ITサポート:DAY48|社内ルール

ITサポート独学チャレンジ
Lv.1
次のレベルまで 100 XP
0 / 100
🛡️
CIA理解
📋
ルール理解
⚖️
バランス理解
💯
総合テスト満点
🏆
DAY48完全制覇
ITサポート独学 DAY48

🐥 カイピヨくんと学ぶ ITサポート独学

DAY48|社内ルール

― 情報の扱い方 ―

🎧
この記事は音声でも学べます

通勤中、家事をしながら、社内ルールの意義を音声で学習

0:00
0:00
再生速度:

※音声と記事の内容は同じです。お好みの方法で学習してください


📖 はじめに|DAY48は「ルールの意味が分かる日」

現場でよく聞く言葉があります。

  • 「このルール面倒ですよね」
  • 「そこまでやりますか?」
  • 「今まで問題なかったですよ?」

でもDAY47で見ました。

事故は"ちょっとした省略"から起きる。

社内ルールは、
誰かを縛るためではなく、
事故を防ぐための"仕組み"
です。

🐥 カイピヨくんの一言(冒頭)
カイピヨくん

「ルールは信用しないためじゃないピヨ。」
"事故を起こさないため"ピヨ!🐥💙

第1章|結論:ルールは"再発防止策"

まず結論です。

社内ルール =
過去の事故から生まれた予防策

なぜ増える?

1
事故が起きる
⬇️
2
再発防止策を追加
👉 経験の積み重ね

📊 セキュリティポリシーの実態

策定率:IPA「2024年度 企業における情報セキュリティ実態調査」では、①何らかのセキュリティポリシーを策定:82.3%(従業員1000人以上では96.8%)、②文書化されたポリシー:68.5%、③従業員への周知:54.2%、④定期的な見直し:38.7%。大企業ほど策定率が高いが、中小企業では依然として策定率が低い(従業員50人未満では37.8%)。

ルール増加の背景:情報漏洩事故が発生するたびに新しいルールが追加されます。過去10年間でセキュリティポリシーの平均ページ数は、①2014年:平均18ページ、②2019年:平均32ページ、③2024年:平均47ページと約2.6倍に増加。主な追加理由:①情報漏洩事故(52%)、②法令改正対応(28%)、③新技術導入(12%)、④監査指摘(8%)。

ルール遵守率:JNSA「2024年 セキュリティ意識調査」では、①セキュリティルールを「常に遵守」:38.2%、②「概ね遵守」:45.7%、③「時々守らない」:13.5%、④「ほとんど守らない」:2.6%。約16%が守っていない理由:①面倒(42%)、②理由が分からない(31%)、③現場に合わない(18%)、④時間がない(9%)。

第2章|情報の扱いで基本になる3原則

ITセキュリティの基本です
🔒

① 機密性(Confidentiality)

→ 見てはいけない人に見せない
例:アクセス権限管理、暗号化、パスワード保護

② 完全性(Integrity)

→ 勝手に改ざんさせない
例:変更履歴記録、承認フロー、バックアップ

③ 可用性(Availability)

→ 必要な人が使える
例:システム冗長化、バックアップ、障害対策
👉 この3つを守るためにルールがある

🎮 体験しよう:CIA原則違反判定ゲーム

🔍 どの原則が侵害されているか判定しよう
各シナリオで侵害されている原則を選択
シナリオ①
全社員が見られるフォルダに顧客情報を保存してしまった
機密性
完全性
可用性
シナリオ②
誰かが契約書の金額を勝手に書き換えた
機密性
完全性
可用性
シナリオ③
サーバーが故障して、業務システムが使えなくなった
機密性
完全性
可用性

📊 CIA原則(情報セキュリティの基本)

CIA原則とは:情報セキュリティの3つの基本原則。ISO/IEC 27001(情報セキュリティマネジメントシステムの国際規格)でも中核概念として位置づけられています。①Confidentiality(機密性):許可された者だけが情報にアクセスできる、②Integrity(完全性):情報が正確かつ完全な状態で保たれる、③Availability(可用性):必要な時に情報やシステムが利用できる。

