証情報を入力してしまうケースが後を絶ちません。
第7章|ITサポートが守る対象は「情報」
ITサポートの仕事は、
機器は手段
- ✅ 壊れても買い替え可能
- ⚠️ 情報は戻らないこともある
第8章|セキュリティは「全員参加」
誤解
現実
- ✅ 使う人全員が関係者
第9章|ITサポートがまず伝えるべきこと
利用者には、こう伝えます。
伝え方テンプレ
事故を防ぐためにあります」
第10章|DAY41で覚えればOKなこと
- ✅ 情報は資産
- ✅ 被害は現実
- ✅ 小さな会社も狙われる
- ✅ 人が一番の弱点
- ✅ セキュリティは全員参加
📝 確認クイズ(DAY41)
セキュリティの基本を確認しよう
「守る理由が分かれば、」
行動は自然に変わるピヨ!🐥💙
📊 今日のゴール
- ✅ 情報が現実の資産であることを理解する
- ✅ 情報漏洩の被害(個人/会社)を知る
- ✅ 中小企業も狙われる現実を認識する
- ✅ セキュリティ事故の3パターンを理解する
- ✅ 人が最大の弱点であることを理解する
📝 DAY41まとめ
- 守る理由:情報は盗まれる・壊される・止められる「現実の資産」。昔は紙・金庫で物理的に守ったが、今はデータ・アカウントをデジタルで守る。守り方が変わっただけで本質は同じ
- CIA三要素:セキュリティは①機密性(Confidentiality:許可されていない人がアクセスできない)、②完全性(Integrity:改ざん・破壊されない)、③可用性(Availability:必要な時にアクセスできる)の3つを守ること
- 情報の資産価値:1件の個人情報漏洩で平均29,768円の損害賠償(JNSA調査)。1万件漏洩で約3億円、10万件で約30億円の損失。情報は目に見えないが確実に経済的価値を持つ
- デジタル資産の特徴:①瞬時にコピー可能、②遠隔地から攻撃可能、③痕跡を残しにくい、④大量に盗める。物理的資産より狙われやすく、厳重な管理が必要
- 情報の例:名前、メールアドレス、ID・パスワード、顧客データ、社内資料。全て狙われる対象(DAY21復習)
- 個人の被害:なりすまし(SNS乗っ取り、偽アカウント作成)、詐欺被害(金銭的損失)、SNS乗っ取り(信用失墜)。信用とお金を失う
- 会社の被害:顧客からの信頼失墜(取引停止、ブランド毀損)、損害賠償(JNSA調査:平均29,768円/件)、業務停止(ランサムウェア、システムダウン)。経営リスクになる
- 中小企業も狙われる:IPA調査で68.3%が攻撃を受けた。理由:①セキュリティ対策が手薄、②ITリテラシー低い、③予算限られる、④専任担当者いない
- 自動化された攻撃:サイバー攻撃の95%以上は自動化されたボット・スクリプト(Symantec)。全世界のIPアドレスをスキャンし、脆弱性を自動検出し、自動で侵入。人間が手動で選んでいるわけではない。「うちは小さいから狙われない」は誤解
- サプライチェーン攻撃:大企業を直接攻撃するのは難しいため、セキュリティの弱い取引先(中小企業)を経由して侵入する手法が増加(2023年に前年比+42%)。中小企業は取引先全体のリスクになる
- 3パターン分類:①盗まれる(情報漏洩52.3%、ID・パスワード・データ)、②壊される(ランサムウェア・データ破壊28.7%)、③止められる(DDoS攻撃・サービス停止19.0%)。どれも致命的(JNSA調査)
- ランサムウェア被害:警察庁調査で197件(前年比+51.5%)。73.2%が身代金要求され、平均1,200万円。支払っても復旧率約60%で、事業継続困難になることも
- DDoS攻撃:2024年最大規模は5.6Tbps(Cloudflare)。ECサイト1時間停止で平均損失300万円〜1,000万円
- 人が最大の弱点:セキュリティ侵害の82%は人的要因が関与(Verizon)。内訳:①フィッシング36%、②認証情報漏洩25%、③誤操作21%。技術的脆弱性より人の行動が最大リスク
- 人的ミスの実例:①パスワード使い回し(1つ漏れると全部危険)、②添付ファイル開封(マルウェア感染の入口)、③フィッシング(偽サイトでID入力)
- パスワード使い回し:日本人の平均パスワード数85個だが、使い分けは平均12個のみ。73%が複数サービスで同じパスワード使用(NordPass)。パスワードリスト攻撃で他サービスにも不正ログイン
- フィッシングの巧妙化:月平均132万件(APWG、前年比+27%)。95%が信頼できる企業(銀行、EC、配送)になりすます。URL微妙な違い(amazon.co.jp→arnaz0n.co.jp)を見抜けない
- 守る対象:ITサポートが守るのは情報。パソコンは買い替えられるが、情報は戻らないこともある。機器は手段、情報が本質
- 全員参加:「IT担当が何とかする」は誤解。使う人全員が関係者。1人のミスで全体被害
- 利用者への伝え方:「ルールは事故を防ぐためにあります」「面倒=守っている証拠です」。納得感が大事。セキュリティは怖がる話ではなく、失うと困るものの話
💬 次回予告(DAY42)
👉 DAY42:「ウイルスとは ― マルウェアの種類」
マルウェアの基本を学ぼう!


