セキュリティ事故というと、
外部からの攻撃をまず思い浮かべがちです。
しかし応用情報技術者試験では、
内部不正こそが最も深刻になりやすいという前提で、
設計や運用を考えさせます。
この回では、
なぜ内部不正が一番怖いのかを、
応用情報視点で整理します。
内部不正とは何か
内部不正とは、
正規の権限を持つ人による不正行為です。
- 社員
- 委託先
- 退職予定者
などが、
業務上の立場を悪用して行います。
応用情報では、
「信頼している前提」が崩れる点が
最大のリスクとされます。
なぜ外部攻撃より怖いのか
内部不正が深刻になりやすい理由は、
- 正規アカウントを使う
- 権限を把握している
- 監視をすり抜けやすい
といった特徴があるためです。
多くの防御策は、
外部からの侵入を前提に設計されています。
応用情報での典型的な出題意図
午後問題では、
- アクセス制御は正しい
- それでも情報が漏れている
という状況が描かれます。
ここで、
内部関係者による操作に
目を向けられるかが
正解への分かれ道になります。
技術だけでは防げない理由
内部不正は、
- 動機
- 不満
- 組織的な問題
といった、
人の要因と深く結びついています。
そのため、
暗号化や認証だけでは
完全に防ぐことができません。
応用情報が示す対策の方向性
応用情報では、
内部不正対策として
- 権限の最小化
- 操作ログの記録
- 職務分掌
- 定期的な見直し
といった、
抑止と検知の仕組みを重視します。
実務での考え方
実務では、
- 信頼しすぎない設計
- 一人に任せきらない体制
- 事後に説明できる仕組み
が重要になります。
応用情報は、
その現実的な視点を
試験として整理しています。
まとめ
- 内部不正は正規権限が前提
- 技術だけでは防げない
- 応用情報は組織的対策を問う
セキュリティを考えるときは、
「誰が一番危ない立場にいるか」
を意識することが重要です。
次回予告
次回は、
「ウォーターフォールとアジャイルは対立概念ではない」
を扱います。
開発・運用編に入ります。
コメント