侵害事例の割合:JNSA調査では、情報セキュリティインシデントの内訳は、①機密性侵害:68.3%(情報漏洩、不正アクセス、誤送信)、②可用性侵害:22.5%(システム障害、DDoS攻撃、ランサムウェア)、③完全性侵害:9.2%(改ざん、データ破壊)。機密性侵害が最も多く、情報漏洩対策が最重要課題です。

バランスの重要性:3原則は時としてトレードオフの関係にあります。例:①機密性を高める(暗号化強化)→可用性が下がる(処理速度低下)、②可用性を高める(アクセス制限緩和)→機密性が下がる(漏洩リスク増)。適切なバランス設計がセキュリティポリシーの要です。

第3章〜第4章|具体的なルールと守らない場合の影響

よくある社内ルール例

1️⃣ パスワードポリシー

  • 文字数:12文字以上推奨
  • 変更ルール:漏洩疑い時のみ変更(定期変更は不要)
  • 二要素認証必須:メール・クラウド・管理者アカウント
目的:DAY44-45で学んだパスワード管理と2FAの実践

2️⃣ 持ち出し制限

  • USB禁止:原則としてUSBメモリでのデータ持ち出し不可
  • 私物PC利用禁止:セキュリティ管理外の端末使用禁止
  • クラウド推奨:SharePoint、Google Drive等の利用
目的:DAY47で学んだUSB紛失リスクの回避

3️⃣ アクセス権限管理

  • 必要最小限:業務に必要な範囲のみアクセス可能
  • 部署単位制限:営業部フォルダは営業部のみアクセス
  • 定期見直し:年2回の権限レビュー、退職者即座削除
目的:DAY47で学んだアクセス権限ミスの防止

4️⃣ メール送信確認

  • 宛先再確認:送信前にTo/Cc/Bccを目視確認
  • 添付暗号化:機密情報はパスワード付きZIP化
  • 送信遅延:送信後30秒〜1分間は取り消し可能
目的:DAY47で学んだメール誤送信の防止

「守らないと何が起きるか?」

ルール軽視の結果は…
顧客情報漏えい
1人平均29,768円の損害賠償、顧客離れ(解約率+30-50%)
業務停止
システム障害、データ喪失で業務が回らない
法的責任
個人情報保護委員会からの勧告・命令、刑事罰の可能性
👉 ITサポートも責任対象

第5章〜第8章|ITサポートの役割とバランス

ITサポートの役割は"監視"ではない

よく誤解されます

❌ ITサポートは

取り締まり役

⭕ ITサポートは

事故予防の設計者

大事なのは

  • ✅ 使いやすさ:現場の業務を妨げない設計
  • ✅ 現実的運用:理想だけでなく実際に守れる内容
👉 守れるルールであること

守られないルールの特徴

❌ 理由が説明されていない
「会社の決まりです」だけでは守られない。なぜ必要か説明が重要
❌ 現場に合っていない
現場の実態を無視した理想論。業務が回らなくなる
❌ 形だけの運用
チェックリストを埋めるだけ。実効性の確認なし
👉 実効性ゼロ

ITサポートとしての伝え方

❌ NG対応

「会社の決まりです」
理由不明→反発→守られない

✅ OK対応

「事故を防ぐためです」
理由明確→納得→遵守
「守らないとこうなります」
具体的な影響を説明
👉 理由が伝われば行動が変わる

"便利さ"とのバランス

🎮 体験しよう:セキュリティバランス調整

⚖️ 適切なバランスを見つけよう
スライダーを動かしてセキュリティレベルを調整
セキュリティレベル:50%
弱い 適切 強すぎ
現在の状態:バランス調整中
セキュリティは強すぎてもダメです

