【SEC】第2章:基礎固め ~最初の6ヶ月で押さえるべき基本知識と意識~

【SEC】第2章:基礎固め ~最初の6ヶ月で押さえるべき基本知識と意識~

セキュリティエンジニアとして成長するためには、まず情報セキュリティの基本概念を理解し、実務で活用できるスキルを身につけることが重要です。

本章では、機密性・完全性・可用性(CIA)といった基本原則、ランサムウェアなどの代表的な脅威、そして社内のセキュリティポリシーの適用方法について解説します。単なる知識習得にとどまらず、実際にどのように行動すればよいのか? 具体的なアクションとともに学んでいきましょう。


2-1. 情報セキュリティの基本概念を理解する

2.1.1. セキュリティの三大原則「CIA」とは?

セキュリティの基本は、CIAの3要素(機密性・完全性・可用性) です。
これらの原則を理解し、実務に適用できるようになることが、セキュリティエンジニアの第一歩です。

要素意味具体的な適用例
Confidentiality(機密性)情報を許可された人だけが見られるようにする例:ファイルの暗号化、アクセス制御の適用
Integrity(完全性)情報が正しく維持されること例:データ改ざん防止、ログ監査の実施
Availability(可用性)必要なときに情報が利用できること例:DDoS対策、定期的なバックアップ

📌 「実務でこれらの概念をどう適用するのか?」を考えながら学ぶことが重要!

2.1.2. 実際の企業の失敗事例

事例:機密性が守られなかったケース

🔹 何が起きたのか?

  • AWSのS3バケットの設定ミスにより、1億人以上の顧客情報が流出
  • 攻撃者は、企業内部の認証情報を悪用し、不正アクセスを実行

🔹 なぜ問題だったのか?

  • ストレージの公開設定が適切でなかった
  • アクセス制御が甘く、不要な権限を持つユーザーが多かった

📌 「クラウド環境の設定ミスは、大規模な情報漏洩につながる」ことを理解し、慎重に設定する!

✅ 今日からできるアクション

  1. 会社の機密情報の保存方法を確認し、適切に管理されているかチェックする
  2. クラウド環境(AWS、GCP、Azure)のストレージ設定を確認し、不適切な公開設定がないか調べる
  3. アクセス権限を見直し、不要なユーザーや権限を削除する

2-2. ランサムウェアをはじめとする脅威の種類と対策を知る

2.2.1. ランサムウェア攻撃の実際の流れ

ランサムウェアは、企業にとって最大の脅威の一つです。感染を防ぐだけでなく、「感染後にどう対応するか?」も考えておく必要があります。

ランサムウェア攻撃の流れ

  1. 攻撃者が侵入の足掛かりを得る
    • フィッシングメールの添付ファイルを開かせる
    • VPNの脆弱性を突き、リモートデスクトップ(RDP)経由で侵入
  2. ネットワーク内に拡散
    • Windowsの脆弱性(SMB経由)を悪用し、他の端末に感染
  3. データを暗号化
    • 社内の業務データをすべて暗号化し、使用不能にする
  4. 身代金の要求
    • 「データを復旧したければ〇〇BTC(ビットコイン)を支払え」と脅迫

📌 「感染してからでは遅い。事前に防ぐための対策が最も重要!」

✅ 今日からできるアクション

  1. 会社PCの「RDP(リモートデスクトップ)」が有効になっていないか確認し、不要なら無効化
  2. フィッシングメールの事例を学び、「どのような手口が使われているか?」を理解する
  3. 会社のバックアップ運用を確認し、「最新のバックアップがどこに保存されているか?」をチェックする

2-3. 社内セキュリティポリシーとルールを理解する

2.3.1. 「ポリシーを知っているだけ」では意味がない

セキュリティポリシーは、企業全体で守るべきルール ですが、
「知っている」だけではなく、「どのように適用すべきか?」を理解すること が重要です。

ポリシーを業務に活かす方法

ルールの背景を知る:「なぜこのルールがあるのか?」を理解する
具体的な業務に当てはめる:「このルールがなかったら、何が起こるか?」を考える
実務で適用する:「ルールを守ることで、どんなリスクを防げるか?」を意識する

事例:パスワード管理の失敗による被害

ある企業では、全社員が同じパスワードを社内システムで使い回していた。
その結果、1人のパスワードが流出した際に、全社のシステムに不正アクセスされ、大規模な情報漏洩が発生した。

📌 「ポリシーは形だけでなく、“なぜ必要か”を理解し、実務で活用することが大切!」

✅ 今日からできるアクション

  1. 会社のセキュリティポリシーを読んで、「なぜこのルールがあるのか?」を考える
  2. 「このルールがなかったら、どんなリスクがあるか?」を想定し、影響を整理する
  3. 上司や先輩に「このポリシーは、実務でどのように適用されているか?」を質問する

まとめ

この第2章では、 「情報セキュリティの基本概念」「代表的な脅威」「社内ルールの理解」「日常のセキュリティ意識」 について学びました。

📌 今日のポイント

  • CIA(機密性・完全性・可用性)を理解し、実務で適用する
  • ランサムウェアの攻撃手口を学び、「どこで防ぐべきか?」を考える
  • 社内のセキュリティポリシーを理解し、実務で適用する方法を考える
  • 日々のセキュリティ意識を向上させるために、小さな改善を積み重ねる

💡 次のステップ:第3章では、「実務にどう参加し、どんな業務を担当するのか?」を解説していきます!
今日のアクションを1つでも実践し、基礎固めを進めていきましょう!