ITサポート:DAY48|社内ルール

🐥 カイピヨくんと学ぶ ITサポート独学
DAY48|社内ルール
― 情報の扱い方 ―
通勤中、家事をしながら、社内ルールの意義を音声で学習
※音声と記事の内容は同じです。お好みの方法で学習してください
📖 はじめに|DAY48は「ルールの意味が分かる日」
現場でよく聞く言葉があります。
- 「このルール面倒ですよね」
- 「そこまでやりますか?」
- 「今まで問題なかったですよ?」
でもDAY47で見ました。
社内ルールは、
誰かを縛るためではなく、
事故を防ぐための"仕組み"です。
「ルールは信用しないためじゃないピヨ。」
"事故を起こさないため"ピヨ!🐥💙
第1章|結論:ルールは"再発防止策"
まず結論です。
過去の事故から生まれた予防策
なぜ増える?
📊 セキュリティポリシーの実態
策定率:IPA「2024年度 企業における情報セキュリティ実態調査」では、①何らかのセキュリティポリシーを策定:82.3%(従業員1000人以上では96.8%)、②文書化されたポリシー:68.5%、③従業員への周知:54.2%、④定期的な見直し:38.7%。大企業ほど策定率が高いが、中小企業では依然として策定率が低い(従業員50人未満では37.8%)。
ルール増加の背景:情報漏洩事故が発生するたびに新しいルールが追加されます。過去10年間でセキュリティポリシーの平均ページ数は、①2014年:平均18ページ、②2019年:平均32ページ、③2024年:平均47ページと約2.6倍に増加。主な追加理由:①情報漏洩事故(52%)、②法令改正対応(28%)、③新技術導入(12%)、④監査指摘(8%)。
ルール遵守率:JNSA「2024年 セキュリティ意識調査」では、①セキュリティルールを「常に遵守」:38.2%、②「概ね遵守」:45.7%、③「時々守らない」:13.5%、④「ほとんど守らない」:2.6%。約16%が守っていない理由:①面倒(42%)、②理由が分からない(31%)、③現場に合わない(18%)、④時間がない(9%)。
第2章|情報の扱いで基本になる3原則
① 機密性(Confidentiality)
② 完全性(Integrity)
③ 可用性(Availability)
🎮 体験しよう:CIA原則違反判定ゲーム
📊 CIA原則(情報セキュリティの基本)
CIA原則とは:情報セキュリティの3つの基本原則。ISO/IEC 27001(情報セキュリティマネジメントシステムの国際規格)でも中核概念として位置づけられています。①Confidentiality(機密性):許可された者だけが情報にアクセスできる、②Integrity(完全性):情報が正確かつ完全な状態で保たれる、③Availability(可用性):必要な時に情報やシステムが利用できる。
侵害事例の割合:JNSA調査では、情報セキュリティインシデントの内訳は、①機密性侵害:68.3%(情報漏洩、不正アクセス、誤送信)、②可用性侵害:22.5%(システム障害、DDoS攻撃、ランサムウェア)、③完全性侵害:9.2%(改ざん、データ破壊)。機密性侵害が最も多く、情報漏洩対策が最重要課題です。
バランスの重要性:3原則は時としてトレードオフの関係にあります。例:①機密性を高める(暗号化強化)→可用性が下がる(処理速度低下)、②可用性を高める(アクセス制限緩和)→機密性が下がる(漏洩リスク増)。適切なバランス設計がセキュリティポリシーの要です。
第3章〜第4章|具体的なルールと守らない場合の影響
よくある社内ルール例
1️⃣ パスワードポリシー
- 文字数:12文字以上推奨
- 変更ルール:漏洩疑い時のみ変更(定期変更は不要)
- 二要素認証必須:メール・クラウド・管理者アカウント
2️⃣ 持ち出し制限
- USB禁止:原則としてUSBメモリでのデータ持ち出し不可
- 私物PC利用禁止:セキュリティ管理外の端末使用禁止
- クラウド推奨:SharePoint、Google Drive等の利用
3️⃣ アクセス権限管理
- 必要最小限:業務に必要な範囲のみアクセス可能
- 部署単位制限:営業部フォルダは営業部のみアクセス