強すぎると

  • 現場が回らない
  • 抜け道が生まれる
  • 業務効率低下

弱すぎると

  • 事故発生
  • 情報漏洩
  • 法的責任
👉 バランスが重要

📊 セキュリティと利便性のバランス

シャドーIT問題:セキュリティルールが厳しすぎると、従業員が会社の許可なく私物デバイスや外部サービスを使用する「シャドーIT」が発生します。Cisco「2024年 セキュリティレポート」では、①何らかのシャドーITを使用:68%、②主な理由:会社のシステムが使いにくい(47%)、承認プロセスが遅い(32%)、必要な機能がない(21%)。シャドーITは管理外のためセキュリティリスクが高く、本末転倒です。

適切なバランス指標:①セキュリティルール遵守率:80%以上が目標、②業務効率への影響:セキュリティ対策による業務遅延が10%以内、③ユーザー満足度:「セキュリティと利便性のバランスが取れている」と回答する従業員が70%以上。これらの指標を定期的に測定し、ルールを調整することが重要です。

成功事例:大手IT企業では、①シングルサインオン導入(1回のログインで複数システムアクセス可)、②パスワードレス認証(生体認証、FIDOキー)、③クラウドストレージ推奨(USB禁止の代替手段)、④自動暗号化(ユーザー操作不要)により、セキュリティ強化と利便性向上を両立。結果:ルール遵守率が62%→89%に向上、セキュリティインシデントが-47%削減。

第9章〜第10章|ITサポートがやるべきこととまとめ

ITサポートがやるべき3つ

1
ルールの意味を説明できる
「なぜこのルールがあるのか」を具体例を交えて説明
2
現場と調整する
現場の声を聞き、実態に合ったルールに改善
3
実効性を確認する
定期的にルール遵守率を測定し、形骸化を防ぐ

DAY48で覚えればOKなこと

今日はこれだけで十分です。
  • ✅ ルールは再発防止策(過去の事故から生まれた)
  • ✅ 3原則(機密性・完全性・可用性)
  • ✅ 形だけでは意味なし(実効性が重要)
  • ✅ 理由説明が重要(納得すれば守られる)
  • ✅ バランス設計がITサポートの仕事

📝 確認クイズ(DAY48)

社内ルールの理解度を確認しよう

Q1
社内ルールの目的は?
Q2
情報セキュリティの3原則に含まれないのは?
Q3
守られないルールの原因は?
🐥 カイピヨくんの最後の一言(DAY48)
カイピヨくん

「ルールは縛りじゃないピヨ。」
"未来の事故を止める盾"ピヨ!🐥💙

📊 今日のゴール

  • ✅ ルールが生まれる背景(再発防止策)を理解する
  • ✅ CIA原則(機密性・完全性・可用性)を学ぶ
  • ✅ よくある社内ルールの目的を知る
  • ✅ ITサポートの役割(監視ではなく設計者)を理解する
  • ✅ セキュリティと利便性のバランスの重要性を学ぶ

