【SEC】第2章:基礎固め ~最初の6ヶ月で押さえるべき基本知識と意識~
セキュリティエンジニアとして成長するためには、まず情報セキュリティの基本概念を理解し、実務で活用できるスキルを身につけることが重要です。
本章では、機密性・完全性・可用性(CIA)といった基本原則、ランサムウェアなどの代表的な脅威、そして社内のセキュリティポリシーの適用方法について解説します。単なる知識習得にとどまらず、実際にどのように行動すればよいのか? 具体的なアクションとともに学んでいきましょう。
2-1. 情報セキュリティの基本概念を理解する
2.1.1. セキュリティの三大原則「CIA」とは?
セキュリティの基本は、CIAの3要素(機密性・完全性・可用性) です。
これらの原則を理解し、実務に適用できるようになることが、セキュリティエンジニアの第一歩です。
要素 | 意味 | 具体的な適用例 |
---|---|---|
Confidentiality(機密性) | 情報を許可された人だけが見られるようにする | 例:ファイルの暗号化、アクセス制御の適用 |
Integrity(完全性) | 情報が正しく維持されること | 例:データ改ざん防止、ログ監査の実施 |
Availability(可用性) | 必要なときに情報が利用できること | 例:DDoS対策、定期的なバックアップ |
📌 「実務でこれらの概念をどう適用するのか?」を考えながら学ぶことが重要!
2.1.2. 実際の企業の失敗事例
事例:機密性が守られなかったケース
🔹 何が起きたのか?
- AWSのS3バケットの設定ミスにより、1億人以上の顧客情報が流出
- 攻撃者は、企業内部の認証情報を悪用し、不正アクセスを実行
🔹 なぜ問題だったのか?
- ストレージの公開設定が適切でなかった
- アクセス制御が甘く、不要な権限を持つユーザーが多かった
📌 「クラウド環境の設定ミスは、大規模な情報漏洩につながる」ことを理解し、慎重に設定する!
✅ 今日からできるアクション
- 会社の機密情報の保存方法を確認し、適切に管理されているかチェックする
- クラウド環境(AWS、GCP、Azure)のストレージ設定を確認し、不適切な公開設定がないか調べる
- アクセス権限を見直し、不要なユーザーや権限を削除する
2-2. ランサムウェアをはじめとする脅威の種類と対策を知る
2.2.1. ランサムウェア攻撃の実際の流れ
ランサムウェアは、企業にとって最大の脅威の一つです。感染を防ぐだけでなく、「感染後にどう対応するか?」も考えておく必要があります。
ランサムウェア攻撃の流れ
- 攻撃者が侵入の足掛かりを得る
- フィッシングメールの添付ファイルを開かせる
- VPNの脆弱性を突き、リモートデスクトップ(RDP)経由で侵入
- ネットワーク内に拡散
- Windowsの脆弱性(SMB経由)を悪用し、他の端末に感染
- データを暗号化
- 社内の業務データをすべて暗号化し、使用不能にする
- 身代金の要求
- 「データを復旧したければ〇〇BTC(ビットコイン)を支払え」と脅迫
📌 「感染してからでは遅い。事前に防ぐための対策が最も重要!」
✅ 今日からできるアクション
- 会社PCの「RDP(リモートデスクトップ)」が有効になっていないか確認し、不要なら無効化
- フィッシングメールの事例を学び、「どのような手口が使われているか?」を理解する
- 会社のバックアップ運用を確認し、「最新のバックアップがどこに保存されているか?」をチェックする
2-3. 社内セキュリティポリシーとルールを理解する
2.3.1. 「ポリシーを知っているだけ」では意味がない
セキュリティポリシーは、企業全体で守るべきルール ですが、
「知っている」だけではなく、「どのように適用すべきか?」を理解すること が重要です。
ポリシーを業務に活かす方法
✅ ルールの背景を知る:「なぜこのルールがあるのか?」を理解する
✅ 具体的な業務に当てはめる:「このルールがなかったら、何が起こるか?」を考える
✅ 実務で適用する:「ルールを守ることで、どんなリスクを防げるか?」を意識する
事例:パスワード管理の失敗による被害
ある企業では、全社員が同じパスワードを社内システムで使い回していた。
その結果、1人のパスワードが流出した際に、全社のシステムに不正アクセスされ、大規模な情報漏洩が発生した。
📌 「ポリシーは形だけでなく、“なぜ必要か”を理解し、実務で活用することが大切!」
✅ 今日からできるアクション
- 会社のセキュリティポリシーを読んで、「なぜこのルールがあるのか?」を考える
- 「このルールがなかったら、どんなリスクがあるか?」を想定し、影響を整理する
- 上司や先輩に「このポリシーは、実務でどのように適用されているか?」を質問する
まとめ
この第2章では、 「情報セキュリティの基本概念」「代表的な脅威」「社内ルールの理解」「日常のセキュリティ意識」 について学びました。
📌 今日のポイント
- CIA(機密性・完全性・可用性)を理解し、実務で適用する
- ランサムウェアの攻撃手口を学び、「どこで防ぐべきか?」を考える
- 社内のセキュリティポリシーを理解し、実務で適用する方法を考える
- 日々のセキュリティ意識を向上させるために、小さな改善を積み重ねる
💡 次のステップ:第3章では、「実務にどう参加し、どんな業務を担当するのか?」を解説していきます!
今日のアクションを1つでも実践し、基礎固めを進めていきましょう!