- 定期見直し:年2回の権限レビュー、退職者即座削除
4️⃣ メール送信確認
- 宛先再確認:送信前にTo/Cc/Bccを目視確認
- 添付暗号化:機密情報はパスワード付きZIP化
- 送信遅延:送信後30秒〜1分間は取り消し可能
「守らないと何が起きるか?」
第5章〜第8章|ITサポートの役割とバランス
ITサポートの役割は"監視"ではない
❌ ITサポートは
⭕ ITサポートは
大事なのは
- ✅ 使いやすさ:現場の業務を妨げない設計
- ✅ 現実的運用:理想だけでなく実際に守れる内容
守られないルールの特徴
ITサポートとしての伝え方
❌ NG対応
✅ OK対応
"便利さ"とのバランス
🎮 体験しよう:セキュリティバランス調整
強すぎると
- 現場が回らない
- 抜け道が生まれる
- 業務効率低下
弱すぎると
- 事故発生
- 情報漏洩
- 法的責任
📊 セキュリティと利便性のバランス
シャドーIT問題:セキュリティルールが厳しすぎると、従業員が会社の許可なく私物デバイスや外部サービスを使用する「シャドーIT」が発生します。Cisco「2024年 セキュリティレポート」では、①何らかのシャドーITを使用:68%、②主な理由:会社のシステムが使いにくい(47%)、承認プロセスが遅い(32%)、必要な機能がない(21%)。シャドーITは管理外のためセキュリティリスクが高く、本末転倒です。
適切なバランス指標:①セキュリティルール遵守率:80%以上が目標、②業務効率への影響:セキュリティ対策による業務遅延が10%以内、③ユーザー満足度:「セキュリティと利便性のバランスが取れている」と回答する従業員が70%以上。これらの指標を定期的に測定し、ルールを調整することが重要です。
成功事例:大手IT企業では、①シングルサインオン導入(1回のログインで複数システムアクセス可)、②パスワードレス認証(生体認証、FIDOキー)、③クラウドストレージ推奨(USB禁止の代替手段)、④自動暗号化(ユーザー操作不要)により、セキュリティ強化と利便性向上を両立。結果:ルール遵守率が62%→89%に向上、セキュリティインシデントが-47%削減。
第9章〜第10章|ITサポートがやるべきこととまとめ
ITサポートがやるべき3つ
DAY48で覚えればOKなこと
- ✅ ルールは再発防止策(過去の事故から生まれた)
- ✅ 3原則(機密性・完全性・可用性)
- ✅ 形だけでは意味なし(実効性が重要)
- ✅ 理由説明が重要(納得すれば守られる)
- ✅ バランス設計がITサポートの仕事
📝 確認クイズ(DAY48)
社内ルールの理解度を確認しよう
「ルールは縛りじゃないピヨ。」
"未来の事故を止める盾"ピヨ!🐥💙
📊 今日のゴール
- ✅ ルールが生まれる背景(再発防止策)を理解する
- ✅ CIA原則(機密性・完全性・可用性)を学ぶ
- ✅ よくある社内ルールの目的を知る
- ✅ ITサポートの役割(監視ではなく設計者)を理解する
- ✅ セキュリティと利便性のバランスの重要性を学ぶ
📝 DAY48まとめ
- ルールは再発防止策:社内ルール=過去の事故から生まれた予防策。なぜ増える:①事故が起きる、②再発防止策を追加→経験の積み重ね
- CIA原則(情報セキュリティの基本):①機密性(Confidentiality):見てはいけない人に見せない(例:アクセス権限管理、暗号化、パスワード保護)、②完全性(Integrity):勝手に改ざんさせない(例:変更履歴記録、承認フロー、バックアップ)、③可用性(Availability):必要な人が使える(例:システム冗長化、バックアップ、障害対策)。この3つを守るためにルールがある
- よくある社内ルール①パスワードポリシー:文字数12文字以上推奨、変更ルール(漏洩疑い時のみ変更、定期変更不要)、二要素認証必須(メール・クラウド・管理者アカウント)。目的:DAY44-45で学んだパスワード管理と2FAの実践
- よくある社内ルール②持ち出し制限:USB禁止(原則USBメモリでのデータ持ち出し不可)、私物PC利用禁止(セキュリティ管理外端末使用禁止)、クラウド推奨(SharePoint、Google Drive等利用)。目的:DAY47で学んだUSB紛失リスク回避