📝 DAY48まとめ

  • ルールは再発防止策:社内ルール=過去の事故から生まれた予防策。なぜ増える:①事故が起きる、②再発防止策を追加→経験の積み重ね
  • CIA原則(情報セキュリティの基本):①機密性(Confidentiality):見てはいけない人に見せない(例:アクセス権限管理、暗号化、パスワード保護)、②完全性(Integrity):勝手に改ざんさせない(例:変更履歴記録、承認フロー、バックアップ)、③可用性(Availability):必要な人が使える(例:システム冗長化、バックアップ、障害対策)。この3つを守るためにルールがある
  • よくある社内ルール①パスワードポリシー:文字数12文字以上推奨、変更ルール(漏洩疑い時のみ変更、定期変更不要)、二要素認証必須(メール・クラウド・管理者アカウント)。目的:DAY44-45で学んだパスワード管理と2FAの実践
  • よくある社内ルール②持ち出し制限:USB禁止(原則USBメモリでのデータ持ち出し不可)、私物PC利用禁止(セキュリティ管理外端末使用禁止)、クラウド推奨(SharePoint、Google Drive等利用)。目的:DAY47で学んだUSB紛失リスク回避
  • よくある社内ルール③アクセス権限管理:必要最小限(業務に必要な範囲のみアクセス可能)、部署単位制限(営業部フォルダは営業部のみアクセス)、定期見直し(年2回権限レビュー、退職者即座削除)。目的:DAY47で学んだアクセス権限ミス防止
  • よくある社内ルール④メール送信確認:宛先再確認(送信前にTo/Cc/Bcc目視確認)、添付暗号化(機密情報はパスワード付きZIP化)、送信遅延(送信後30秒〜1分間取り消し可能)。目的:DAY47で学んだメール誤送信防止
  • 守らないと何が起きるか:①顧客情報漏洩(1人平均29,768円損害賠償、顧客離れ解約率+30-50%)、②業務停止(システム障害、データ喪失で業務が回らない)、③法的責任(個人情報保護委員会からの勧告・命令、刑事罰可能性)。ITサポートも責任対象
  • ITサポートの役割:❌取り締まり役ではない、⭕事故予防の設計者。大事なのは:使いやすさ(現場の業務を妨げない設計)、現実的運用(理想だけでなく実際に守れる内容)→守れるルールであること
  • 守られないルールの特徴:①理由が説明されていない(「会社の決まりです」だけでは守られない、なぜ必要か説明重要)、②現場に合っていない(現場の実態無視した理想論、業務が回らなくなる)、③形だけの運用(チェックリスト埋めるだけ、実効性確認なし)→実効性ゼロ
  • 伝え方:NG「会社の決まりです」(理由不明→反発→守られない)、OK「事故を防ぐためです」(理由明確→納得→遵守)、「守らないとこうなります」(具体的な影響説明)。理由が伝われば行動が変わる
  • 便利さとのバランス:セキュリティは強すぎてもダメ。強すぎると:現場が回らない、抜け道が生まれる、業務効率低下。弱すぎると:事故発生、情報漏洩、法的責任。バランスが重要
  • ITサポートがやるべき3つ:①ルールの意味を説明できる(なぜこのルールがあるのか具体例交えて説明)、②現場と調整する(現場の声を聞き、実態に合ったルールに改善)、③実効性を確認する(定期的にルール遵守率測定、形骸化防ぐ)
  • セキュリティポリシー策定率:IPA調査で何らかのポリシー策定82.3%(従業員1000人以上では96.8%)、文書化68.5%、従業員周知54.2%、定期見直し38.7%。中小企業策定率低い(従業員50人未満37.8%)
  • ルール増加背景:過去10年間でセキュリティポリシーの平均ページ数、2014年18ページ→2019年32ページ→2024年47ページと約2.6倍増加。追加理由:情報漏洩事故52%、法令改正対応28%、新技術導入12%、監査指摘8%
  • ルール遵守率:JNSA調査で「常に遵守」38.2%、「概ね遵守」45.7%、「時々守らない」13.5%、「ほとんど守らない」2.6%。約16%が守っていない理由:面倒42%、理由分からない31%、現場に合わない18%、時間がない9%
  • CIA侵害事例割合:JNSA調査で①機密性侵害68.3%(情報漏洩、不正アクセス、誤送信)、②可用性侵害22.5%(システム障害、DDoS攻撃、ランサムウェア)、③完全性侵害9.2%(改ざん、データ破壊)。機密性侵害が最多で情報漏洩対策が最重要課題
  • シャドーIT問題:セキュリティルール厳しすぎると何らかのシャドーIT使用68%。理由:会社のシステム使いにくい47%、承認プロセス遅い32%、必要な機能ない21%。シャドーITは管理外でセキュリティリスク高く本末転倒
  • 適切なバランス指標:①セキュリティルール遵守率80%以上目標、②業務効率への影響:セキュリティ対策による業務遅延10%以内、③ユーザー満足度:「セキュリティと利便性のバランスが取れている」回答70%以上
  • 成功事例:大手IT企業で①シングルサインオン導入、②パスワードレス認証、③クラウドストレージ推奨、④自動暗号化によりセキュリティ強化と利便性向上両立。結果:ルール遵守率62%→89%向上、セキュリティインシデント-47%削減

💬 次回予告(DAY49)

👉 DAY49:「USB・外部媒体 ― 持ち出しリスク」
なぜUSBが危険なのか、具体的に学ぼう!

\ 最新情報をチェック /