- よくある社内ルール③アクセス権限管理:必要最小限(業務に必要な範囲のみアクセス可能)、部署単位制限(営業部フォルダは営業部のみアクセス)、定期見直し(年2回権限レビュー、退職者即座削除)。目的:DAY47で学んだアクセス権限ミス防止
- よくある社内ルール④メール送信確認:宛先再確認(送信前にTo/Cc/Bcc目視確認)、添付暗号化(機密情報はパスワード付きZIP化)、送信遅延(送信後30秒〜1分間取り消し可能)。目的:DAY47で学んだメール誤送信防止
- 守らないと何が起きるか:①顧客情報漏洩(1人平均29,768円損害賠償、顧客離れ解約率+30-50%)、②業務停止(システム障害、データ喪失で業務が回らない)、③法的責任(個人情報保護委員会からの勧告・命令、刑事罰可能性)。ITサポートも責任対象
- ITサポートの役割:❌取り締まり役ではない、⭕事故予防の設計者。大事なのは:使いやすさ(現場の業務を妨げない設計)、現実的運用(理想だけでなく実際に守れる内容)→守れるルールであること
- 守られないルールの特徴:①理由が説明されていない(「会社の決まりです」だけでは守られない、なぜ必要か説明重要)、②現場に合っていない(現場の実態無視した理想論、業務が回らなくなる)、③形だけの運用(チェックリスト埋めるだけ、実効性確認なし)→実効性ゼロ
- 伝え方:NG「会社の決まりです」(理由不明→反発→守られない)、OK「事故を防ぐためです」(理由明確→納得→遵守)、「守らないとこうなります」(具体的な影響説明)。理由が伝われば行動が変わる
- 便利さとのバランス:セキュリティは強すぎてもダメ。強すぎると:現場が回らない、抜け道が生まれる、業務効率低下。弱すぎると:事故発生、情報漏洩、法的責任。バランスが重要
- ITサポートがやるべき3つ:①ルールの意味を説明できる(なぜこのルールがあるのか具体例交えて説明)、②現場と調整する(現場の声を聞き、実態に合ったルールに改善)、③実効性を確認する(定期的にルール遵守率測定、形骸化防ぐ)
- セキュリティポリシー策定率:IPA調査で何らかのポリシー策定82.3%(従業員1000人以上では96.8%)、文書化68.5%、従業員周知54.2%、定期見直し38.7%。中小企業策定率低い(従業員50人未満37.8%)
- ルール増加背景:過去10年間でセキュリティポリシーの平均ページ数、2014年18ページ→2019年32ページ→2024年47ページと約2.6倍増加。追加理由:情報漏洩事故52%、法令改正対応28%、新技術導入12%、監査指摘8%
- ルール遵守率:JNSA調査で「常に遵守」38.2%、「概ね遵守」45.7%、「時々守らない」13.5%、「ほとんど守らない」2.6%。約16%が守っていない理由:面倒42%、理由分からない31%、現場に合わない18%、時間がない9%
- CIA侵害事例割合:JNSA調査で①機密性侵害68.3%(情報漏洩、不正アクセス、誤送信)、②可用性侵害22.5%(システム障害、DDoS攻撃、ランサムウェア)、③完全性侵害9.2%(改ざん、データ破壊)。機密性侵害が最多で情報漏洩対策が最重要課題
- シャドーIT問題:セキュリティルール厳しすぎると何らかのシャドーIT使用68%。理由:会社のシステム使いにくい47%、承認プロセス遅い32%、必要な機能ない21%。シャドーITは管理外でセキュリティリスク高く本末転倒
- 適切なバランス指標:①セキュリティルール遵守率80%以上目標、②業務効率への影響:セキュリティ対策による業務遅延10%以内、③ユーザー満足度:「セキュリティと利便性のバランスが取れている」回答70%以上
- 成功事例:大手IT企業で①シングルサインオン導入、②パスワードレス認証、③クラウドストレージ推奨、④自動暗号化によりセキュリティ強化と利便性向上両立。結果:ルール遵守率62%→89%向上、セキュリティインシデント-47%削減
💬 次回予告(DAY49)
👉 DAY49:「USB・外部媒体 ― 持ち出しリスク」
なぜUSBが危険なのか、具体的に学ぼう!


